¿Qué diría si le dijéramos que su versión de Windows se ve afectada por una vulnerabilidad en caso de que Google anuncie vulnerabilidades antes de que se hayan corregido? ¿Debería Google anunciar vulnerabilidades antes de haber sido parcheadas? ¿Por qué Google informa vulnerabilidades en Microsoft Windows? ¿Es la forma en que Google enseña a sus competidores ser más eficientes? ¿Qué hay de los usuarios? ¿El cumplimiento estricto de Google de los plazos es lo mejor para nosotros? Lea más que data de 1997? Te reirías, ¿verdad? Seguramente, después de todo, Microsoft habría solucionado el problema antes de lanzar Windows 98 o, como máximo, Windows 2000.
Bueno, no del todo.
Esta vulnerabilidad de redirigir a SMB tiene sus raíces en el ataque con el mismo nombre descubierto por Aaron Spangler hace 18 años. Y es un problema sobre el que debe hacer algo, porque no solo afecta a Windows, sino también a los programas de Adobe, Apple, Symantec e incluso la vista previa de Windows 10.
Redirigir a SMB: ¿qué hace?
Afectando a PC, tabletas y servidores con Windows, redirigir a SMB, descubierto por Brian Wallace de Cylance, es un desarrollo de la vulnerabilidad original.
En 1997, Spangler descubrió que la introducción de URLS que comenzaba con "archivo" provocaría que Windows intentara la autenticación con un servidor SMB en la dirección IP dada (por ejemplo, archivo: //1.1.1.1), que luego podría usarse para registrar credenciales de inicio de sesión. Estas URL se pueden introducir como imágenes, marcos flotantes o cualquier otro medio que muestre el navegador.
SMB es el protocolo de bloques de mensajes del servidor, que se utiliza principalmente para compartir archivos, impresoras y puertos serie en una red. Varias versiones se han lanzado a lo largo de los años (Samba es una fuente abierta Software de código abierto y bifurcando: el bueno, el grande y el feo software de código abierto y bifurcando: el bueno, el grande y el feo a veces, los beneficios para el usuario final En ocasiones, la bifurcación se realiza bajo un velo de ira, odio y animosidad. Veamos algunos ejemplos: implementación de Read More, aunque no hay ninguna sugerencia de que la vulnerabilidad exista allí) y ha sido durante mucho tiempo un objetivo, con exploración en tiempo real que demuestra que SMB es uno de los vectores de ataque más populares para los intrusos en línea. Se informó en diciembre que el hack de Sony Pictures se realizó utilizando una vulnerabilidad SMB.
Redirect to SMB fue descubierto por el equipo de Cylance mientras investigaban formas de abusar de un cliente de chat.
"Cuando se recibió una URL para una imagen, el cliente intentó mostrar una vista previa de la imagen. Inspirados por la investigación de Aaron hace unos 18 años, rápidamente enviamos a otro usuario una URL que comenzaba con el archivo: // que apuntaba a un servidor SMB malicioso. Sin duda, el cliente de chat intentó cargar la imagen, y el usuario de Windows en el otro extremo intentó autenticarse con nuestro servidor SMB.
"Creamos un servidor HTTP en Python que respondía a todas las solicitudes con un simple código de estado HTTP 302 para redirigir a los clientes a un archivo: // URL, y con eso pudimos confirmar que una URL http: // podría conducir a una autenticación intento desde el sistema operativo ".
Después de todo, no lleva mucho pedirle a alguien que ingrese sus credenciales, solo un cuadro de diálogo de aspecto legítimo.
Cómo redirigir a SMB puede ser usado en su contra
Se pueden usar cuatro funciones API de Windows para redirigir una conexión HTTP o HTTPS. ¿Qué es HTTPS y cómo habilitar conexiones seguras por defecto? ¿Qué es HTTPS? ¿Cómo habilitar conexiones seguras por defecto? Las preocupaciones de seguridad se están extendiendo y han alcanzado la vanguardia. la mente de todos. Los términos como antivirus o firewall ya no son un vocabulario extraño y no solo son entendidos, sino que también son utilizados por ... Leer más en una conexión SMB, donde un servidor malicioso puede esperar para desviar las credenciales del usuario y reutilizarlas para fines nefastos.
Brian Wallace explica que para redirigir a SMB para tener éxito, el atacante debe estar razonablemente avanzado ya que existe el requisito de "controlar ... algún componente del tráfico de red de una víctima".
