Un nouveau défaut dans SMB menace toutes les versions de Windows

Toutes les versions de Windows prises en charge contiennent une vulnérabilité grave qui pourrait permettre à un individu malintentionné, qui contrôlerait une partie du trafic réseau de la victime, de voler les informations d’authentification pour des services importants. Cette vulnérabilité se manifeste lors d’une erreur dans le traitement de certaines requêtes HTTP par le système d’exploitation ou d’autres applications. D’après les chercheurs qui ont détecté le bogue, ce dernier touche un large éventail d’applications, dont iTunes et Adobe Flash.

Cette vulnérabilité dangereuse dans Windows, dévoilée lundi dernier sur le site Cylance, est une nouvelle version d’une faille détectée il y a près de 20 ans par Aaron Spangler. D’après les chercheurs, cette vulnérabilité, qu’ils ont baptisée Redirect to SMB, permet à l’attaquant de forcer la victime à s’identifier sur le serveur qu’ils contrôlent.š

"Redirect to SMB permet au cybercriminel de voler les informations d’authentification des utilisateurs grâce à l’interception des communications avec les serveurs légitimes à l’aide d’une attaque de l’homme du milieu afin de les rediriger vers des serveurs SMB malveillants qui les obligent à donner le nom de la victime, le domaine et les mots de passe dans le cache" explique Brian Wallace sur le blog de Cylance.š

L’expert poursuit : "Nous avons découvert cette vulnérabilité alors que nous recherchions la façon d’abuser d’une fonction d’un client de messagerie qui permet de consulter un aperçu d’une image. Lorsque le client recevait l’URL de l’image, il essayait d’afficher l’image en mode aperçu. Nous nous sommes souvenus de la découverte d’Aaron Spangler il y a 18 ans et nous avons envoyé à un autre utilisateur une URL qui commençait par file:// et qui pointait vers un serveur SMB malveillant. Nos soupçons furent confirmés : le client de messagerie essayait de télécharger l’image et l’utilisateur Windows de l’autre côté lançait le processus d’authentification sur notre serveur SMB".

Le défaut Redirect to SMB est présent non seulement dans toutes les versions actuelles de Windows, mais également dans Adobe Flash, certains clients GitHub, certains produits Oracle ainsi que dans certaines solutions de sécurité des informations. Le centre de coordination CERT de l’université Carnegie-Mellon signale que les mots de passe volés à l’aide de Redirect to SMB peuvent être déchiffrés hors ligne.

"De nombreux logiciels utilisent les requêtes HTTP pour réaliser les fonctions les plus diverses, par exemple pour vérifier si des mises à jour sont disponibles" écrivent les membres du CERT dans un bulletin d’informations. Ils poursuivent en expliquant qu’un "individu malintentionné peut intercepter une requête de ce genre (par exemple, à l’aide d’un proxy d’homme du milieu) et, grâce à la fonction de redirection HTTP, il peut renvoyer la victime vers un serveur SMB malveillant. S’il a utilisé l’URL file:// en tant que redirection et si la victime travaille sous Windows, le système lance automatiquement l’authentification sur le serveur SMB malveillant et lui envoie les informations d’authentification de la victime. Ces identifiants sont chiffrés dans les journaux, mais tout chiffrement peut être déchiffré si la volonté existe.

A l’heure actuelle, Microsoft ne possède pas de correctif pour Redirect to SMB. D’après les experts, la technique d’attaque exposée par Cylance simplifie sensiblement l’exploitation de cette vulnérabilité.š

"Il s’agit d’un nouveau type d’attaque dont l’exécution est simple et qui peut être utilisée dans le cadre d’une exploitation en masse de systèmes client Windows tournant sur des réseaux douteux ou compromis" explique HD Moore, analyste en chef de la société Rapid 7. Les outils spécialisés comme KARMA, Metasploit ou Responder.ru supposent la participation de l’utilisateur qui doit établir la connexion SMB avec l’attaquant. La version exposée par Cylance permet de perfectionner l’attaque grâce à l’utilisation d’une erreur dans le traitement de la redirection HTTP du côté de celui qui invoque API URLMon"š

"L’enquête menée par Cylance indique que l’attaquant n’a pas du tout besoin d’attendre que l’utilisateur ouvre un navigateur ou qu’il se connecte manuellement une ressource réseau partagée" poursuit l’expert. "L’individu malintentionné n’a qu’à suivre les requêtes HTTP envoyées automatiquement par les applications qui tournent en arrière-plan, et les rediriger à l’aide d’une URL du genreš file:// afin d’ouvrir une connexion SMB et de provoquer l’authentification automatique. Dans la mesure où le nombre d’applications exécutées en arrière-plan sur un ordinateur portable ou une tablette est élevé, cette vulnérabilité accélère considérablement les attaques avec interception des communications SMB organisées contre des appareils Windows qui utilisent des connexions sans fil douteuses.

"Cinq minutes après le redémarrage d’un ordinateur portable sous Windows 8.1, nous avions enregistré au moins 50 connexions HTTP différentes dont la majorité peut être interceptée sur le réseau local et provoquer une authentification forcée sur un service SMB malveillant" avertit HD Moore dans sa conclusion. "L’origine de ces connexions allait des programmes de mise à jour qui vérifiait l’existence d’une mise à jour éventuelle pour des composants OEM jusqu’aux widgets météos ou aux applications d’informations".šš

Les attaques en plusieurs étapes constituent un des domaines d’application potentiel de la vulnérabilité Redirect to SMB. "Il faut s’attendre à ce que cette vulnérabilité devienne un élément incontournable des attaques de phishing en deux étapes" avance Patrick Nielsen, expert chez Kaspersky Lab. La première étape correspond à la tentative d’exploitation des vulnérabilités, y compris celle-ci, après que l’utilisateur a cliqué sur le lien intégré au message. Viennent ensuite les autres actions comme convaincre l’utilisateur de se connecter au portail fictif ou de télécharger une application qui prendra les commandes de l’ordinateur. Ce genre d’attaque pourrait compter sur un certain niveau de réussite, même si l’utilisateur ne réagit pas à la provocation après avoir ouvert la page".

"Une charge utile sous la forme de l’authentification SMB est intéressante, principalement pour garantir l’exécution d’attaques complémentaires contre cette même cible, surtout lorsque la victime possède de vastes privilèges, comme un opérateur Active Directory par exemple" conclut Patrick Nielsen.

https://threatpost.com/new-smb-flaw-affects-all-versions-of-windows/112134

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *