image

18-jaar oud SMB-lek in alle Windowsversies ontdekt

maandag 13 april 2015, 23:07 door Redactie, 14 reacties

Onderzoekers hebben in alle nog ondersteunde versies van Windows, alsmede de testversie van Windows 10, een kwetsbaarheid ontdekt die al 18-jaar oud is en kan worden gebruikt om inloggegevens van gebruikers te stelen, zoals domein, gebruikersnaam en gehasht wachtwoord. Het probleem wordt veroorzaakt door de manier waarop Windows met HTTP-verzoeken omgaat. Programma's gebruiken HTTP-verzoeken bijvoorbeeld om te controleren of er nog updates zijn.

Een aanvaller die een deel van het netwerk in handen heeft kan dit verzoek doorsturen naar een kwaadaardige server, waarbij Windows in sommige gevallen automatisch via Server Message Block (SMB) op de kwaadaardige server zal proberen in te loggen. De versleutelde inloggegevens van de gebruiker zullen dan door de server worden opgeslagen, waarna de aanvaller kan proberen om die te kraken. De aanval, die "Redirect to SMB" wordt genoemd, is alleen uit te voeren als een aanvaller tussen het slachtoffer en het internet zit.

1997

Onderzoekers van beveiligingsbedrijf Cylance ontdekten het probleem, dat gebaseerd is op een kwetsbaarheid die in 1997 door onderzoeker Aaron Spangler werd ontdekt. Spangler ontdekte in de vorige eeuw een lek in Internet Explorer waardoor hij via SMB inloggegevens van gebruikers kon stelen. De onderzoekers van Cylance gebruikten het werk van Spangler als inspiratie en ontdekten een nieuwe aanvalsvector die niet alleen tot IE was beperkt, maar tegen tientallen programma's van populaire softwareleveranciers kan worden gebruikt, zoals Adobe, Apple, Microsoft, Oracle en Symantec.

Cylance meldt dat er de afgelopen zes weken met de softwareleveranciers is samengewerkt om het probleem te verhelpen. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit, dat de kwetsbaarheid naar buiten bracht, laat echter weten dat er op dit moment geen volledige oplossing voor het probleem is. Wel zijn er verschillende maatregelen die organisaties kunnen nemen, zoals het blokkeren van uitgaande SMB-verbindingen van het lokale netwerk, het updaten van NTLM-groepsbeleid, het niet gebruiken van NTLM voor authenticatie, het gebruik van sterke wachtwoorden en het regelmatig veranderen van wachtwoorden.

De onderzoekers richten zich ook tot Microsoft, aangezien de softwaregigant het probleem van Spangler nooit heeft verholpen. "We hopen dat ons onderzoek Microsoft zal overtuigen om de kwetsbaarheden te herzien en authenticatie met onbetrouwbare SMB-servers zal uitschakelen." Dit blokkeert namelijk zowel de aanvallen die Spangler ontdekte als de nieuwe Redirect to SMB-aanval.

Reacties (14)
14-04-2015, 05:40 door [Account Verwijderd] - Bijgewerkt: 14-04-2015, 06:23
[Verwijderd]
14-04-2015, 08:56 door Mozes.Kriebel
Door pe0mot: intern is tegenwoordig net zo gevaarlijk als extern
Dat is altijd al zo geweest, het is de laatste paar jaar wat duidelijker geworden door o.a. de komst van BYOD en het op management argumenten ontsluiten van bedrijfsdata.
14-04-2015, 10:44 door spatieman
het is geen bug, het is een optie zou ms nu nog steeds zeggen.
14-04-2015, 11:21 door Anoniem
Is gewoon een backdoor voor de NSA...
dat zoud3n ze zeggen als het lek in kylin gezeten had.
14-04-2015, 13:15 door Anoniem
XP moet zwaar verboden worden maar half Nederland werkt er nog mee....ongelofelijk!!!!!
14-04-2015, 15:19 door Anoniem
XP is grotendeels al vervangen. Daarom is de PC markt weer in elkaar gezakt.
Windows in zijn geheel zou verboden moeten worden, want 18-jaar oud SMB-lek in *ALLE* Windowsversies ontdekt.
14-04-2015, 15:22 door Anoniem
Door pe0mot: SMB/Samba/'Microsoft file sharing' is dus niet alleen kwetsbaar voor 301 302 redirects op file://w.x.y.z. verzoeken maar het gaat veel verder:

Let wel, na een succesvolle redirect heb je een NTLMv2 hash. Die hash is te kraken MITS HET WACHTWOORD NIET TE STERK IS. Een wachtwoord van b.v. 10+ posities kraak je nog steeds niet. Roepen dat NTLMv2 onveilig is, is m.i. ook onzin: het kraken van b.v. een wachtwoord met lengte 8 is mogelijk omdat je alle 8-positie-wachtwoorden kunt brute-forcen. Dit kan b.v. ook met SHA1 en 2, stomweg omdat het algoritme weinig CPU/GPU-tijd kost.


