Redirect to SMB - уязвимость, затрагивающая все версии Windows


0-day yazvimostСпециалисты компании Cylance SPEAR обнаружили серьезную уязвимость, которая затрагивает все версии операционной системы Windows, включая мобильные, серверные и персональные, в том числе еще не вышедшую Windows 10. Эксплуатация обнаруженной бреши позволяет злоумышленникам похищать пароли и логины пользователей устройств.

Кроме ОС Windows уязвимыми также являются программные продукты около 31 компаний, включая:

  • Adobe;
  • Apple;
  • Box;
  • Microsoft;
  • Oracle;
  • Symantec.


Неполный список уязвимосго ПО:

  • Adobe Reader, Apple QuickTime, Apple Software Update, Internet Explorer, Windows Media Player, Excel 2010, Microsoft Baseline Security Analyzer, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, .NET Reflector, Maltego CE, Box Sync, TeamViewer Github для Windows, PyCharm, IntelliJ IDEA, PHP Storm, инсталлятор Oracle JDK 8u31 и др.


Напомним, Redirect to SMB – это способ получить учетные данные пользователя с помощью перенаправления HTTP-запроса по протоколу file:// на SMB-сервер, принадлежащий злоумышленнику. Исследователи отметили, что для взлома учетной записи, атакующему понадобится всего несколько часов. Наверное, не стоит говорить, что добытые таким образом логины и пароли могут быть использованы для взлома личных аккаунтов, похищения данных, получения контроля над ПК и т.д.

Также эксперты утверждают, что о данной уязвимости якобы известно еще с 1997 года. Еще тогда было известно, что запросы типа file://1.1.1.1/ в браузере IE заставляют операционную систему авторизоваться на SMB-сервере с IP-адресом 1.1.1.1.

Перечень уязвимых функций Windows API:

  • URLDownloadA;
  • URLDownloadW;
  • URLDownloadToCacheFileA;
  • URLDownloadToCacheFileW;
  • URLDownloadToFileA;
  • URLDownloadToFileW;
  • URLOpenStream;
  • URLOpenBlockingStream.


Напомним, что многочисленное ПО использует HTTP-запросы для различных целей, например, для проверки наличия обновлений. Поэтому, для перенаправления злоумышленником такого запроса на свой SMB-сервер, его достаточно будет только перехватить.

Специалисты компании Cylance SPEAR сразу же сообщили о найденной уязвимости консультативной группе безопасности CERT Университета Карнеги-Меллона. Теперь они совместно с Microsoft и другими компаниями работала над методами максимального смягчения последствий для пользователей. Однако, для временного решения по защите, Microsoft рекомендует:

  • блокировать исходящие SMB-соединения (TCP-порты 139 и 445);
  • обновить групповую политику NTLM;
  • не использовать аутентификацию NTLM по умолчанию в приложениях;
  • использовать сильные пароли и чаще их менять.

Обновлено (14.04.2015 20:07)