Que diriez-vous si nous vous disons que votre version de Windows est affectée par une vulnérabilité Google devrait-il annoncer des vulnérabilités avant qu'elles aient été corrigées? Google devrait-il annoncer des vulnérabilités avant qu'elles ne soient corrigées? Pourquoi Google signale-t-il des vulnérabilités dans Microsoft Windows? Est-ce que la façon dont Google apprend à ses concurrents à être plus efficace? Qu'en est-il des utilisateurs? Le strict respect par Google des délais dans notre meilleur intérêt? Lire la suite qui remonte à 1997? Tu ris, non? Après tout, Microsoft aurait sûrement corrigé la panne avant de sortir Windows 98 ou, au plus tard, Windows 2000?
Eh bien, pas tout à fait.
Cette vulnérabilité de redirection vers SMB a ses racines dans l'attaque nommée identiquement par Aaron Spangler il y a 18 ans. Et c'est un problème dont vous avez besoin de faire quelque chose, car cela n'affecte pas seulement Windows, mais aussi les programmes d'Adobe, Apple, Symantec et même l'aperçu de Windows 10.
Rediriger vers SMB: que fait-il?
Affectant les PC, tablettes et serveurs Windows, Redirect to SMB - découvert par Brian Wallace de Cylance - est un développement de la vulnérabilité d'origine.
En 1997, Spangler a découvert qu'introduire des URLs en commençant par "fichier" amènerait Windows à tenter une authentification avec un serveur SMB à l'adresse IP donnée (par exemple, fichier: // 1.1.1.1), qui pourrait ensuite être utilisée pour enregistrer les informations de connexion. Ces URL peuvent être introduites sous forme d'images, d'iframes ou de tout autre média affiché par le navigateur.
SMB est le protocole Server Message Block, principalement utilisé pour le partage de fichiers, d'imprimantes et de ports série sur un réseau. Différentes versions ont été publiées au cours des années, (Samba est un logiciel open source Open Source et Forking: le logiciel libre, le grand et le laid Open Source et Forking: le bon, le grand et le laid parfois, les avantages de l'utilisateur final Parfois, la fourche se fait sous le voile de la colère, de la haine et de l'animosité.Prenons quelques exemples.L'application Read More, bien qu'il n'y ait aucune suggestion que la vulnérabilité existe là-bas) et a longtemps été une cible, avec analyse en temps réel démontrant que SMB est l'un des vecteurs d'attaque les plus populaires pour les intrus en ligne. Il a été signalé en Décembre que le piratage de Sony Pictures a été effectuée en utilisant une vulnérabilité SMB.
La redirection vers SMB a été découverte par l'équipe Cylance alors qu'ils étudiaient les moyens d'abuser d'un client de discussion.
"Lors de la réception d'une URL vers une image, le client a tenté d'afficher un aperçu de l'image. Inspirés par les recherches d'Aaron il y a 18 ans, nous avons rapidement envoyé à un autre utilisateur une URL commençant par file: // qui pointait vers un serveur SMB malveillant. Assez, le client de chat a essayé de charger l'image, et l'utilisateur de Windows à l'autre extrémité a essayé de s'authentifier avec notre serveur SMB.
"Nous avons créé un serveur HTTP en Python qui répondait à toutes les requêtes avec un simple code d'état HTTP 302 pour rediriger les clients vers une URL file: //, et en utilisant cela, nous pouvions confirmer qu'une URL http: // pouvait conduire à une authentification tentative de l'OS. "
Il ne faut pas beaucoup pour inciter quelqu'un à entrer ses informations d'identification, après tout - juste une boîte de dialogue d'apparence légitime.
Comment rediriger vers SMB pourrait être utilisé contre vous
Quatre fonctions de l'API Windows peuvent être utilisées pour rediriger une connexion HTTP ou HTTPS Qu'est-ce que HTTPS et comment activer les connexions sécurisées par défaut Qu'est-ce que HTTPS et Comment activer les connexions sécurisées Par défaut Les problèmes de sécurité se répandent largement et ont atteint le premier rang l'esprit de tout le monde. Les termes comme antivirus ou pare-feu ne sont plus un vocabulaire étrange et sont non seulement compris, mais aussi utilisés par ... Lire la suite à une connexion SMB, où un serveur malveillant peut attendre pour siphonner les informations d'identification des utilisateurs et les réutiliser à des fins infâmes.
Brian Wallace explique que pour que la redirection vers SMB aboutisse, l'attaquant doit être raisonnablement avancé car il est nécessaire de "contrôler ... certains composants du trafic réseau d'une victime".
