安全公司Cylance发现了一个影响Windows所有版本的安全漏洞:包括即将发布的Windows 10、来自主要软件制造商如Adobe、Apple、Oracle以及Symantec的产品。
“重新定向至SMB”漏洞概况
Cylance公司SPEAR团队指出,攻击者可利用“重定向至SMB(服务器信息块)”漏洞,将Windows用户重新定向至恶意的SMB服务器并且盗取加密登录凭证。攻击者可针对访问被攻陷网络服务器的用户或发动中间人攻击控制用户的网络流量。安全研究人员表示在抓取滥用聊天客户端功能时发现这个漏洞。当聊天客户端收到某个URL的图像时,它会尝试显示图片的预览。安全人员通过发送以file://开头并指向位于恶意SMB服务器文件的一个URL时发现了这个漏洞。
研究人员表示,该漏洞本身是曾于1997年发现的漏洞的一个扩展。之前的漏洞允许攻击者通过Windows的SMB窃取凭证。但这个漏洞并未被修复。
SPEAR团队指出,这个漏洞实际上存在于两个不同的地方:核心的Windows API库以及Windows如何连接SMB的过程。这就是为何受到影响的应用程序众多:Adobe Reader、Apple QuickTime、Apple iTunes软件更新、IE Norton安全扫描、AVG Free、BitDefender Free、Comodo Antivirus、.NET Reflector、Maltego CE、Box Sync、TeamView、GitHub for Windows、PyCharm、IntelliJ IDEA、PHP Storm以及Oracle JDK 8U31使用的安装程序。此外,Windows 10也在易受攻击之列。
SPEAR团队表示攻击者能够拦截浏览器及应用程序发出的HTTP/HTTPS请求。例如针对应用程序更新的网络注入攻击以及通过恶意在线广告跟踪IE用户。而且中间人攻击并非攻击者利用该漏洞的唯一方式。
Rapid 7公司首席研究官指出,这是一种创新性攻击,可被轻易滥用并极大地提高对Windows客户系统的漏洞利用,而这些系统在不信任或被攻陷网络上通信。现有的工具如KARMA、Metasploit以及Responder.py主要取决于用户想攻击者作出SMB连接,但该攻击会滥用Windows中的URLMon API如何处理HTTP重定向问题。攻击者只需要控制用户的网络流量就可以拿到HTTP请求并将它们重新定向至file://URL触发攻击。
SPEAR团队表示目前还未发现任何利用这个漏洞的攻击迹象。
如何应对
SPEAR团队指出,防御该攻击的最简单方法就是拦截TCP端口139以及445以禁用SMB。企业也可使用组策略设置来阻止攻击。该缺陷已报告给卡内基梅隆大学CERT。
卡内基梅隆大学CERT发布的一份安全公告列出了受影响且可通过urlmon.dll获取的Windows API功能,包括:URLDownloadA、URLDownloadW、URLDownloadToCacheFileA、URLDownloadToCacheFileW、URLDownloadToFileA、URLDownloadToFileW、URLOpenStream、以及URLOpenBlockingStream。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。