Redirect to SMB, grave bug in Windows

I ricercatori di Cylance hanno scoperto una nuova tecnica che permette di rubare le credenziali di login degli utenti sfruttando una vulnerabilità individuata in tutte le versioni di Windows, inclusa la Preview di Windows 10. Il bug, denominato Redirect to SMB, è legato al modo in cui il sistema operativo Microsoft e altri popolari software gestiscono alcune richieste HTTP.

Molti software eseguono richieste HTTP per eseguire varie operazioni, come la ricerca degli aggiornamenti. Utilizzando un proxy MITM (man-in-the-middle), un malintenzionato potrebbe intercettare la connessione ed effettuare il redirect ad un server SMB maligno. La vulnerabilità, scoperta originariamente nel 1997, è presente in Windows Server Message Block. Se Windows rileva una URL del tipo file:// viene tentata l’autenticazione al server SMB, sul quale verranno quindi memorizzate le credenziali di login. Le password sono criptate, ma è possibile usare tecniche brute-force per decifrarle.

Ci sono almeno otto Windows API che consentono il redirect da HTTP/HTTPS a SMB, utilizzate da diversi software, tra cui Internet Explorer, Excel 2010, Windows Media Player, Adobe Reader, Norton Security Scan, AVG Free, BitDefender Free e Comodo Antivirus. L’attacco può essere eseguito in vari modi: codice nascosto nei banner visualizzati da IE, intercettazione del traffico su rete WiFi pubblica, download di software infetto o link all’interno di un messaggio di posta.

In attesa della patch di Microsoft, si potrebbe bloccare il traffico in uscita sulle porte TCP 139 e 445 o quantomeno usare una password robusta da cambiare spesso.