5301
Сотні мільйонів користувачів ПК в небезпеці через нову «дірку» в Windows
— Технології&Авто
Уразливість в Windows дозволяє зловмисникам зламувати близько трьох десятків продуктів як самої Microsoft, так і сторонніх вендорів, і витягати з них логіни і паролі користувачів. Експерти стверджують, що в групі ризику можуть перебувати сотні мільйонів власників ПК.
Експерти з каліфорнійської компанії Cyclance, що спеціалізується на захисті підприємств від інформаційних загроз, оголосили про виявлення нового методу розкрадання логінів і паролів з будь-якого комп’ютера під управлінням операційної системи Windows, включаючи Windows 10, випуск фінальної версії якої запланований на 2015 р. Аналітики кажуть, що під загрозою можуть знаходитися сотні мільйонів користувачів.
У компанії повідомили, що викрасти логіни і паролі за допомогою вразливості в Windows можна приблизно в трьох десятках продуктах як самої Microsoft, так і сторонніх розробників. У число цих продуктів увійшли: Adobe Reader, Apple QuickTime, Apple Software Update (встановлює оновлення для iTunes), Microsoft Internet Explorer, Microsoft Windows Media Player, Microsoft Excel, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus та ін.
Новий метод експерти назвали Redirect to SMB («Перенаправлення на SMB», де SMB – вузол, здатний встановлювати з’єднання по протоколу Server Message Block).
Протокол Server Message Block призначений для обміну файлами по мережі. Він дозволяє додатку (або користувачеві додатку) отримувати доступ до файлів та інших ресурсів на віддаленому сервері. Додаток може читати файли на віддаленому сервері, створювати їх і модифікувати.
Протокол Server Message Block призначений для обміну файлами по мережі. Він дозволяє додатку (або користувачеві додатку) отримувати доступ до файлів та інших ресурсів на віддаленому сервері. Додаток може читати файли на віддаленому сервері, створювати їх і модифікувати.
Суть методу Redirect to SMB, що дозволяє зловмисникові вкрасти логіни і паролі, полягає в перехопленні каналу з довіреним сервером за допомогою атаки «людина посередині» (man-in-the-middle) та прокладання маршруту через підставний сервер SMB з програмним забезпеченням, що витягує з мережевих пакетів необхідні дані.
Метод заснований на уразливості, знайденої в 1997 р Аароном Спенглером (Aaron Spangler). Він виявив, що якщо ввести в Internet Explorer адреса, що починається зі слова file (наприклад, file: //1.1.1.1/), браузер спробує зв’язатися з SMB-сервером за адресою 1.1.1.1.
Дослідники розповіли, що вони виявили новий метод злому, коли намагалися скомпрометувати додаток чату (вони не повідомили, який саме). Коли додаток отримувало URL на зображення, воно намагалося автоматично відобразити його превью (зменшену копію). Дослідники відправили додатком URL, що починається з file (наприклад, file: //192.168.36.207/adorable-cats.gif). Як і у випадку з адресами, що починаються з http, додаток спробувало завантажити зображення за цією адресою, щоб сформувати превью. Насправді ж воно спробувало встановити зв’язок з SMB-сервером дослідників, розташованим за IP-адресою 192.168.36.207.
Дослідники розповіли, що вони виявили новий метод злому, коли намагалися скомпрометувати додаток чату (вони не повідомили, який саме). Коли додаток отримувало URL на зображення, воно намагалося автоматично відобразити його превью (зменшену копію). Дослідники відправили додатком URL, що починається з file (наприклад, file: //192.168.36.207/adorable-cats.gif). Як і у випадку з адресами, що починаються з http, додаток спробувало завантажити зображення за цією адресою, щоб сформувати превью. Насправді ж воно спробувало встановити зв’язок з SMB-сервером дослідників, розташованим за IP-адресою 192.168.36.207.
Потім дослідники написали на мові Python і запустили веб-сервер, що відповідає на будь-який запит до нього кодом HTTP 302 (запитаний документ тимчасово доступний за іншою адресою). Разом з цим кодом сервер відправляє нову адресу для браузера – file: //192.168.36.207/adorable-cats.gif. Таким чином при будь-якому запиті до веб-сервера зловмисника, браузер на комп’ютері жертви перейде на SMB-сервер з ПЗ для витягання логінів і паролів.
Дослідники з’ясували, що зловмисники можуть перехоплювати не лише запити з Internet Explorer, але і запити зі встановленого на ПК програмного забезпечення до серверів розробників. Ці запити можуть відправлятися для завантаження оновлень, перевірки достовірності продукту і в багатьох інших випадках.
Поки Microsoft не звернула увагу на дану проблему. Для захисту дослідники рекомендують блокувати вихідний трафік через порти TCP 139 і TCP 445. «Ми розраховуємо, що Microsoft перегляне своє ставлення до цієї уразливості і заборонить з’єднання з довільними SMB-серверами», – уклали експерти.
За матеріалами: cnews
Поділитися новиною
Також за темою
Volkswagen відкликає понад 44 тис. електрокросоверів ID.4
Apple планує оснастити iPhone 18 Pro підтримкою Starlink
Chrome зі штучним інтелектом: Google розкрив революційне оновлення з Gemini 3
Як формується тариф на зарядку електромобілів
OpenAI може запустити соцмережу з біометричною перевіркою користувачів
LG запровадила підписку на свої телевізори та монітори
