20 апреля 2015
Найден принципиально новый метод компрометации данных в компьютерах под управлением Windows
Компания «Cyclance» объявила об обнаружении нового метода хищения логинов и паролей с компьютера под управлением операционной системы Windows.
Эксперты из калифорнийской компании сообщили, что похитить логины и пароли посредством уязвимости в Windows. Уязвимость содержится в Windows, но затрагивает около трех десятков продуктов сторонних разработчиков. В их число вошли: Adobe Reader, Apple QuickTime, Apple Software Update, Microsoft Internet Explorer, Microsoft Windows Media Player, Microsoft Excel, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus и др.
Новый метод эксперты назвали «Перенаправление на SMB» (Redirect to SMB). Протокол Server Message Block (SMB) предназначен для обмена файлами по сети. Он позволяет приложению или пользователю приложения получить доступ к файлам и другим ресурсам на удаленном сервере. Приложение может читать файлы на удаленном сервере, создавать их и модифицировать. Суть метода Redirect to SMB заключается в перехвате канала с доверенным сервером при помощи атаки «человек посередине» и прокладке маршрута через подставной сервер SMB с программным обеспечением, извлекающим из сетевых пакетов необходимые данные.
Метод использует уязвимость, найденную в 1997 году Аароном Спэнглером (Aaron Spangler). Он обнаружил, что если ввести в Internet Explorer адрес, начинающийся со слова file, например, file://1.1.1.1/, браузер попытается связаться с SMB-сервером по адресу 1.1.1.1.
Исследователи обнаружили новый метод взлома при попытке скомпрометировать приложение чата. Когда приложение получало URL на изображение, оно пыталось автоматически отобразить его уменьшенную копию. Исследователи отправили приложению URL: file://192.168.36.207/adorable-cats.gif. Как и в случае с адресами приложение попыталось загрузить изображение по указанному адресу, чтобы сформировать превью. В действительности оно попыталось установить связь с SMB севером исследователей, расположенным по IP-адресу 192.168.36.207.
Затем исследователи запустили вебсервер, отвечающий на любой запрос к нему кодом HTTP 302 (запрошенный документ временно доступен по другому адресу). Вместе с этим кодом сервер отправляет новый адрес для браузера – file://192.168.36.207/adorable-cats.gif. Таким образом, на любой запрос к вебсерверу злоумышленника, браузер на компьютере жертвы перейдет на SMB-сервер с программным обеспечением для извлечения логинов и паролей.
Исследователи выяснили, что злоумышленники могут перехватывать не только запросы из Internet Explorer, но и запросы из установленного на персональном компьютере программного обеспечения к серверам разработчиков. Эти запросы могут отправляться для загрузки обновлений, проверки подлинности продукта и в других случаях.
Компания «Microsoft» пока не отреагировала на проблему. Для защиты исследователи рекомендуют блокировать исходящий трафик через порты TCP 139 и TCP 445.
