18-jaar oud SMB-lek in alle Windowsversies ontdekt
Onderzoekers hebben in alle nog ondersteunde versies van Windows, alsmede de testversie van Windows 10, een kwetsbaarheid ontdekt die al 18-jaar oud is en kan worden gebruikt om inloggegevens van gebruikers te stelen, zoals domein, gebruikersnaam en gehasht wachtwoord. Het probleem wordt veroorzaakt door de manier waarop Windows met HTTP-verzoeken omgaat. Programma's gebruiken HTTP-verzoeken bijvoorbeeld om te controleren of er nog updates zijn.
Een aanvaller die een deel van het netwerk in handen heeft kan dit verzoek doorsturen naar een kwaadaardige server, waarbij Windows in sommige gevallen automatisch via Server Message Block (SMB) op de kwaadaardige server zal proberen in te loggen. De versleutelde inloggegevens van de gebruiker zullen dan door de server worden opgeslagen, waarna de aanvaller kan proberen om die te kraken. De aanval, die "Redirect to SMB" wordt genoemd, is alleen uit te voeren als een aanvaller tussen het slachtoffer en het internet zit.
1997
Onderzoekers van beveiligingsbedrijf Cylance ontdekten het probleem, dat gebaseerd is op een kwetsbaarheid die in 1997 door onderzoeker Aaron Spangler werd ontdekt. Spangler ontdekte in de vorige eeuw een lek in Internet Explorer waardoor hij via SMB inloggegevens van gebruikers kon stelen. De onderzoekers van Cylance gebruikten het werk van Spangler als inspiratie en ontdekten een nieuwe aanvalsvector die niet alleen tot IE was beperkt, maar tegen tientallen programma's van populaire softwareleveranciers kan worden gebruikt, zoals Adobe, Apple, Microsoft, Oracle en Symantec.
Cylance meldt dat er de afgelopen zes weken met de softwareleveranciers is samengewerkt om het probleem te verhelpen. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit, dat de kwetsbaarheid naar buiten bracht, laat echter weten dat er op dit moment geen volledige oplossing voor het probleem is. Wel zijn er verschillende maatregelen die organisaties kunnen nemen, zoals het blokkeren van uitgaande SMB-verbindingen van het lokale netwerk, het updaten van NTLM-groepsbeleid, het niet gebruiken van NTLM voor authenticatie, het gebruik van sterke wachtwoorden en het regelmatig veranderen van wachtwoorden.
De onderzoekers richten zich ook tot Microsoft, aangezien de softwaregigant het probleem van Spangler nooit heeft verholpen. "We hopen dat ons onderzoek Microsoft zal overtuigen om de kwetsbaarheden te herzien en authenticatie met onbetrouwbare SMB-servers zal uitschakelen." Dit blokkeert namelijk zowel de aanvallen die Spangler ontdekte als de nieuwe Redirect to SMB-aanval.
dat zoud3n ze zeggen als het lek in kylin gezeten had.
Windows in zijn geheel zou verboden moeten worden, want 18-jaar oud SMB-lek in *ALLE* Windowsversies ontdekt.
Let wel, na een succesvolle redirect heb je een NTLMv2 hash. Die hash is te kraken MITS HET WACHTWOORD NIET TE STERK IS. Een wachtwoord van b.v. 10+ posities kraak je nog steeds niet. Roepen dat NTLMv2 onveilig is, is m.i. ook onzin: het kraken van b.v. een wachtwoord met lengte 8 is mogelijk omdat je alle 8-positie-wachtwoorden kunt brute-forcen. Dit kan b.v. ook met SHA1 en 2, stomweg omdat het algoritme weinig CPU/GPU-tijd kost.
"........., we have found login mechanisms to be vulnerable, as well as advertisements embedded into applications. Requests to licensing servers could be exploited, as well as downloading dependencies during installation processes ..........."
Een voorbeeld wat ze noemen is de AV virusscanner die http (!) gebruikt voor zijn updates.
Dit is een heel ander issue: sommige software voert updates onveilig uit. Updates downloaden over http is trouwens niet per definitie slecht. Als je de update b.v. digitaal ondertekent en de handtekening controleert voor uitrol is er niets aan de hand.
Windows in zijn geheel zou verboden moeten worden, want 18-jaar oud SMB-lek in *ALLE* Windowsversies ontdekt.
Daar heb je weer zo'n nono..
in ALLE OS-en zitten gaten.. Linux, OSx, etcetera.
Het gaat niet om het OS; het gaat om de implementatie... En als ik jouw reactie zo zie zal die niet goed zijn, je snapt het gewoon niet.
Of bedoelen de marketingboyz van de grond af opnieuw gecompileerd met standars building blocks?
Windows in zijn geheel zou verboden moeten worden, want 18-jaar oud SMB-lek in *ALLE* Windowsversies ontdekt.
Daar heb je weer zo'n nono..
in ALLE OS-en zitten gaten.. Linux, OSx, etcetera.
Het gaat niet om het OS; het gaat om de implementatie... En als ik jouw reactie zo zie zal die niet goed zijn, je snapt het gewoon niet.
Ben het hier helemaal mee eens. Maar de reactie is prima te verklaar. Ik zeg, bij gebrek aan kennis harders schreeuwen dat je gelijk hebt. ;-)
Windows in zijn geheel zou verboden moeten worden, want 18-jaar oud SMB-lek in *ALLE* Windowsversies ontdekt.
Zullen we dan alle Unix varianten ook maar verbieden? Gezien daar vaak bash en openssl of afgeleide op geïnstalleerd zijn? Daar zaten ook ruim 20 jaar bugs in die nooit opgemerkt waren?
lekker weer terug naar brief, papier, en postzegel, en hopen dat oom postbode de boel niet open maakt, en dan alles leest.
man man man , Windows komt niet eens in de buurt ^^
2) Soms duurt het jaren voordat zo'n lek ontdekt wordt.
3) Wat doet een fabrikant nadat het lek ontdekt is?
En dat is het nu juist.
Microsoft heeft helaas, helaas, helaas een zeer beroerde reputatie wat het snel dichten van lekken betreft.
Dit lek is door Aaron Spangler achttien (!) jaar geleden al aan Microsoft doorgegeven.
Microsoft heeft hier dus al die jaren geen klap aan gedaan.
Dit is Microsoft dus wel degelijk te verwijten.
Maar misschien is het daadwerkelijk geen bug maar een feature voor de NSA.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