"........., we have found login mechanisms to be vulnerable, as well as advertisements embedded into applications. Requests to licensing servers could be exploited, as well as downloading dependencies during installation processes ..........."
Een voorbeeld wat ze noemen is de AV virusscanner die http (!) gebruikt voor zijn updates.

Dit is een heel ander issue: sommige software voert updates onveilig uit. Updates downloaden over http is trouwens niet per definitie slecht. Als je de update b.v. digitaal ondertekent en de handtekening controleert voor uitrol is er niets aan de hand.
14-04-2015, 15:25 door Anoniem
Door Anoniem: XP is grotendeels al vervangen. Daarom is de PC markt weer in elkaar gezakt.
Windows in zijn geheel zou verboden moeten worden, want 18-jaar oud SMB-lek in *ALLE* Windowsversies ontdekt.

Daar heb je weer zo'n nono..

in ALLE OS-en zitten gaten.. Linux, OSx, etcetera.

Het gaat niet om het OS; het gaat om de implementatie... En als ik jouw reactie zo zie zal die niet goed zijn, je snapt het gewoon niet.
14-04-2015, 16:42 door Anoniem
Elke keer heeft Microsoft Windows weer van de grond af opnieuw gebouwd. Hoe kunnen dan lekken in 18 jaar code zitten als elke 2 jaar een nieuwe Windows van de grond af opgebouwd is?
Of bedoelen de marketingboyz van de grond af opnieuw gecompileerd met standars building blocks?
14-04-2015, 17:01 door Anoniem
Door Anoniem:
Door Anoniem: XP is grotendeels al vervangen. Daarom is de PC markt weer in elkaar gezakt.
Windows in zijn geheel zou verboden moeten worden, want 18-jaar oud SMB-lek in *ALLE* Windowsversies ontdekt.

Daar heb je weer zo'n nono..

in ALLE OS-en zitten gaten.. Linux, OSx, etcetera.

Het gaat niet om het OS; het gaat om de implementatie... En als ik jouw reactie zo zie zal die niet goed zijn, je snapt het gewoon niet.

Ben het hier helemaal mee eens. Maar de reactie is prima te verklaar. Ik zeg, bij gebrek aan kennis harders schreeuwen dat je gelijk hebt. ;-)
14-04-2015, 17:08 door Anoniem
Door Anoniem: XP is grotendeels al vervangen. Daarom is de PC markt weer in elkaar gezakt.
Windows in zijn geheel zou verboden moeten worden, want 18-jaar oud SMB-lek in *ALLE* Windowsversies ontdekt.

Zullen we dan alle Unix varianten ook maar verbieden? Gezien daar vaak bash en openssl of afgeleide op geïnstalleerd zijn? Daar zaten ook ruim 20 jaar bugs in die nooit opgemerkt waren?
14-04-2015, 19:19 door spatieman
waarom niet meteen alle computers en internet verbieden.
lekker weer terug naar brief, papier, en postzegel, en hopen dat oom postbode de boel niet open maakt, en dan alles leest.
14-04-2015, 19:53 door Anoniem
Tsja , ik maak me eerlijk gezegd meer zorgen om het gat in de hand van mijn vrouw dan om alle gaten in Windows bij elkaar .

man man man , Windows komt niet eens in de buurt ^^
14-04-2015, 21:37 door Anoniem
1) In alle software zitten lekken.

2) Soms duurt het jaren voordat zo'n lek ontdekt wordt.

3) Wat doet een fabrikant nadat het lek ontdekt is?

En dat is het nu juist.
Microsoft heeft helaas, helaas, helaas een zeer beroerde reputatie wat het snel dichten van lekken betreft.
Dit lek is door Aaron Spangler achttien (!) jaar geleden al aan Microsoft doorgegeven.
Microsoft heeft hier dus al die jaren geen klap aan gedaan.
Dit is Microsoft dus wel degelijk te verwijten.

Maar misschien is het daadwerkelijk geen bug maar een feature voor de NSA.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.