Хуже того, уязвимость Redirect to SMB затрагивает программное обеспечение как минимум от 31 компании, если их софт работает с соответствующими функциями Windows API. Вот некоторые из программ, которые пострадали от бага: Adobe Reader, Apple QuickTime, Apple Software Update, Internet Explorer, Windows Media Player, Excel 2010, Microsoft Baseline Security Analyzer, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, .NET Reflector, Maltego CE, Box Sync, TeamViewer, Github for Windows, PyCharm, IntelliJ IDEA, PHP Storm, инсталлятор JDK 8u31 и многие другие.
“Redirect to SMB” — это способ получить учётные данные пользователя с помощью редиректа HTTP-запроса по протоколу file:// на сервер, принадлежащий злоумышленнику. Там Windows попытается авторизоваться по логину и паролю пользователя, тем самым сообщая их злоумышленнику. Хотя они передаются в зашифрованном виде, но могут быть расшифрованы перебором вариантов.
Баг известен как минимум с 14 марта 1997 года. Уже тогда выяснилось, что запросы типа file://1.1.1.1/ в браузере IE заставляют операционную систему авторизоваться на SMB-сервере с IP-адресом 1.1.1.1.
Список уязвимых функций Windows API
URLDownloadA
URLDownloadW
URLDownloadToCacheFileA
URLDownloadToCacheFileW
URLDownloadToFileA
URLDownloadToFileW
URLOpenStream
URLOpenBlockingStream
Многие программы используют HTTP-запросы для различных целей, например, для проверки наличия обновлений. Хакеру нужно только перехватить такой запрос (скажем, через MiTM-прокси на открытом WiFi-хотспоте) и перенаправить на свой SMB. Для этого ему понадобиться четыре программы, которые находятся в открытом доступе: SMBTrap2, SMBTrap-mitmproxy-inline.py , MITMProxy и Zarp.
Cylance SPEAR сообщила о баге в CERT ещё полтора месяца назад, и до сих пор они совместно с Microsoft и другими компаниями работали над тем, чтобы максимально смягчить последствия уязвимости для пользователей. В качестве временных мер предлагается блокировать исходящие SMB-соединения (TCP-порты 139 и 445), обновить групповую политику NTLM, не использовать аутентификацию NTLM по умолчанию в приложениях, установить стойкий пароль и чаще его менять.
P.S.Мой совет используйте браузер Google Chrome и программу (или расширение для браузера) менеджер паролей например Менеджер паролей LastPass - приложение для управления паролями в популярных веб-браузерах, системах и мобильных устройствах. С плагином LastPass посещение веб-сайтов будет более простым и безопасным.Пароли в менеджере LastPass защищены мастер паролем и шифруются локально, а также синхронизируются между различными веб-браузерами.
Программа включает Автозаполнитель форм, который автоматизирует ввод паролей и заполнение различных форм при регистрациях на веб-сайтах. Плагин позволяет легко создавать аккаунт и импортировать существующие пароли из популярных менеджеров паролей и веб-браузеров.
LastPass Password Manager позволяет безопасно обмениваться паролями, заходить на сайт в один клик, получать доступ к данным с любого компьютера через аккаунт LastPass.com .
Безопасность паролей обеспечивается проверкой их надежности, защитой от клавиатурных шпионов и фишинг-атак, ограничением доступа к учетной записи. https://chrome.google.com/webstore/detail/lastpass-free-password-ma/hdokiejnpimakedhajhdlcegeplioahd?utm_source=chrome-app-launcher-info-dialog
Присоединяйтесь к ОК, чтобы подписаться на группу и комментировать публикации.
Нет комментариев