A equipe do Websense Security Labs tem conhecimento da descoberta recente da vulnerabilidade que dá aos atacantes a possibilidade de interceptar credenciais sensíveis de usuários (nome do usuário, domínio e senha com hashing). No ataque o usuário final é direcionado a um servidor SMB (Server Message Block) controlado por um atacante e autenticado nesse servidor, que é usado geralmente para acessar a funcionalidade de compartilhar arquivos em diversas redes.
Várias novas maneiras foram descobertas para induzir uma vulnerabilidade, que já existe há 18 anos, a administrar esse tráfego. Esse tipo de ataque é chamado de “Redirect To SMB”. Muitas novas aplicações são vulneráveis a esse método de ataque. Diversos relatórios assinalam que, embora ataques não tenham sido observados até a redação deste texto, a vulnerabilidade tem implicações suficientemente graves para justificar a prioridade desse assunto e descrever os possíveis impactos para sua empresa.
É uma nova descoberta?
A descoberta de novos métodos de ataque é recente. O banco de dados Vulnerability Notes Database divulgou o assunto ao público, com base em uma análise da Cylance: http://www.kb.cert.org/vuls/id/672268.
O tema tem a designação VU#672268.
Como é o ataque?
O ataque de ” Redirect To SMB ” inclui qualquer método usado para enviar e autenticar os usuários em um servidor SMB malicioso e permite interceptar o nome do usuário, domínio e a senha (geralmente) com hashing.
As seguintes situações foram mencionadas:
· Um site pode redirecionar um usuário para um servidor SMB controlado por um atacante. Este site pode se disseminar usando o ícone do email através de malvertising (anúncios maliciosos) ou simplesmente atraindo o usuário final para um site que faz o redirecionamento.
· O ataque MITM (man-in-the-middle) pode interceptar o tráfego de usuários e redirecioná-lo para o servidor SMB, conforme necessário.
· Diz-se que os mecanismos de atualização de vários produtos são vulneráveis (Adobe® Reader®, Apple® QuickTime® e outros) porque usam pedidos de HTTP para ter acesso às atualizações de software. Um ataque MITM pode interceptar e mudar o destino de um pedido e direcioná-lo para um servidor SMB controlado pelo atacante.
Mitigação
As sugestões abaixo refletem o pensamento atual sobre mitigação, mas nem todas serão indicadas para sua empresa.
· O tráfego SMB usa TCP 139 e TCP 445. Essa comunicação pode ser bloqueada por um dispositivo como um firewall, principalmente um firewall no gateway da rede, a fim de impedir comunicações SMB somente para destinos fora da rede corporativa.
· Aplicar quaisquer patches de correção de fornecedores que estiverem disponíveis no mercado.
· Incentivar os usuários finais a usar senhas seguras para aumentar o tempo que leva para que um simples ataque de força bruta decifre algoritmos de hashing.
· Para informações sobre outros métodos de mitigação, veja o white paper da Cylance mencionado a seguir.
Para mais informações: http://community.websense.com/blogs/securitylabs/archive/2015/04/13/redirect-to-smb-technique-re-exposes-18-year-old-vulnerability.aspx