Falha Existente há 18 anos no Windows Pode ser Explorada para Roubo de Credenciais de Usuários

Uma nova técnica para a exploração de um bug que já existe faz 18 anos no Windows Server Message Block (SMB), que permite que os invasores possam interceptar as credenciais do usuário, tinha sido descoberta por Brian Wallacem que é um renomado pesquisador da Cylance. SMB é um componente central na rede do Windows, e pode ser encontrado - e é ativado por padrão - em todas as versões do sistema operacional Windows, incluindo o Windows 10. Um redirecionamento para SMB é uma maneira para os atacantes poderem roubar as credenciais de usuários (credenciais valiosas), sequestrando comunicações com servidores Web legítimas via ataques Man-in-the-middle; em seguida, poder enviá-los para servidores SMB maliciosos (Server Message Block) que os forçam divulgar o nome da vítima, seu nome de usuário, domínio e senha de hash.



A Redirect para SMB (no caso o ataque), se baseia em uma vulnerabilidade descoberta em 1997 por Aaron Spangler, que descobriu que URLs fornecidas começando com a palavra 'arquivo' (como arquivo: //1.1.1.1/) para Internet Explorer fariam com que o sistema operacional tentasse autenticar com um servidor SMB no endereço IP 1.1.1.1 ". Além do mais, a falha afeta um número de funções da API do Windows, que são utilizadas por uma grande variedade de recursos de software. Antes de revelar a existência da vulnerabilidade ao público, Cylance compartilhou a informação com CERT na Universidade Carnegie Mellon e os desenvolvedores dos muitos aplicativos populares que são vulneráveis, como o Adobe Reader, o Apple Software Update, Internet Explorer, diversas soluções AV e ferramentas de segurança, Sync Box, TeamViewer, e uma série de ferramentas para desenvolvedores.


Saiba Mais:

[1] Net Security http://www.net-security.org/secworld.php?id=18210