Sårbarhed omdirigerer til SMB-autentificering

Artiklen blev oprindeligt publiceret den 14/4/2015

En sårbarhed i Windows’ metode til autentificering giver angribere mulighed for at få fat i brugeres brugernavne og krypterede passwords. En række softwareprodukter er ramt.

Sårbarheden ligger i, at en applikation automatisk kan viderestille forespørgsler sendt via HTTP til protokollen file:// De sårbare applikationer autentificerer automatisk op mod den server, som file-URL’en peger på.

For at udnytte sårbarheden skal angriberen oprette en filserver, der kommunikerer via SMB (Server Message Block). Dernæst skal han lokke offeret til at klikke på et link. Dette link fører til en webside, som sender et svar, der omdirigerer til SMB-serveren.

Herefter prøver offerets computer at autentificere mod SMB-serveren, hvorved angriberen får fat i brugernavn, Windows-domæne og password. Autentificeringen sker automatisk, uden at brugeren bliver advaret. Passwordet vil som regel være krypteret eller i form af en hash-værdi.

En afart af sårbarheden har været kendt siden 1997. Dengang opdagede en sikkerhedsforsker, at Internet Explorer prøver at autentificere mod en SMB-server, hvis brugeren klikker på et link af typen file://

Omdirigeringssårbarheden findes blandt andet i Adobe Reader, Apple QuickTime, Internet Explorer, Excel 2010, Norton Security Scan, AVG Free og en række andre produkter.

Sikkerhedsfirmaet Cylance, der har opdaget sårbarheden, skriver, at Microsoft ikke løste det oprindelige problem fra 1997. De håber, at firmaet vil tage skridt til at forhindre autentificering mod SMB-servere, som der ikke er tillid til.

Anbefaling
Man kan beskytte mod angreb ved at spærre for udgående SMB-trafik i firewallen. Det vil typisk være trafik fra TCP-portene 139 og 445.

Links