WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng đầu tiên trên Microsoft Edge, ảnh hưởng cả các phần mềm khác
Tại Black Hat 2015, nhóm chuyên gia an ninh của Jonathan Brossard đã trình bày một lỗ hổng trong giao thức Microsoft Server Message Block (SMB) được sử dụng để chia sẻ các tập tin trong mạng nội bộ.
Lỗ hổng này ảnh hưởng tất cả các phiên bản của Windows, bao gồm phiên bản mới nhất Windows 10, và có thể bị khai thác qua mạng Internet, điều mà các nhà nghiên cứu cho là không thể.
SMB là giao thức do IBM tạo ra, cho phép chia sẻ tập tin và máy in trong một mạng máy tính. SMB đã phát triển đến phiên bản 3.0, và giờ có trong hầu hết hệ điều hành Windows.
Giao thức này được sử dụng nhiều nhất trong các mạng doanh nghiệp, hoạt động cùng với thuật toán xác thực NTLMv2, cho phép người dùng tự xác thực nhanh chóng trên máy chủ Windows.
DLL mắc lỗi là cốt lõi của vấn đề
Lỗ hổng này cho phép tin tặc xuất thông tin người dùng từ một miền Windows kín bằng cách sử dụng kỹ thuật tấn công SMB relay (một tấn công man-in-the-middle cơ bản vào dữ liệu SMB).
Kỹ thuật này thường chỉ hoạt động trong mạng LANs, nhưng vì phần lớn các mạng doanh nghiệp giờ đã bao gồm cả hạ tầng đám mây, nên một tấn công SMB relay có thể được thực hiện thông qua các kết nối Internet.
Rò rỉ thông tin xảy ra khi người dùng cố gắng đọc một email, truy cập một trang Web sử dụng trình duyệt hoặc làm bất kỳ điều gì mà sẽ mở một URL.
Các chuyên gia an ninh phát hiện ra rằng, khi đó một file DLL cụ thể sẽ được mở để chống lại tấn công SMB relay, nhưng nội dung và các thiết lập sau đó bị bỏ qua.
Điều này cho phép tin tặc thực hiện một cuộc tấn công SMB relay, lấy được thông tin người dùng, phá vỡ băm mật khẩu, và sau đó sử dụng chúng để đánh cắp thông tin từ mạng máy tính bằng cách truy cập như một người dùng thường xuyên.
Đây là lỗ hổng đầu tiên được báo cáo là có ảnh hưởng đến trình duyệt Edge
Theo Brossard, tất cả các phiên bản IE đều tồn tại lỗ hổng này, bao gồm cả trình duyệt Edge mới nhất của Microsoft, biến đây thành “tấn công đầu tiên vào Windows 10 và trình duyệt web Spartan”.
Ngoài ra, các ứng dụng khác cũng bị ảnh hưởng bao gồm Windows Media Player, Adobe Reader, Apple QuickTime, Excel 2010, Symantec's Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub cho Windows, TeamViewer, và nhiều ứng dụng khác nữa.
Báo cáo này được viết trước khi phát hành Windows 10, và rõ ràng là trước khi Spartan được đổi tên thành Edge.
Nghiên cứu cũng đưa ra các kỹ thuật phòng chống khác nhau, nhưng theo Brossard, kỹ thuật hiệu quả nhất là cài đặt Windows Firewall cấp độ PC thông thường, ngăn dữ liệu SMB bị rò rỉ trực tuyến qua các cổng cụ thể, nơi một tấn công SMB relay có thể được thực hiện.
“Vì bất kỳ máy tính Windows nào trong mạng công ty cũng sử dụng IE là trình duyệt web mặc định và là một phần của mạng Active Directory, mức độ ảnh hưởng của lỗ hổng này là chưa từng có”, Brossard cho biết.
Lỗ hổng này ảnh hưởng tất cả các phiên bản của Windows, bao gồm phiên bản mới nhất Windows 10, và có thể bị khai thác qua mạng Internet, điều mà các nhà nghiên cứu cho là không thể.
SMB là giao thức do IBM tạo ra, cho phép chia sẻ tập tin và máy in trong một mạng máy tính. SMB đã phát triển đến phiên bản 3.0, và giờ có trong hầu hết hệ điều hành Windows.
Giao thức này được sử dụng nhiều nhất trong các mạng doanh nghiệp, hoạt động cùng với thuật toán xác thực NTLMv2, cho phép người dùng tự xác thực nhanh chóng trên máy chủ Windows.
DLL mắc lỗi là cốt lõi của vấn đề
Lỗ hổng này cho phép tin tặc xuất thông tin người dùng từ một miền Windows kín bằng cách sử dụng kỹ thuật tấn công SMB relay (một tấn công man-in-the-middle cơ bản vào dữ liệu SMB).
Kỹ thuật này thường chỉ hoạt động trong mạng LANs, nhưng vì phần lớn các mạng doanh nghiệp giờ đã bao gồm cả hạ tầng đám mây, nên một tấn công SMB relay có thể được thực hiện thông qua các kết nối Internet.
Rò rỉ thông tin xảy ra khi người dùng cố gắng đọc một email, truy cập một trang Web sử dụng trình duyệt hoặc làm bất kỳ điều gì mà sẽ mở một URL.
Các chuyên gia an ninh phát hiện ra rằng, khi đó một file DLL cụ thể sẽ được mở để chống lại tấn công SMB relay, nhưng nội dung và các thiết lập sau đó bị bỏ qua.
Điều này cho phép tin tặc thực hiện một cuộc tấn công SMB relay, lấy được thông tin người dùng, phá vỡ băm mật khẩu, và sau đó sử dụng chúng để đánh cắp thông tin từ mạng máy tính bằng cách truy cập như một người dùng thường xuyên.
Đây là lỗ hổng đầu tiên được báo cáo là có ảnh hưởng đến trình duyệt Edge
Theo Brossard, tất cả các phiên bản IE đều tồn tại lỗ hổng này, bao gồm cả trình duyệt Edge mới nhất của Microsoft, biến đây thành “tấn công đầu tiên vào Windows 10 và trình duyệt web Spartan”.
Ngoài ra, các ứng dụng khác cũng bị ảnh hưởng bao gồm Windows Media Player, Adobe Reader, Apple QuickTime, Excel 2010, Symantec's Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub cho Windows, TeamViewer, và nhiều ứng dụng khác nữa.
Báo cáo này được viết trước khi phát hành Windows 10, và rõ ràng là trước khi Spartan được đổi tên thành Edge.
Nghiên cứu cũng đưa ra các kỹ thuật phòng chống khác nhau, nhưng theo Brossard, kỹ thuật hiệu quả nhất là cài đặt Windows Firewall cấp độ PC thông thường, ngăn dữ liệu SMB bị rò rỉ trực tuyến qua các cổng cụ thể, nơi một tấn công SMB relay có thể được thực hiện.
“Vì bất kỳ máy tính Windows nào trong mạng công ty cũng sử dụng IE là trình duyệt web mặc định và là một phần của mạng Active Directory, mức độ ảnh hưởng của lỗ hổng này là chưa từng có”, Brossard cho biết.
Nguồn: Softpedia