Bezpečnostná spoločnosť Cylance v pondelok zverejnila informácie o novom type útoku, ktorý dokáže pomerne efektívne zneužiť starú zraniteľnosť v operačnom systéme Windows a umožňuje útočníkovi získať prihlasovacie mená a heslá do Windows.
Pôvodná zraniteľnosť
Útok využíva bezpečnostnú slabinu v operačnom systéme Windows, na ktorú upozornil už v roku 1997 Aaron Spangler.
Slabina spočíva v automatickom pokuse Windows prihlásiť sa pri pripojení k serverom protokolu SMB aktuálnymi Windows prihlasovacími údajmi aktuálne prihláseného užívateľa.
Protokol SMB sa používa vo Windows na prístup k adresárom zdieľaným cez sieť z iných PC a serverov ale tiež na prístup k tlačiarňam a ďalším zdrojom. SMB sa používa najmä v LAN, Windows sa pokúša ale automaticky prihlasovať na ľubovoľný SMB server aj mimo LAN.
Ak tak útočník prinúti užívateľa pripojiť sa k SMB serveru na Internete pod jeho kontrolou, operačný systém Windows užívateľa automaticky zašle doménu, prihlasovacie meno a hashované heslo. Takto sa správa samotný operačný systém Windows napríklad pri otvorení sieťového disku ale aj Internet Explorer pri otvorení odkazu typu file://.
Microsoft doteraz toto správanie podľa Cylance nezmenil a takto sa pokúšajú prihlásiť všetky verzie Windows vrátane pripravovaného Windows 10.
Úspešný útok ale vyžaduje aj aktívnu spoluúčasť užívateľa a využitie techník sociálneho inžinierstva, miera jeho zneužiteľnosti tak bola doteraz pomerne limitovaná.
Nový útok "Redirect to SMB"
Cylance ale zistila, že viaceré volania programového rozhrania Windows pre otváranie URL sa správajú takto aj pri pôvodnom otvorení webového odkazu protokolu http:// následne presmerovaného na odkaz typu file://.
Zároveň zistila, že tieto API používa okrem Internet Explorera aj viacero rozšírených programov okrem iného pri vyhľadávaní vlastných aktualizácií. Zraniteľné API používajú napríklad Adobe Reader, Apple QuickTime, Apple Software Update, Windows Media Player, Excel 2010, Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, TeamViewer, Box Sync.
Zraniteľnosť je tak podľa nových zistení možné zneužiť dvomi novými spôsobmi.
Útočník môže na webovej stránke pod jeho kontrolou podstrčiť klasický webový HTTP odkaz smerujúci ale na URL, ktorá užívateľa automaticky po otvorení presmeruje na odkaz typu file://.
Okrem toho môže útočník so schopnosťou modifikovať dátovú prevádzku užívateľa respektíve do nej zasahovať, napríklad poskytujúc falošný WiFi hotspot alebo na nezabezpečenej alebo dokonca ľubovoľnej zdieľanej WiFi sieti, realizovať Man-In-The-Middle útok. Pri ňom presmerúva URL vyžiadané Internet Explorerom ale tiež aplikáciami používajúcimi zraniteľné API na odkazy typu file:// na SMB serveri pod jeho kontrolou.
Schéma útoku "Redirect to SMB", kliknite pre zväčšenie
Windows napadnutých užívateľov v takýchto scenároch samé odošlú doménu, meno a zahashované heslo na SMB server pod kontrolou útočníka.
Získané heslá
Pri štandardnej konfigurácii Windows útočník síce nezíska priamo heslá, získa totiž ich hashovanú podobu najčastejšie pomocou protokolu NTLMv2.
Na takéto hashe je ale možné v súčasnosti realizovať efektívny útok hrubou silou, ktorý skúša všetky možné heslá. Podľa Cylance napríklad GPU hardvér za cca tritisíc dolárov umožní odskúšať všetky heslá z písmen a číslic o maximálnej dĺžke osem znakov za cca 9.5 hodín.
Útok tak umožní efektívne získať veľkú časť bežných hesiel užívateľov.
Ochrana a reakcia Microsoftu
Najjednoduchšou formou ochrany pred útokom tohto typu je zablokovať odchádzajúce spojenia na TCP porty používané SMB, porty číslo 139 a 445.
Ak užívateľ nepotrebuje pristupovať na zdieľané adresáre ani v lokálnej sieti, spojenia môže zablokovať na firewalle priamo vo Windows.
Keďže prístup na zdieľané adresáre sa využíva najmä v lokálnych sieťach, bežne vyhovujúcim riešením môže byť zablokovanie odchádzajúcich spojení na porty 139 a 445 na firewalloch na rozhraní LAN a Internetu, v prípade domácností teda na domácich routeroch.
Demonštrácia útoku "Redirect to SMB" (video: Cylance)
Spoločnosť Microsoft zatiaľ riešenie neponúka. Naopak v prvotnom stanovisku pre americké médiá nové zverejnené informácie skôr zľahčuje, nie je ale jasné či pred týmto stanoviskom dôkladne analyzovala nový útok. V stanovisku totiž tvrdí, že pre zrealizovanie útoku je potrebné užívateľa nalákať na falošnú stránku a donútiť ho tam zadať "informácie". Pre zrealizovanie vyššie popísaného útoku to ale samozrejme potrebné nie je.
no, toto som cakal
Od: GustikPiestany
|
Pridané:
14.4.2015 13:47
ze to bude treba, v buducnosti blokovat aj odchadzajuce spojenia, lebo SPI (stateful packet inspection) firewall (co je vaecsina deploynutych firewallov) nepomoze, ak typek znutra otvori nejaky port. a k tomu sa da cloveka lahko prehovorit, kedze v modernych operacnych systemoch je prednastavenych tak strasne vela sluzieb, kere telefonuju ven, ze to tazko mat v tom seckom prehlad. ze to trafilo doposial len sambu, je skor prekvapenie. fakt, ze ten windows tie hesla prezradza ven, tak to je este horsie. aj ked teda, ked je pocitac v AD, tak by tieto spojenia mali byt kryptovane klucem AD servera, ale aj tam som si neni isty, ci to presne tak funguje, ako si ja myslim, pravdepodobne tam windows prejde potom na failsafe mod a tym padom je cela ta kryptografia na hovno.
Re: no, toto som cakal
Od: funkypunky
|
Pridané:
14.4.2015 20:28
To aj my. A potom sme ich cez shutdown -s -t 30 -f -m nazovPC -c 'sprava' vypinali. Ucitelka informatiky bola amater, netusila co sa deje a my sme sa len v rohu smiali.
Raz ked odisla na WC sme jej na pocitac nainstalovali Keylogger, dostali sa na skolsku stranku a zmenili sme jedalny listok. Preto si niektory ziaci mysleli, ze na obed bude 'Chlieb s cibulou' alebo 'Polievka Chukcka Norrisa'. Ach stare casy... :)
v buducnosti
Od: GustikPiestany
|
Pridané:
14.4.2015 13:52
v buducnosti sa teda bude moset pouzivat bud proxy server, alebo ked je to direkt LAN na WAN spojeny cez SPI firewall, ci to je teraz NAT, alebo verejne adresy skrz IPv6 je fuk, treba povolovat iba tie servicy von, kere clovek aj naozaj mieni pouzivat. a potom toto matchntu podla napr odchadzajuceho portu, napr pre bittorrent nevim port kam to pojde, ale mozem udat vlastny range.
secko co je mensie ako 1024 nema zmysel, tam iba 53, ale ten iba pre router (nie pre lan) a 80, 443, 587, 993, 22.
samozrejme, 25 nie, lebo tam sa pokusaju posielat spam a ked ma clovek nejakych zakaznikov ve vlastnom wlane, tak nemoze clovek vylucit, ze tam je nejaky zavireny XP, kery to bude chcet vyuzit.
Re: v buducnosti
Od: ...
|
Pridané:
15.4.2015 7:40
tak z bezne pouzivanych portov by som na tvojom mieste ponechal este tcp/20 a 21 (ftp), tcp/110 (pop3), tcp/143 (imap) a ani ta tcp/25 nie je uplne komplet zakazatelna, bo potom sa ti moze stat ze ani realne odosielane maily neodosles...
Re: v buducnosti
Od: GustikPiestany
|
Pridané:
15.4.2015 11:45
IMAP je v SSL - 993. POP3 nikdo nepotrebuje a FTP tiez nie.
Maily by sa skrz port 25 posielat nemali. Ja napr na mojom mailserveri (ak sa dobre pamatam) ani nemam nakonfigurovanu moznost posielania (relay) cez port 25. Port 587 to zastupuje kde sa zas neda primat maily(zvenka volado), ale iba odosielat a to tiez iba po authentifikacii a cez STARTTLS.
Uprimne dakujem redakcii za pretrvavajucu vysoku uroven nadpisov. Normalne ma to bavi (a myslim, ze aj inych), ze okrem informacie z clanku mam este aj potesenie z nadpisu. Prirovnal by som to k dobremu a dobre naservirovanemu jedlu: okrem nasytenia mam este pozitok z pekneho naaranzovania, prestierania a vinka k tomu.
A teraz k veci: skusil niekto vykonat ten utok a nasiel to heslo do sveta? Je to 42? Pekne prosim, nech ho este nevypina.
Re: No a co?
Od reg.: Jaa 1
|
Pridané:
14.4.2015 17:53
Pri brute force je jedno ako nezmyselne znejúce heslo máš,záleží len na jeho dĺžke.Či zadáš A,@ alebo ä je úplne jedno,znak ako znak.Len sa vyhnúť slovníkovému útoku čiže žiadne logické slová.
Re: No a co?
Od: lozkoZo Záchodu
|
Pridané:
14.4.2015 19:17
ono sa málokrát používajú sloveníkové útoky, ale skôr hash tabuľky kde už niekto daný hash skôr vypočítal, takže ak by bol hash len hesla, je málo pravdepodobné, že niekto by mal vygenerovaný hash aj na diakritiku - červená#čerešňa :)
Re: No a co?
Od: lozkoZo Záchodu
|
Pridané:
14.4.2015 19:20
... a ak by si si pozrel logy pokusov o prístupy na tvoj router zvonku - ak máš vonkajšiu IP, tak by si zistil že väčšinou ide o Čínu, USA a Rumunsko.. ani jeden zo štátov našu diakritiku nepoužíva ;)
Re: No a co?
Od: zlata rybka
|
Pridané:
15.4.2015 10:32
znak ako znak... len s tym rozdielom ze @ nie je pismeno, takisto ani #. tym padom narocnost uhadnutia hesla bruteforcom narasta. cize nie je uplne jedno ci pouzivas take znaky alebo nie.
Re: No a co?
Od: gerger
|
Pridané:
14.4.2015 16:09
Pokial hacknu bitcoin banu v cine, tak to mozno bude rychlejsie... Respektive ak maju pristup k nejakemu gpu superpocitacu, tak by to bolo rychle... Ale priznajme si, kto ma dlhe heslo do windowsu? (ok, ti, co maju odtlacky prstov a cistacku v notebooku)
Re: No a co?
Od: PCnityXXX
|
Pridané:
14.4.2015 16:27
Bitcoin farmy lamu SHA a nie NTLM... A pouzivaju priamo na to vyrobeny silicon, cize tazko by ti pomohli.
A zas minovat na GPU ma zmysel jedine ak vlastnis elektraren.
Ja som myslel, ze NTLM sa uz davno nepouziva a windows komplet presli na kerberos. Ak by tie PCcka posielali len kerberos tikety namiesto zahashovanych hesliel, tak zranitelnost neexistuje. Nie?
Kerberos bol ve Windowse tiez komplet rozhaseny, tam bol skandal par mesiacov dozadu.
A vobec, ked by tam vybehol na druheho s ticketom, tak sa druhy moze tiez vydavat za prveho a potom sa niekde snazit vlamat, kam ho nist. cize bez cekovania validity certifikatov sa to neda.