Vulnerabilidade “Redirect to SMB” Afeta Todos os Sistemas Windows
Uma nova técnica para explorar
uma vulnerabilidade no Windows Server Message Block (SMB) foi divulgada.
Segundo o pesquisador de segurança Brian Wallace da empresa Cylance, essa afeta
todas as versões suportadas do Windows e permite que um atacante consiga roubar
as credenciais dos usuários.
Os softwares que rodam no ambiente
do Microsoft Windows e utilizam as requisições HTTP podem ser encaminhados para
o protocolo file: // que pode ser um servidor malicioso e faz com que o Windows
tente automaticamente realizar uma autenticação via SMB para este servidor e as
credenciais criptografadas do usuário são registradas no servidor malicioso.
Esta vulnerabilidade é conhecida como "Redirect to SMB".
O problema é que muitos
softwares utilizam essas requisições HTTP para vários recursos, incluindo
atualizações de softwares. Até o momento, foram identificadas 31 empresas que
utilizam esses recursos, incluindo Adobe, Apple, Oracle e Symantec.
Um atacante possui basicamente
2 formas de explorar essa vulnerabilidade, uma das maneiras é interceptar essas
requisições através de um ataque Man-in-The-Middle (MITM) e usar o HTTP Redirect
para redirecionar a vítima um servidor SMB malicioso. Outra maneira, o atacante
pode criar esses links maliciosos na Internet, conhecidos como malvertising, e enviar
o tráfego para ele que irá redirecionar os usuários automaticamente e registrar
as credenciais em um servidor malicioso.
A situação fica ainda mais
grave no Windows 8 e superiores, onde além das credenciais do usuário, também
são enviados os dados do Windows Live ID, ou seja, as credenciais para os
serviços online.
Não existe uma solução ou
patch que corrige o problema, mas algumas ações podem ser realizadas minimizando
o risco, confira abaixo:
- Considere bloquear as requisições
SMB de saída (portas TCP 139 e 445) à partir da rede local para a rede WAN.
- Este ataque pode ser bloqueado, em algumas circunstâncias, restringindo o NTLM usando o Group Policy.
- Não use a autenticação NTLM por padrão nos aplicativos
- Use senhas fortes e altere com frequência
- Este ataque pode ser bloqueado, em algumas circunstâncias, restringindo o NTLM usando o Group Policy.
- Não use a autenticação NTLM por padrão nos aplicativos
- Use senhas fortes e altere com frequência
Fonte e referências:
0 comentários: