Chaque version de Windows est affectée par cette vulnérabilité - Que pouvez-vous faire à ce sujet?
Que diriez-vous si nous vous informions que votre version de Windows est affectée par une vulnérabilité Si Google annonçait des vulnérabilités avant qu'elles n'aient été corrigées? Google devrait-il annoncer les vulnérabilités avant qu’elles n’aient été corrigées? Pourquoi Google dénonce-t-il des vulnérabilités dans Microsoft Windows? Est-ce que cette façon d'enseigner à ses concurrents d'être plus efficace? Qu'en est-il des utilisateurs? Le strict respect des délais par Google est-il dans notre intérêt? Lire la suite qui remonte à 1997? Vous rigoleriez, non? Après tout, Microsoft aurait certainement corrigé le problème avant de publier Windows 98 ou au plus tard Windows 2000.?
Pas tout à fait.
Cette vulnérabilité de redirection vers SMB découle de l'attaque de même nom découverte par Aaron Spangler il y a 18 ans. Et c'est un problème sur lequel vous devez agir, car cela n'affecte pas uniquement Windows, mais également les programmes d'Adobe, Apple, Symantec et même l'aperçu Windows 10..
Rediriger vers SMB: que fait-il??
La redirection vers SMB, découverte par Brian Wallace de Cylance, affecte les ordinateurs, les tablettes et les serveurs Windows, et constitue un développement de la vulnérabilité d'origine.
En 1997, Spangler a constaté que l’introduction des URL à partir du “fichier” obligerait Windows à s'authentifier auprès d'un serveur SMB à l'adresse IP donnée (par exemple, fichier: //1.1.1.1), qui pourrait ensuite être utilisé pour enregistrer les informations d'identification de connexion. Ces URL peuvent être introduites sous forme d'images, d'iframes ou de tout autre média affiché par le navigateur..
SMB est le protocole Server Message Block, principalement utilisé pour le partage de fichiers, d'imprimantes et de ports série sur un réseau. Plusieurs versions ont été publiées au fil des ans (Samba est un logiciel open source et Forking: Les bons, les grands et les truands. Logiciel Open Source et Forking: Les bons, les grands et les truands. Parfois, les avantages pour l'utilisateur final beaucoup de fourches. Parfois, la fourchette est faite sous un voile de colère, de haine et d'animosité. Voyons quelques exemples. Lire la suite mise en œuvre, bien qu'il existe aucune suggestion que la vulnérabilité existe là-bas) et que cela a longtemps été une cible, avec une analyse en temps réel démontrant que SMB est l’un des vecteurs d’attaque les plus populaires pour les intrus en ligne. Il a été rapporté en décembre que le piratage de Sony Pictures avait été effectué à l'aide d'une vulnérabilité SMB..
L'équipe Cylance a découvert une redirection vers SMB alors qu'elle enquêtait sur les moyens d'abuser d'un client de discussion..
“Lors de la réception d'une URL vers une image, le client a tenté d'afficher un aperçu de l'image. Inspirés par les recherches d'Aaron il y a environ 18 ans, nous avons rapidement envoyé à un autre utilisateur une URL commençant par file: // et indiquant un serveur SMB malveillant. Certes, le client de conversation a essayé de charger l’image et l’utilisateur Windows de l’autre extrémité a tenté de s’authentifier auprès de notre serveur SMB..
“Nous avons créé un serveur HTTP en Python qui répondait à chaque demande avec un simple code d'état HTTP 302 pour rediriger les clients vers une URL file: //. Nous avons ainsi pu confirmer qu'une URL http: // pouvait mener à une tentative d'authentification. de l'OS.”
Après tout, il ne faut pas grand-chose pour inciter quelqu'un à saisir ses informations d'identification: il suffit d'une boîte de dialogue d'apparence légitime..
Comment la redirection vers SMB peut-elle être utilisée contre vous
Quatre fonctions API Windows peuvent être utilisées pour rediriger une connexion HTTP ou HTTPS. Qu'est-ce que HTTPS et comment activer des connexions sécurisées par défaut? Qu'est-ce que HTTPS et comment activer des connexions sécurisées par défaut? Les problèmes de sécurité se répandent de plus en plus tout le monde pense. Des termes comme antivirus ou pare-feu ne sont plus un vocabulaire étrange et ne sont pas seulement compris, mais aussi utilisés par une connexion SMB, où un serveur malveillant peut attendre de siphonner les informations d'identification de l'utilisateur et de les réutiliser à des fins néfastes.
Brian Wallace explique que, pour que Redirect for SMB réussisse, il faut que l'attaquant soit raisonnablement avancé, car il faut “contrôle… un élément du trafic réseau d'une victime.”
Il souligne également que les menaces peuvent prendre la forme d’annonces malveillantes forçant des tentatives d’authentification, et que Redirect to SMB peut également être utilisé dans un lecteur piraté sur des réseaux Wi-Fi publics (dangereux dans le meilleur des cas). 3 Dangers de la connexion To Public Wi-Fi 3 Dangers de la connexion au public Wi-Fi Vous avez entendu dire que vous ne devriez pas ouvrir PayPal, votre compte bancaire et peut-être même votre email lorsque vous utilisez le WiFi public. Mais quels sont les risques réels? En savoir plus) , lancé depuis un ordinateur portable et même un smartphone Android.
L'un des vecteurs d'attaque le plus dangereux déclenché par Redirect to SMB est via iTunes Software Updater. Dans ce scénario, un enregistrement DNS compromis Comment modifier vos serveurs DNS et améliorer la sécurité Internet Comment modifier vos serveurs DNS et améliorer la sécurité Internet Imaginez-vous - vous vous réveillez un beau matin, vous vous donnez une tasse de café, puis vous vous asseyez au votre ordinateur pour commencer votre travail de la journée. Avant que vous obteniez réellement… Read More risquait de rediriger les mises à jour vers un serveur SMB, ce qui entraînerait à nouveau le regroupement d'informations d'identification via une attaque classique de type Man-In-The-Middle. Qu'est-ce qu'une attaque Man-in-the-Middle? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type homme au milieu? Le jargon de la sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. Lire la suite .
En termes simples, il s'agit d'une vulnérabilité qui aurait dû être fermée il y a 18 ans. Alors que Microsoft offrait alors des moyens de la réduire, l'opposition - les chapeaux noirs - est devenue beaucoup plus sophistiquée dans ses attaques, avec de plus en plus d'utilisateurs d'Internet représentant une grosse journée payante. Il semble maintenant que le moment est venu pour Microsoft de s’associer à la sécurité des PME..
Logiciels concernés par Re-Direct to SMB
Ok, c'est l'heure du souffle profond. Outre chaque version de Windows au milieu des années 90, Redirect to SMB concerne également un large éventail d’applications et d’utilitaires système (au moins 31) de certains des plus grands noms du secteur. Pour commencer, Microsoft et Apple.
Microsoft:
- Internet Explorer 11
- Lecteur Windows Media
- Excel 2010
- Microsoft Baseline Security Analyzer
Pomme:
- Quick Time
- Mise à jour du logiciel Apple iTunes
Frustrant pour une vulnérabilité de ce type, les logiciels de sécurité sont également affectés.
- Symantec Norton Security Scan
- AVG gratuit
- BitDefender Gratuit
- Comodo Antivirus
Applications de productivité connues pour être vulnérables à la redirection vers SMB:
- Adobe Reader
- Box Sync (l'application client Cloud Box.net)
- TeamView
Ces utilitaires et installateurs sont également concernés:
- .Réflecteur NET
- Maltego CE
- GitHub pour Windows
- PyCharm
- IntelliJ IDEA
- Tempête PHP
- Programme d'installation d'Oracle JDK 8u31
Comme vous pouvez le constater, cette liste est assez longue, chaque application constituant une passerelle potentielle vers vos informations d’identité pour un attaquant. Mais que pouvez-vous faire à ce sujet?
Solution de contournement ou attente d'un correctif?
Microsoft travaillerait sur un correctif pour corriger la vulnérabilité de redirection vers SMB. Mais jusqu'à ce que cela se produise, que pouvez-vous faire?
Comme le rapportent les experts en cybersécurité Cylance, le mieux est de bloquer le trafic sortant de votre ordinateur via votre pare-feu logiciel ou votre routeur, sur les ports TCP 139 et TCP 445. Ceci bloque les communications SMB entre votre réseau et Internet. Si le changement est effectué sur le pare-feu du réseau, vous pourrez toujours utiliser SMB entre les périphériques de votre réseau local. Notre guide sur le Pare-feu Windows explique comment créer ces règles. Pare-feu Windows 7: Comparaison avec les autres pare-feu Pare-feu Windows 7: Comparaison avec les autres pare-feu trafic. Si vous recherchez des options plus avancées, telles que la possibilité de contrôler le trafic sortant ou d'afficher les applications à l'aide de votre… Lire la suite en quelques secondes seulement; pour votre routeur, vous devez vérifier la documentation de l'appareil.
Étant donné l’ampleur des systèmes d’exploitation et des applications touchées par cette vulnérabilité et l’arrivée imminente de Windows 10, n’est-il pas temps que Microsoft fasse quelque chose à ce sujet??
Crédits d'image: Mot de passe via Shutterstock
En savoir plus sur: la sécurité informatique, la sécurité en ligne, Windows.