導讀:最新發現,一個舊漏洞的新變種影響著所有版本的Windows,并可能導致中間人攻擊。
新的“Redirect to SMB(重定向到SMB協議)”漏洞是18年前發現的一個漏洞的變種,可導致所有版本的Windows遭受中間人攻擊。
最新發現,一個舊漏洞的新變種影響著所有版本的Windows,并可能導致中間人攻擊。
Cylance安全公司SPEAR團隊的高級研究人員Brian Wallace在博客文章中介紹了被稱為“Redirect to SMB”的漏洞,據說該漏洞影響著所有版本的Windows,以及來自Adobe Systems、蘋果、Box、微軟、Oracle和賽門鐵克等31家公司的其他軟件。
Cylance表示,該漏洞可能被攻擊者用來執行中間人攻擊,以及通過劫持與合法Web服務器的通信來竊取用戶登錄憑證。
Redirect to SMB是基于18年前Aaron Spangler進行的研究,它是一個舊漏洞的變種,微軟承諾在2009年修復該漏洞,但最終沒有這么做,只是發布了公告和解決方法。
原漏洞(CWE-201)最早于2008年7月被披露。攻擊者可以通過誘騙目標人員點擊鏈接來執行攻擊,該鏈接是以file://開頭的網址,這可能導致操作系統嘗試使用服務器消息塊(SMB)協議來驗證服務器身份,并允許攻擊者讓目標機器崩潰。
Redirect to SMB攻擊對原來的方法進行了擴展,首先創建一個方法來將目標從HTTP服務器重定向到SMB服務器,然后允許通過HTTP/HTTPS傳輸憑證數據。Wallace稱,Cylance發現四個常用Windows API功能會允許從HTTP/HTTPS到SMB的重定向,這意味著該漏洞也會影響其他軟件,包括Adobe Reader、Apple iTunes和IE等常用應用;針對Windows的GitHub等開發者工具;甚至還有賽門鐵克的Norton Security Scan等殺毒軟件。
Wallace表示,該漏洞最有可能被高級攻擊者用于有針對性的攻擊,因為攻擊者需要控制受害者網絡流量的某些組件。然而,Wallace也指出,攻擊者可能通過惡意廣告或通過共享Wi-Fi接入點來執行攻擊。
Wallace稱,最佳防御方法是阻止TCP端口139和445的出站流量,無論是在終端還是在網絡網關。但Wallace警告說,阻止TCP 139將阻止所有SMB通信,這可能禁用其他依賴SMB的功能。
微軟還沒有為該漏洞發布補丁,但該公司發言人提到了2009年的安全指導意見,這表明應采用相同的TCP阻止辦法。
微軟還指出,身份驗證擴展包括(Extended Protection for Authentication)等Windows功能可加強用于處理網絡連接登錄憑證的現有防御措施,以幫助緩解威脅。
京公網安備 11010502049343號