Перейти на Sec.Ru
Рейтинг@Mail.ru

20 апреля 2015

Найден принципиально новый метод компрометации данных в компьютерах под управлением Windows

Компания «Cyclance» объявила об обнаружении нового метода хищения логинов и паролей с компьютера под управлением операционной системы Windows.

Эксперты из калифорнийской компании сообщили, что похитить логины и пароли посредством уязвимости в Windows. Уязвимость содержится в Windows, но затрагивает около трех десятков продуктов сторонних разработчиков. В их число вошли: Adobe Reader, Apple QuickTime, Apple Software Update, Microsoft Internet Explorer, Microsoft Windows Media Player, Microsoft Excel, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus и др.

Новый метод эксперты назвали «Перенаправление на SMB» (Redirect to SMB). Протокол Server Message Block (SMB) предназначен для обмена файлами по сети. Он позволяет приложению или пользователю приложения получить доступ к файлам и другим ресурсам на удаленном сервере. Приложение может читать файлы на удаленном сервере, создавать их и модифицировать. Суть метода Redirect to SMB заключается в перехвате канала с доверенным сервером при помощи атаки «человек посередине» и прокладке маршрута через подставной сервер SMB с программным обеспечением, извлекающим из сетевых пакетов необходимые данные.

Метод использует уязвимость, найденную в 1997 году Аароном Спэнглером (Aaron Spangler). Он обнаружил, что если ввести в Internet Explorer адрес, начинающийся со слова file, например, file://1.1.1.1/, браузер попытается связаться с SMB-сервером по адресу 1.1.1.1.

Исследователи обнаружили новый метод взлома при попытке скомпрометировать приложение чата. Когда приложение получало URL на изображение, оно пыталось автоматически отобразить его уменьшенную копию. Исследователи отправили приложению URL: file://192.168.36.207/adorable-cats.gif. Как и в случае с адресами приложение попыталось загрузить изображение по указанному адресу, чтобы сформировать превью. В действительности оно попыталось установить связь с SMB севером исследователей, расположенным по IP-адресу 192.168.36.207.

Затем исследователи запустили вебсервер, отвечающий на любой запрос к нему кодом HTTP 302 (запрошенный документ временно доступен по другому адресу). Вместе с этим кодом сервер отправляет новый адрес для браузера – file://192.168.36.207/adorable-cats.gif. Таким образом, на любой запрос к вебсерверу злоумышленника, браузер на компьютере жертвы перейдет на SMB-сервер с программным обеспечением для извлечения логинов и паролей.

Исследователи выяснили, что злоумышленники могут перехватывать не только запросы из Internet Explorer, но и запросы из установленного на персональном компьютере программного обеспечения к серверам разработчиков. Эти запросы могут отправляться для загрузки обновлений, проверки подлинности продукта и в других случаях.

Компания «Microsoft» пока не отреагировала на проблему. Для защиты исследователи рекомендуют блокировать исходящий трафик через порты TCP 139 и TCP 445.

Просмотров: 1684

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru