Onderzoekers hebben in alle nog ondersteunde versies van Windows, alsmede de testversie van Windows 10, een kwetsbaarheid ontdekt die al 18-jaar oud is en kan worden gebruikt om inloggegevens van gebruikers te stelen, zoals domein, gebruikersnaam en gehasht wachtwoord. Het probleem wordt veroorzaakt door de manier waarop Windows met HTTP-verzoeken omgaat. Programma's gebruiken HTTP-verzoeken bijvoorbeeld om te controleren of er nog updates zijn.
Een aanvaller die een deel van het netwerk in handen heeft kan dit verzoek doorsturen naar een kwaadaardige server, waarbij Windows in sommige gevallen automatisch via Server Message Block (SMB) op de kwaadaardige server zal proberen in te loggen. De versleutelde inloggegevens van de gebruiker zullen dan door de server worden opgeslagen, waarna de aanvaller kan proberen om die te kraken. De aanval, die "Redirect to SMB" wordt genoemd, is alleen uit te voeren als een aanvaller tussen het slachtoffer en het internet zit.
Onderzoekers van beveiligingsbedrijf Cylance ontdekten het probleem, dat gebaseerd is op een kwetsbaarheid die in 1997 door onderzoeker Aaron Spangler werd ontdekt. Spangler ontdekte in de vorige eeuw een lek in Internet Explorer waardoor hij via SMB inloggegevens van gebruikers kon stelen. De onderzoekers van Cylance gebruikten het werk van Spangler als inspiratie en ontdekten een nieuwe aanvalsvector die niet alleen tot IE was beperkt, maar tegen tientallen programma's van populaire softwareleveranciers kan worden gebruikt, zoals Adobe, Apple, Microsoft, Oracle en Symantec.
Cylance meldt dat er de afgelopen zes weken met de softwareleveranciers is samengewerkt om het probleem te verhelpen. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit, dat de kwetsbaarheid naar buiten bracht, laat echter weten dat er op dit moment geen volledige oplossing voor het probleem is. Wel zijn er verschillende maatregelen die organisaties kunnen nemen, zoals het blokkeren van uitgaande SMB-verbindingen van het lokale netwerk, het updaten van NTLM-groepsbeleid, het niet gebruiken van NTLM voor authenticatie, het gebruik van sterke wachtwoorden en het regelmatig veranderen van wachtwoorden.
De onderzoekers richten zich ook tot Microsoft, aangezien de softwaregigant het probleem van Spangler nooit heeft verholpen. "We hopen dat ons onderzoek Microsoft zal overtuigen om de kwetsbaarheden te herzien en authenticatie met onbetrouwbare SMB-servers zal uitschakelen." Dit blokkeert namelijk zowel de aanvallen die Spangler ontdekte als de nieuwe Redirect to SMB-aanval.
Deze posting is gelocked. Reageren is niet meer mogelijk.