Il souligne également que les menaces peuvent prendre la forme de publicités malveillantes forçant des tentatives d'authentification, et Rediriger vers SMB peut également être utilisé dans un lecteur par piratage sur les réseaux Wi-Fi publics (dangereux dans le meilleur des cas). Au Wi-Fi public 3 Dangers de se connecter au Wi-Fi public Vous avez entendu que vous ne devriez pas ouvrir PayPal, votre compte bancaire et peut-être même votre e-mail tout en utilisant le Wi-Fi. Mais quels sont les risques réels?, lancé à partir d'un ordinateur portable, et même un smartphone Android.
Potentiellement l'un des vecteurs d'attaque les plus dangereux déchaînés par Redirect to SMB est via iTunes Software Updater d'Apple. Dans ce scénario, un enregistrement DNS compromis Comment changer vos serveurs DNS et améliorer la sécurité Internet Comment changer vos serveurs DNS et améliorer la sécurité Internet Imaginez ceci - vous vous réveillez un beau matin, versez-vous une tasse de café, puis asseyez-vous à votre ordinateur pour commencer votre travail pour la journée. Avant que vous obtenez réellement ... Lire la suite pourrait conduire à rediriger les mises à jour étant dirigé vers un serveur SMB, encore une fois avec le résultat que les informations d'identification sont exploitées via une attaque Man-In-The-Middle classique Qu'est-ce qu'un homme dans le milieu? Attaque? Le jargon de sécurité a expliqué ce qu'est un homme dans le milieu? Explication du jargon de la sécurité Si vous avez entendu parler d'attaques «d'homme à l'autre», mais que vous ne savez pas très bien ce que cela signifie, c'est l'article pour vous. Lire la suite .
En termes simples, c'est une vulnérabilité qui aurait dû être fermée il y a 18 ans. Alors que Microsoft a proposé des moyens de l'atténuer, l'opposition - les chapeaux noirs - est devenue beaucoup plus sophistiquée dans ses attaques, avec de plus en plus d'utilisateurs d'Internet représentant un grand jour de paie. Maintenant, il semble que Microsoft soit le moment d'agir pour la sécurité des PME.
Logiciels affectés par Re-Direct à SMB
D'accord, c'est l'heure de l'expiration profonde. En plus de chaque version de Windows au milieu des années 1990, Redirect to SMB affecte également un large éventail d'applications et d'utilitaires système (au moins 31) provenant de certains des plus grands noms de l'industrie. Pour commencer, Microsoft et Apple.
Microsoft:
- Internet Explorer 11
- Windows Media Player
- Excel 2010
- Microsoft Baseline Security Analyzer
Pomme:
- Quick Time
- Mise à jour du logiciel Apple iTunes
Frustrant pour une vulnérabilité de ce type, les logiciels de sécurité sont également affectés.
- Symantec Norton Security Scan
- AVG Gratuit
- BitDefender Gratuit
- Comodo Antivirus
Applications de productivité connues pour être vulnérables à la redirection vers SMB:
- Adobe Reader
- Box Sync (l'application client cloud de Box.net)
- TeamView
Ces utilitaires et installateurs sont également affectés:
- Réflecteur .NET
- Maltego CE
- GitHub pour Windows
- PyCharm
- IntelliJ IDEA
- PHP Storm
- Le programme d'installation de Oracle JDK 8u31
Comme vous pouvez le voir, il s'agit d'une liste complète, avec chaque application une passerelle potentielle vers vos informations d'identification pour un attaquant. Mais que pouvez-vous faire à ce sujet?
Solution de contournement ou attente d'un correctif?
On dit que Microsoft travaille sur un correctif pour corriger la vulnérabilité Rediriger vers SMB. Mais jusqu'à ce que cela arrive, que pouvez-vous faire?
Tel que rapporté par les experts en cybersécurité Cylance, la meilleure solution est de bloquer le trafic sortant de votre ordinateur via votre pare-feu logiciel ou via votre routeur, sur TCP 139 et TCP 445. Cela bloquera la communication SMB entre votre réseau et Internet. la modification est effectuée sur le pare-feu réseau, vous serez toujours en mesure d'utiliser SMB entre les périphériques de votre réseau local. Pare-feu Windows 7: Comparaison avec d'autres pare-feu Windows 7 Pare-feu: Comparaison avec d'autres pare-feu Windows 7 contient un pare-feu discret et facile à utiliser qui protège votre ordinateur contre les autres pare-feu. circulation. Si vous recherchez des options plus avancées, telles que la possibilité de contrôler le trafic sortant ou d'afficher les applications en utilisant votre ... Read More en quelques secondes; Pour votre routeur, vous devez vérifier la documentation de l'appareil.
Compte tenu de l'ampleur des systèmes d'exploitation et des applications touchées par cette vulnérabilité, et avec l'arrivée imminente de Windows 10, n'est-il pas temps que Microsoft fasse quelque chose à ce sujet?
Crédits image: Mot de passe via Shutterstock