06-08-2015, 12:22
Beveiligingsonderzoekers hebben een veertien jaar geleden ontdekte kwetsbaarheid in Windows een nieuwe draai weten te geven. De onderzoekers wisten smb-logingegevens buit te maken met behulp van een malafide website, claimen ze.
De kwetsbaarheid bevindt zich onder meer in Windows 10, en is de eerste kwetsbaarheid in die nieuwe Windows-versie die van buitenaf te misbruiken is. Dat claimden beveiligingsonderzoekers Jonathan Brossard en Hormazd Billamoria op de Black Hat-beveiligingsconferentie in Las Vegas. Het beveiligingsprobleem dat ze misbruikten is een ontwerpfout van het smb-protocol, waar Microsoft wel maatregelen tegen heeft genomen maar nooit helemaal heeft opgelost.
De aanval is gericht op smb, het filesharing-protocol van Windows. Bij de zogenoemde smb-relay aanval uit 2001 wordt smb-verkeer omgeleid naar een server die onder beheer van een aanvaller staat. Die krijgt daardoor de beschikking over de gebruikersnaam en de hash van het wachtwoord van de gebruiker. Die kan vervolgens in een aantal dagen worden gekraakt, omdat verouderde hashing-algoritmes worden gebruikt.
Brossard en Billamoria slaagden er in om die aanval over het internet te laten verlopen, bijvoorbeeld met behulp van een website. "Een website bezoeken is dan genoeg om gegevens te kunnen ondervangen", aldus Brossard. "De enige manier om je daartegen te wapenen, is de smb-poorten te blokkeren", zegt Brossard tegen Tweakers.
De impact van het beveiligingsprobleem hangt af van de configuratie van het slachtoffer. Gebruikt hij geen firewall op zijn pc of router en staat hij smb-verkeer van buitenaf toe, dan zou een aanvaller van buitenaf kunnen inloggen. Dat kan niet als een gebruiker een firewall heeft, maar het buitmaken van gegevens werkt dan wél, aldus Brossard tegen Tweakers.
De onderzoekers demonstreerden ook een aanval waarbij ze het beveiligingsprobleem vanuit een e-mail misbruikten; nadat het slachtoffer de mail opende, wisten ze met zijn logingegevens in te loggen op de Exchange-server en de mailbox door te sluizen.
De aanval is onder meer te misbruiken vanaf de Edge-browser in Windows 10, maar volgens de onderzoekers is vrijwel alle Windows-software zonder eigen tcp/ip-stack kwetsbaar. Chrome zelf is in ieder geval niet kwetsbaar, omdat die browser om toestemming vraagt voordat verbinding wordt gemaakt met een smb-server, maar plug-ins die vanuit Chrome worden aangeroepen mogelijk wel.
De kwetsbaarheid bevindt zich onder meer in Windows 10, en is de eerste kwetsbaarheid in die nieuwe Windows-versie die van buitenaf te misbruiken is. Dat claimden beveiligingsonderzoekers Jonathan Brossard en Hormazd Billamoria op de Black Hat-beveiligingsconferentie in Las Vegas. Het beveiligingsprobleem dat ze misbruikten is een ontwerpfout van het smb-protocol, waar Microsoft wel maatregelen tegen heeft genomen maar nooit helemaal heeft opgelost.
De aanval is gericht op smb, het filesharing-protocol van Windows. Bij de zogenoemde smb-relay aanval uit 2001 wordt smb-verkeer omgeleid naar een server die onder beheer van een aanvaller staat. Die krijgt daardoor de beschikking over de gebruikersnaam en de hash van het wachtwoord van de gebruiker. Die kan vervolgens in een aantal dagen worden gekraakt, omdat verouderde hashing-algoritmes worden gebruikt.
Brossard en Billamoria slaagden er in om die aanval over het internet te laten verlopen, bijvoorbeeld met behulp van een website. "Een website bezoeken is dan genoeg om gegevens te kunnen ondervangen", aldus Brossard. "De enige manier om je daartegen te wapenen, is de smb-poorten te blokkeren", zegt Brossard tegen Tweakers.
De impact van het beveiligingsprobleem hangt af van de configuratie van het slachtoffer. Gebruikt hij geen firewall op zijn pc of router en staat hij smb-verkeer van buitenaf toe, dan zou een aanvaller van buitenaf kunnen inloggen. Dat kan niet als een gebruiker een firewall heeft, maar het buitmaken van gegevens werkt dan wél, aldus Brossard tegen Tweakers.
De onderzoekers demonstreerden ook een aanval waarbij ze het beveiligingsprobleem vanuit een e-mail misbruikten; nadat het slachtoffer de mail opende, wisten ze met zijn logingegevens in te loggen op de Exchange-server en de mailbox door te sluizen.
De aanval is onder meer te misbruiken vanaf de Edge-browser in Windows 10, maar volgens de onderzoekers is vrijwel alle Windows-software zonder eigen tcp/ip-stack kwetsbaar. Chrome zelf is in ieder geval niet kwetsbaar, omdat die browser om toestemming vraagt voordat verbinding wordt gemaakt met een smb-server, maar plug-ins die vanuit Chrome worden aangeroepen mogelijk wel.