También señala que las amenazas pueden venir en la forma de anuncios maliciosos forzando intentos de autenticación, y Redirigir a SMB también se puede utilizar en una unidad mediante hackeo en redes Wi-Fi públicas (peligroso en el mejor de los casos 3 Peligros de iniciar sesión Para Wi-Fi público 3 Peligros de iniciar sesión en Wi-Fi público Ha escuchado que no debe abrir PayPal, su cuenta bancaria y posiblemente ni siquiera su correo electrónico mientras usa wifi público. ¿Pero cuáles son los riesgos reales? Lea más), lanzado desde una computadora portátil, e incluso un teléfono inteligente Android.
Potencialmente, uno de los vectores de ataque más peligrosos desatados por Redirect to SMB es a través del iTunes Software Updater de Apple. En este escenario, un registro DNS comprometido Cómo cambiar sus servidores DNS y mejorar la seguridad de Internet Cómo cambiar sus servidores DNS y mejorar la seguridad de Internet Imagine esto: se despierta una hermosa mañana, se sirve una taza de café y se sienta a su computadora para comenzar con su trabajo del día. Antes de que realmente consigas ... Read More podría redirigir las actualizaciones dirigidas a un servidor SMB, una vez más, con el resultado de que las credenciales se generan mediante un clásico ataque Man-In-The-Middle. ¿Qué es un hombre en el medio? ¿Ataque? Jerga de Seguridad Explicada ¿Qué es un ataque Man-in-the-Middle? Explicación de jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está seguro de lo que eso significa, este es el artículo para usted. Lee mas .
En pocas palabras, esta es una vulnerabilidad que debería haberse cerrado hace 18 años. Si bien Microsoft ofreció formas de mitigarlo, la oposición, los sombreros negros, se han vuelto mucho más sofisticados en sus ataques, con más y más usuarios de Internet que representan un gran día de pago. Ahora parece ser el momento para que Microsoft actúe de forma conjunta en materia de seguridad de las pequeñas y medianas empresas.
Software afectado por Re-Direct a SMB
De acuerdo, es tiempo de respiración profunda. Además de todas las versiones de Windows de mediados de la década de 1990, Redirect to SMB también afecta a una amplia selección de aplicaciones y utilidades del sistema (al menos 31) de algunos de los nombres más importantes de la industria. Para comenzar, Microsoft y Apple.
Microsoft:
- Internet Explorer 11
- reproductor de medios de Windows
- Excel 2010
- Microsoft Baseline Security Analyzer
Manzana:
- Tiempo rapido
- Actualización de software Apple iTunes
Frustrante para una vulnerabilidad de este tipo, el software de seguridad también se ve afectado.
- Symantec Norton Security Scan
- AVG gratis
- BitDefender Gratis
- Comodo Antivirus
Aplicaciones de productividad conocidas por ser vulnerables a Redirigir a SMB:
- Adobe Reader
- Box Sync (la aplicación de cliente en la nube Box.net)
- La vista de el equipo
Estas utilidades e instaladores también se ven afectados:
- Reflector .NET
- Maltego CE
- GitHub para Windows
- PyCharm
- IntelliJ IDEA
- Tormenta PHP
- El instalador de Oracle JDK 8u31
Como puede ver, esta es toda una lista, con cada aplicación una potencial puerta de acceso a sus credenciales para un atacante. ¿Pero qué puedes hacer al respecto?
¿Solución alternativa o espera un parche?
Se dice que Microsoft está trabajando en un parche para corregir la vulnerabilidad Redirigir a SMB. Pero hasta que eso suceda, ¿qué puedes hacer?
Según informaron los expertos en seguridad cibernética, Cylance, la mejor solución es bloquear el tráfico enviado desde su computadora a través de su cortafuegos de software oa través de su enrutador, en TCP 139 y TCP 445. Esto bloqueará la comunicación SMB entre su red e Internet, y si el cambio se realiza en el firewall de la red, aún podrá usar SMB entre dispositivos en su red local. Nuestra guía para el Firewall de Windows explica cómo crear estas reglas Firewall de Windows 7: cómo se compara con otros cortafuegos Firewall de Windows 7: cómo se compara con otros cortafuegos Windows 7 contiene un cortafuegos discreto y fácil de usar que protege su computadora contra el ingreso tráfico. Si está buscando opciones más avanzadas, como la capacidad de controlar el tráfico saliente o ver las aplicaciones usando su ... Lea más en solo unos segundos; para su enrutador, deberá verificar la documentación del dispositivo.
Dada la amplitud de los sistemas operativos y aplicaciones afectados por esta vulnerabilidad, y con la inminente llegada de Windows 10, ¿no es hora de que Microsoft haga algo al respecto?
Créditos de imagen: contraseña a través de Shutterstock