“Redirect to SMB”漏洞影响所有版本的Windows
新的“Redirect to SMB(重定向到SMB协议)”漏洞是18年前发现的一个漏洞的变种,可导致所有版本的Windows遭受中间人攻击。
最新发现,一个旧漏洞的新变种影响着所有版本的Windows,并可能导致中间人攻击。
Cylance 安全公司SPEAR团队的高级研究人员Brian Wallace在博客文章中介绍了被称为“Redirect to SMB”的漏洞,据说该漏洞影响着所有版本的Windows,以及来自Adobe Systems、苹果、Box、微软、Oracle和赛门铁克等31家公司的其他软件。
Cylance表示,该漏洞可能被攻击者用来执行中间人攻击,以及通过劫持与合法Web服务器的通信来窃取用户登录凭证。
Redirect to SMB是基于18年前Aaron Spangler进行的研究,它是一个旧漏洞的变种,微软承诺在2009年修复该漏洞,但最终没有这么做,只是发布了公告和解决方法。
原漏洞(CWE-201)最早于2008年7月被披露。攻击者可以通过诱骗目标人员点击链接来执行攻击,该链接是以file://开头的网址,这可能导致操作系统尝试使用服务器消息块(SMB)协议来验证服务器身份,并允许攻击者让目标机器崩溃。
Redirect to SMB攻击对原来的方法进行了扩展,首先创建一个方法来将目标从HTTP服务器重定向到SMB服务器,然后允许通过HTTP/HTTPS传输凭证数据。 Wallace称,Cylance发现四个常用Windows API功能会允许从HTTP/HTTPS到SMB的重定向,这意味着该漏洞也会影响其他软件,包括Adobe Reader、Apple iTunes和IE等常用应用;针对Windows的GitHub等开发者工具;甚至还有赛门铁克的Norton Security Scan等杀毒软件。
Wallace表示,该漏洞最有可能被高级攻击者用于有针对性的攻击,因为攻击者需要控制受害者网络流量的某些组件。然而,Wallace也指出,攻击者可能通过恶意广告或通过共享Wi-Fi接入点来执行攻击。
Wallace称,最佳防御方法是阻止TCP端口139和445的出站流量,无论是在终端还是在网络网关。但Wallace警告说,阻止TCP 139将阻止所有SMB通信,这可能禁用其他依赖SMB的功能。
微软还没有为该漏洞发布补丁,但该公司发言人提到了2009年的安全指导意见,这表明应采用相同的TCP阻止办法。
微软还指出,身份验证扩展包括(Extended Protection for Authentication)等Windows功能可加强用于处理网络连接登录凭证的现有防御措施,以帮助缓解威胁。
作者:Michael Heller
来源:51CTO
云栖大讲堂 擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
相关文章
- windows Api AlphaBlend的使用方法
- 三头狗又来了 Windows再现毁灭级漏洞
- Windows 独立启动方式安装 Archiva
- 微软Windows 10警告用户不要安装下载CCleaner,认为CCleaner是潜在危险软件(2020激活码序列号秘钥)
- 以黑客教主之名,TK 发现了 Windows 史上最大漏洞
- 黑客59万售卖Windows最新零日漏洞
- windows 下运行 UglifyJS
- linux和windows动态库加载路径区别
- Windows 2008任务计划执行bat脚本失败返回0x1
- Docker学习笔记之在 Windows 和 Mac 中使用 Docker
- Windows 10如何使用文件历史记录备份个人文件
- Windows 作为 openssl server端时的处理
- Windows内核再次出现0Day漏洞 影响win2000到win10所有版本 反病毒软件恐成瞎子
- 绿盟科技网络安全威胁周报2017.24 关注Windows LNK文件远程代码执行漏洞CVE-2017-8464
- Windows远程桌面漏洞Esteemaudit(CVE-2017-9073)补丁简要分析
- 在windows下安装配置python开发环境及Ulipad开发工具(转)
- Windows远程桌面连接Ubuntu 14.04
- [ MSF使用实例 ] 利用远程桌面代码执行漏洞(MS12-020)漏洞导致windows靶机蓝屏