Supuesta "nueva" vulnerabilidad de 18 años en Windows
Investigadores de seguridad de la empresa Cylance han desenterrado un fallo de seguridad en todas las versiones de Windows que supuestamente podría permitir robar credenciales de usuarios en cualquier versión del sistema operativo.
El error denominada "Redirect to SMB" es una variante de una vulnerabilidad descubierta por Aaron Spangler hace casi 18 años y según Cylance la debilidad no fue nunca parcheada por Microsoft. Esta "nueva vulnerabilidad" es la misma de toda la vida y que siempre se puedo "explotar" mediante por ejemplo CAIN. Aquí explican cómo hacerlo en un nuevo escenario.
SMB (Server Message Block) es un protocolo que permite a los usuarios compartir archivos a través de una red. En sistemas operativos Windows, SMB es utilizado por empresas y organizaciones para compartir archivos en toda su red.
Al momento de solicitar un archivo desde el servidor, Windows intenta automáticamente autenticar el servidor SMB proporcionando al sistema las credenciales de los usuarios en el servidor. Si un atacante puede obligar a la víctima para que intente autenticarse en un servidor SMB malicioso, sólo necesita interceptar esta petición HTTP (usando Man-in-the-Middle y ARP poisoning) para acceder a la credenciales del usuario.
Cuando una víctima ingresa una URL que empieza con "file://" -o hace clic en un enlace malicioso-, Windows cree que el usuario intenta acceder a un archivo en un servidor, y debido a esta "vulnerabilidad", Windows intentará automáticamente autenticarse en el servidor SMB malicioso proporcionando credenciales de inicio de sesión del usuario al servidor.
Cylance ha publicado un paper y varios videos pero de todos modos esto no deja de er un FUD publicitario con mucho humo de por medio.
Cristian de la Redacción de Segu-Info
El error denominada "Redirect to SMB" es una variante de una vulnerabilidad descubierta por Aaron Spangler hace casi 18 años y según Cylance la debilidad no fue nunca parcheada por Microsoft. Esta "nueva vulnerabilidad" es la misma de toda la vida y que siempre se puedo "explotar" mediante por ejemplo CAIN. Aquí explican cómo hacerlo en un nuevo escenario.
SMB (Server Message Block) es un protocolo que permite a los usuarios compartir archivos a través de una red. En sistemas operativos Windows, SMB es utilizado por empresas y organizaciones para compartir archivos en toda su red.
Al momento de solicitar un archivo desde el servidor, Windows intenta automáticamente autenticar el servidor SMB proporcionando al sistema las credenciales de los usuarios en el servidor. Si un atacante puede obligar a la víctima para que intente autenticarse en un servidor SMB malicioso, sólo necesita interceptar esta petición HTTP (usando Man-in-the-Middle y ARP poisoning) para acceder a la credenciales del usuario.
Cuando una víctima ingresa una URL que empieza con "file://" -o hace clic en un enlace malicioso-, Windows cree que el usuario intenta acceder a un archivo en un servidor, y debido a esta "vulnerabilidad", Windows intentará automáticamente autenticarse en el servidor SMB malicioso proporcionando credenciales de inicio de sesión del usuario al servidor.
¿Qué dice Microsoft?
Microsoft ha restado importancia al "descubrimiento" de Cylance y a la gravedad de la falla diciendo que el problema no era nuevo en absoluto y las probabilidades de ser víctimas de este ataque son escasas.No estamos de acuerdo con Cylance en decir que este es un "nuevo tipo de ataque" porque los ciberdelincuentes deberían involucrar en una serie de tácticas nefastas para realizar el ataques con éxtio.
¿Quiénes se ven afectados?
Cyclance afirma que 31 programas son vulnerables a la falla SMB, incluídos: Adobe Reader, Apple QuickTime, iTunes, Internet Explorer, Windows Media Player, Excel 2010, Github para Windows, JDK 8u31, .NET Reflector, Maltego, Symantec Norton Security Scan, Comodo Antivirus, BitDefender, AVG y TeamViewer.¿Cómo protegerse contra este fallo?
Nada nuevo bajo el sol: la forma más sencilla para proteger contra este problema es bloquear (con un firewall) el tráfico saliente de TCP en los puertos 139 y 445. Se debe evitar comunicaciones SMB fuera de la red.Cylance ha publicado un paper y varios videos pero de todos modos esto no deja de er un FUD publicitario con mucho humo de por medio.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!