Hay una grave vulnerabilidad en todas las versiones compatibles de Windows que pueden permitir a un atacante que tenga el control de una parte del tráfico de red de la víctima, robar credenciales de los usuarios de los servicios. El error está relacionado con la forma en que Windows y otro software maneja algunas peticiones HTTP, y los investigadores dicen que afecta a una amplia gama de aplicaciones, incluyendo iTunes y Adobe Flash.
La vulnerabilidad, dada a conocer este lunes por investigadores en Cylance, es una extensión de la investigación realizada por Aaron Spangler hace casi 20 años, y se le conoce como redirección a SMB. Esta debilidad puede permitir a un atacante forzar a las víctimas para tratar de autenticar a un servidor controlado por el atacante.
"Redirección a SMB es una manera en que los atacantes roban valiosas credenciales de usuario mediante el secuestro de las comunicaciones con los servidores web legítimos a través de man-in-the-middle, y luego enviarlos a servidores SMB maliciosos (Server Message Block) que les obligan a entregar el nombre de usuario, dominio y contraseña en algoritmo hash de la víctima ", dice una entrada en el blog de Brian Wallace de Cylance.
"Hemos descubierto Redirección a SMB mientras que buscabamos formas de abusar de una función de cliente de chat que ofrece vistas previas de imágenes. Cuando se recibió una URL a una imagen, el cliente intentaba mostrar una vista previa de la imagen. Inspirados por la investigación de Aaron hace unos 18 años, le enviamos rapidamente otro usuario un URL que comienza con file:// que apuntaba a un servidor SMB malicioso. Efectivamente, el cliente de chat trató de cargar la imagen, y el usuario de Windows en el otro extremo intentó autenticarse con nuestro servidor SMB ".
La falla de redirección a SMB no sólo afecta a todas las versiones actuales de Windows, sino también Flash, algunos clientes de GitHub, algunos software de Oracle y varias aplicaciones de seguridad. Los expertos del CERT / CC en la Universidad Carnegie Mellon advirtieron que una vez que un atacante es capaz de agarrar las credenciales de la víctima, las contraseñas pueden ser descifradas fuera de línea.
"Muchos de los productos de software utilizan solicitudes HTTP para diversas funciones como la verificación de actualización de software. Un usuario malintencionado puede interceptar dichas solicitudes (por ejemplo, con un proxy MITM) y utilice redirección HTTP para redirigir a la víctima un servidor SMB malicioso. Si la redirección es una URL file:// y la víctima está ejecutando Microsoft Windows, Windows intentará automáticamente de autenticar al servidor SMB malicioso al proporcionar credenciales de usuario de la víctima con el servidor. Estas credenciales pueden ser registradas por el servidor malicioso. Las credenciales son encriptadas, pero pueden ser atacados por fuerza bruta para romper el cifrado ", dice el aviso del CERT.
Microsoft no ha lanzado un parche para esta vulnerabilidad. Los investigadores dicen que la técnica del ataque desarrollado por Cylance puede hacer la explotación de la vulnerabilidad mucho más simple.
"Este es un ataque que puede ser fácilmente abusado para aumentar significativamente la posibilidad de explotación de los sistemas cliente de Windows que se comunican en redes no confiables o comprometidas. Mientras que las herramientas como KARMA, Metasploit, y Responder.py dependen del usuario para realizar una conexión SMB al atacante, la investigación Cylance mejora en el ataque al abusar de cómo son manejadas por los procesos las HTTP redirecciones que llaman a la API de URLMON ", dijo HD Moore , jefe de investigación de Rapid7.
"La investigación de Cylance muestra que lugar de esperar a que el usuario abra su navegador o manualmente se conecte a un recurso compartido de red, un atacante puede buscar peticiones HTTP automáticas enviadas por aplicaciones en segundo plano y redirigirlos a file://URL, lo que provoca una conexión SMB y la autenticación automática. Teniendo en cuenta el número de aplicaciones típicas de una computadora portátil o tableta corriendo en segundo plano, esto puede acelerar drásticamente la captura SMB y retransmitir los ataques contra equipos portátiles y tabletas basadas en Windows que se conectan a las redes inalámbricas inseguras.
"En un portátil con Windows 8.1, se hicieron al menos 50 conexiones HTTP diferentes después de un reinicio y dentro de 5 minutos, la mayor parte de lo que podría ser secuestrado por un atacante de la red local para forzar la autenticación SMB a un servicio malicioso. La fuente de estas conexiones varió de revisiones OEM para "Actualizar" para el clima y noticias aplicaciones ".
Un uso potencial para esta vulnerabilidad podría ser como parte de un ataque multi-etapa.
"Yo esperaría que esta vulnerabilidad sea utilizada como parte de un ataque de phishing en dos etapas: en primer lugar tratar de explotar vulnerabilidades, incluyendo ésta, después de conseguir que el usuario haga clic en un enlace en un correo electrónico, y luego trate de hacer algo más conseguiendo que el usuario "Inicie sesión" a un portal falso, o la descarga de software que se hace cargo de la máquina. De esta forma, los atacantes pueden ser moderadamente eficaces incluso si el usuario cae en nada después de la apertura de la página ", dijo Patrick Nielsen, investigador senior de seguridad de Kaspersky Lab.
"El ataque de autentificación SMB es interesante sobre todo para llevar a cabo nuevos ataques contra una sola entidad de destino, y sobre todo si es atraído algún usuario con acceso elevado, como un Operador de Active Directory."
"Redirección a SMB es una manera en que los atacantes roban valiosas credenciales de usuario mediante el secuestro de las comunicaciones con los servidores web legítimos a través de man-in-the-middle, y luego enviarlos a servidores SMB maliciosos (Server Message Block) que les obligan a entregar el nombre de usuario, dominio y contraseña en algoritmo hash de la víctima ", dice una entrada en el blog de Brian Wallace de Cylance.
"Hemos descubierto Redirección a SMB mientras que buscabamos formas de abusar de una función de cliente de chat que ofrece vistas previas de imágenes. Cuando se recibió una URL a una imagen, el cliente intentaba mostrar una vista previa de la imagen. Inspirados por la investigación de Aaron hace unos 18 años, le enviamos rapidamente otro usuario un URL que comienza con file:// que apuntaba a un servidor SMB malicioso. Efectivamente, el cliente de chat trató de cargar la imagen, y el usuario de Windows en el otro extremo intentó autenticarse con nuestro servidor SMB ".
La falla de redirección a SMB no sólo afecta a todas las versiones actuales de Windows, sino también Flash, algunos clientes de GitHub, algunos software de Oracle y varias aplicaciones de seguridad. Los expertos del CERT / CC en la Universidad Carnegie Mellon advirtieron que una vez que un atacante es capaz de agarrar las credenciales de la víctima, las contraseñas pueden ser descifradas fuera de línea.
"Muchos de los productos de software utilizan solicitudes HTTP para diversas funciones como la verificación de actualización de software. Un usuario malintencionado puede interceptar dichas solicitudes (por ejemplo, con un proxy MITM) y utilice redirección HTTP para redirigir a la víctima un servidor SMB malicioso. Si la redirección es una URL file:// y la víctima está ejecutando Microsoft Windows, Windows intentará automáticamente de autenticar al servidor SMB malicioso al proporcionar credenciales de usuario de la víctima con el servidor. Estas credenciales pueden ser registradas por el servidor malicioso. Las credenciales son encriptadas, pero pueden ser atacados por fuerza bruta para romper el cifrado ", dice el aviso del CERT.
Microsoft no ha lanzado un parche para esta vulnerabilidad. Los investigadores dicen que la técnica del ataque desarrollado por Cylance puede hacer la explotación de la vulnerabilidad mucho más simple.
"Este es un ataque que puede ser fácilmente abusado para aumentar significativamente la posibilidad de explotación de los sistemas cliente de Windows que se comunican en redes no confiables o comprometidas. Mientras que las herramientas como KARMA, Metasploit, y Responder.py dependen del usuario para realizar una conexión SMB al atacante, la investigación Cylance mejora en el ataque al abusar de cómo son manejadas por los procesos las HTTP redirecciones que llaman a la API de URLMON ", dijo HD Moore , jefe de investigación de Rapid7.
"La investigación de Cylance muestra que lugar de esperar a que el usuario abra su navegador o manualmente se conecte a un recurso compartido de red, un atacante puede buscar peticiones HTTP automáticas enviadas por aplicaciones en segundo plano y redirigirlos a file://URL, lo que provoca una conexión SMB y la autenticación automática. Teniendo en cuenta el número de aplicaciones típicas de una computadora portátil o tableta corriendo en segundo plano, esto puede acelerar drásticamente la captura SMB y retransmitir los ataques contra equipos portátiles y tabletas basadas en Windows que se conectan a las redes inalámbricas inseguras.
"En un portátil con Windows 8.1, se hicieron al menos 50 conexiones HTTP diferentes después de un reinicio y dentro de 5 minutos, la mayor parte de lo que podría ser secuestrado por un atacante de la red local para forzar la autenticación SMB a un servicio malicioso. La fuente de estas conexiones varió de revisiones OEM para "Actualizar" para el clima y noticias aplicaciones ".
Un uso potencial para esta vulnerabilidad podría ser como parte de un ataque multi-etapa.
"Yo esperaría que esta vulnerabilidad sea utilizada como parte de un ataque de phishing en dos etapas: en primer lugar tratar de explotar vulnerabilidades, incluyendo ésta, después de conseguir que el usuario haga clic en un enlace en un correo electrónico, y luego trate de hacer algo más conseguiendo que el usuario "Inicie sesión" a un portal falso, o la descarga de software que se hace cargo de la máquina. De esta forma, los atacantes pueden ser moderadamente eficaces incluso si el usuario cae en nada después de la apertura de la página ", dijo Patrick Nielsen, investigador senior de seguridad de Kaspersky Lab.
"El ataque de autentificación SMB es interesante sobre todo para llevar a cabo nuevos ataques contra una sola entidad de destino, y sobre todo si es atraído algún usuario con acceso elevado, como un Operador de Active Directory."
