十八年微軟SMB漏洞解析 數(shù)十種軟件受牽連
安全機(jī)構(gòu)Cylance的下屬小組SPEAR發(fā)現(xiàn)了一種基于18年前的SMB(Windows Server Message Block, SMB)漏洞上的新攻擊向量。它被稱作SMB重定向,主要影響微軟、蘋(píng)果、Adobe、賽門(mén)鐵克、Box、甲骨文公司的產(chǎn)品。
在1997年,研究者發(fā)現(xiàn)了IE瀏覽器的一個(gè)bug,該漏洞允許攻擊者利用SMB協(xié)議中的特性盜取Windows憑據(jù)。SMB是Windows的網(wǎng)絡(luò)核心組件,在所有版本的Windows系統(tǒng)上都是默認(rèn)開(kāi)啟的。
微軟在漏洞被公布后提供了新的工作組和難以實(shí)現(xiàn)的組策略(GPO),但從未從根本上解決該問(wèn)題?,F(xiàn)在的情況是,除非改變Windows的默認(rèn)設(shè)置,否則系統(tǒng)仍然容易受到該類型的攻擊。
SMB攻擊的基本模式如下:誘騙受害者點(diǎn)擊鏈接,并使瀏覽器驗(yàn)證遠(yuǎn)程SMB服務(wù)器,例如file://x.x.x.x or \\x.x.x.x\,攻擊者得以從中獲得用戶的當(dāng)前登錄憑據(jù)。盡管信息是Hash過(guò)的,但如果有足夠的時(shí)間,則可以恢復(fù)。基于GPU的破解過(guò)程通常只需要幾個(gè)小時(shí)。
SPEAR小組發(fā)現(xiàn)的新型SMB攻擊從原始概念上和老版本相同,但新型攻擊可以利用所有有漏洞的HTTP/HTTPS請(qǐng)求,不管這些網(wǎng)絡(luò)資源訪問(wèn)請(qǐng)求是來(lái)自瀏覽器還是應(yīng)用程序。
通過(guò)這種新型攻擊,攻擊者利用一臺(tái)Web服務(wù)器或其它中間人方式就可以迫使用戶在運(yùn)行SMB的流氓服務(wù)器上驗(yàn)證身份。舉例而言,在網(wǎng)絡(luò)上,攻擊者可以利用301或302狀態(tài)代碼,將瀏覽器重定向到頭地址為file://的資源上。
Rapid7公司的研究主管在評(píng)論加鹽Hash時(shí)表示,濫用網(wǎng)絡(luò)共享路徑(UNC)攔截和中繼Windows憑據(jù)信息這種攻擊方式已經(jīng)眾所周知大概20年了。
他表示,這類技術(shù)通常由專業(yè)黑客(不管是官方還是罪犯)使用,以獲得登錄的初始權(quán)限,并在登錄后立即提權(quán)。微軟發(fā)布的一些修復(fù)措施讓這類攻擊稍微不那么容易實(shí)施了,但整體上來(lái)看,SMB漏洞是個(gè)整體問(wèn)題,可能并不容易在短期內(nèi)依靠小修小補(bǔ)解決。
漏洞在哪?
IE瀏覽器在將近20年的時(shí)間里不斷出現(xiàn)各種直接攻擊方面的漏洞,但也存在SMB重定向攻擊漏洞。.NET里的WebBrowser對(duì)象也存在該漏洞。
如果受害者沒(méi)有使用IE瀏覽器,進(jìn)行攻擊可能會(huì)有些麻煩。攻擊者可以通過(guò)一些措施繞過(guò)該問(wèn)題:從目標(biāo)公司的網(wǎng)站上下載一份文件,保存為HTML,在里面加上重定向到SMB服務(wù)器的一行鏈接,將文件后綴從.HTML改成.DOC,然后用“文檔勘誤”或者“銷售調(diào)查”這類郵件名發(fā)送給公司員工。當(dāng)用戶打開(kāi).DOC文件時(shí),Word會(huì)識(shí)別出它的HTML屬性,并用IE來(lái)渲染它,這會(huì)觸發(fā)指向SMB服務(wù)器的對(duì)外連接。如果公司允許VPN接入,被竊取的登錄憑據(jù)可以用來(lái)直接訪問(wèn)公司網(wǎng)絡(luò)。
URLMon.dll被微軟官方和開(kāi)發(fā)者用于進(jìn)行不同關(guān)于URL的操作,比如下載文件。它有四個(gè)函數(shù)可能會(huì)被用于1997年開(kāi)始存在的直接攻擊以及最新型的SMB攻擊。另外還有一個(gè)函數(shù)會(huì)受到直接攻擊,但在通常情況下不會(huì)受SMB重定向攻擊影響。
如果應(yīng)用程序通過(guò)這些URLMon的API進(jìn)行請(qǐng)求,設(shè)備會(huì)自動(dòng)發(fā)出對(duì)外SMB連接。這顯著增加了中間人攻擊的有效性,甚至是在用戶并沒(méi)有對(duì)設(shè)備進(jìn)行主動(dòng)操作的情況下。
研究人員通過(guò)在筆記本電腦上開(kāi)啟HTTP追蹤進(jìn)行了快速測(cè)試、重啟、登錄。在測(cè)試過(guò)程中進(jìn)行了超過(guò)100次不同的HTTP請(qǐng)求,其中超過(guò)半數(shù)并未受到SSL保護(hù),可以被進(jìn)行中間人攻擊的黑客用于強(qiáng)制建立SMB連接。用戶只是在星巴克解鎖筆記本電腦就足夠觸發(fā)這種攻擊了,相對(duì)來(lái)說(shuō)這比等待用戶使用IE瀏覽器或發(fā)出SMB對(duì)外連接要有效很多。
SPEAR小組同時(shí)發(fā)現(xiàn),很多XML解析器都提供的XXE(XML External Entities)特性可被用于訪問(wèn)遠(yuǎn)程資源,這有可能會(huì)被SMB重定向攻擊所利用。
小組提供的報(bào)告也列舉了一系列可能被用于SMB重定向提權(quán)的攻擊向量,包括中間人攻擊、ARP緩存毒化、瀏覽器注入、聊天軟件提供的圖片預(yù)覽功能、惡意文檔、DNS緩存投毒。
研究人員建議,安全人員無(wú)法控制用戶的具體行為,比如打開(kāi)鏈接或郵件,因此有必要控制網(wǎng)絡(luò)實(shí)體。
該攻擊方式的缺陷在于,依賴用戶的設(shè)備依次做出某些操作觸發(fā)SMB驗(yàn)證,比如訪問(wèn)共享文件、打印機(jī),或者其它能夠觸發(fā)SMB連接的自動(dòng)化行為。這對(duì)攻擊者而言很耗時(shí)間,因?yàn)橥ㄟ^(guò)中間人角色進(jìn)行攻擊需要等待用戶恰好進(jìn)行特定的分享連接操作,還需要一定的運(yùn)氣。除非用戶打開(kāi)IE瀏覽器或者直接建立SMB連接,這種類型的攻擊可能不會(huì)有什么收獲。#p#
哪些應(yīng)用軟件受到影響?
常用軟件:
Adobe Reader Apple QuickTime Apple Software Update (iTunes)
微軟官方應(yīng)用:
mobile survival Internet Explorer Windows Media Player Excel 2010 Microsoft Baseline Security Analyzer
殺毒軟件:
Symantec’s Norton Security Scan AVG Free BitDefender Free Comodo Antivirus
安全軟件:
.NET Reflector Maltego CE
團(tuán)隊(duì)工具:
Box Sync TeamViewer
開(kāi)發(fā)者軟件:
Github for Windows PyCharm IntelliJ IDEA PHP Storm JDK 8u31’s installer
解決方法
SPEAR小組在描述該漏洞的一篇論文中提到,軟件調(diào)用的任何有風(fēng)險(xiǎn)函數(shù)都需要被替換成不支持跨協(xié)議重定向服務(wù)的函數(shù),對(duì)SMB的訪問(wèn)應(yīng)當(dāng)是直接的,程序本身需要對(duì)這類連接進(jìn)行過(guò)濾。還應(yīng)該阻止來(lái)自本地子網(wǎng)之外的所有SMB請(qǐng)求,這可以降低遠(yuǎn)程入侵的威脅。
在對(duì)外防火墻中應(yīng)該屏蔽TCP的139~445端口。如果用戶確實(shí)需要訪問(wèn)外部SMB服務(wù)器,連接過(guò)程應(yīng)該受到盡可能的監(jiān)控。
該論文同樣建議使用強(qiáng)密碼,這可以阻礙破解過(guò)程。不過(guò),使用基于GPU的密碼破解還是會(huì)明顯降低破解NTLMv2類型的Hash所用的時(shí)間。因此,論文中也建議管理員定期升級(jí)密碼策略,以對(duì)應(yīng)提升破解密碼的硬件成本。
oclHashcat網(wǎng)站列出了破解NetNTLMv2的基準(zhǔn)方案:使用8個(gè)并列AMD R9 290X GPU,每個(gè)GPU的成本大約是300美元到799美元,也就是總價(jià)格3000美元。裝備這套設(shè)備,攻擊者每秒可以進(jìn)行65億次猜測(cè)。
這意味著對(duì)于簡(jiǎn)單形式的暴力破解而言,攻擊者只需要9.5個(gè)小時(shí)就可以遍歷8位密碼的全部可能性,包括大小寫(xiě)字母和數(shù)字??紤]到密碼策略通常每季度更新一次,攻擊者將有大量的時(shí)間來(lái)使用破解得到的密碼。
SMB重定向攻擊并不是一個(gè)驚天動(dòng)地的漏洞,但它確實(shí)展示了一種通過(guò)中間人對(duì)被動(dòng)客戶端發(fā)起攻擊的方式。從表面上看,這種攻擊并不是什么全新的東西,但Windows筆記本和平板電腦的大規(guī)模普及增大了用戶連接到開(kāi)放式WiFi網(wǎng)絡(luò)的可能性,加大了這種攻擊的威脅。為了應(yīng)對(duì)該漏洞,研究人員建議阻止所有通常設(shè)備發(fā)起外部SMB認(rèn)證。
去年,Rapid7、Palo Alto和微軟聯(lián)合發(fā)布了保護(hù)服務(wù)賬戶的指導(dǎo)措施,Rapid7公司的負(fù)責(zé)人表示,這份指導(dǎo)文件中的很多內(nèi)容也可以用于應(yīng)對(duì)該漏洞。
原文地址:http://www.aqniu.com/threat-alert/7320.html