Desde el blog de Websense Security Labs
El equipo de Websense Security Labs™ está al tanto de un reciente descubrimiento que les da a los atacantes la posibilidad de interceptar credenciales sensibles de usuarios (nombre de usuario, dominio y hash de contraseña). Mediante este ataque el usuario final es dirigido a un servidor SMB (Server Message Block) controlado por un atacante, y es autenticado en el mismo. Por lo general se utiliza el SMB para acceder a la funcionalidad de compartir archivos a través de las distintas redes.
Resumen
Se han descubierto varias nuevas maneras de inducir una vulnerabilidad que existe desde hace 18 años en el manejo de este tráfico. A este tipo de ataque se le está denominando “Redirigir a SMB” (“Redirect To SMB”). Hay varias aplicaciones muy conocidas que son vulnerables a este método de ataque. Los informes indican que si bien no se observaron ataques en general al momento de redactar este texto, las implicaciones de la vulnerabilidad son lo suficientemente graves como para justificar que se le asigne prioridad a este problema y se describan las formas en que podría verse afectada cada organización.
¿Se trata de un nuevo descubrimiento?
Los nuevos métodos de ataque solo se empezaron a descubrir recientemente. La base de datos “Vulnerability Notes Database” informó públicamente el problema basándose en análisis realizados por Cylance: http://www.kb.cert.org/vuls/id/672268.
Al problema se le asignó la designación VU#672268.
¿Cómo opera el ataque?
El ataque “Redirigir a SMB” describe todo método utilizado para enviar y autenticar a los usuarios en un servidor SMB malicioso. Permite interceptar el nombre de usuario, el dominio y el hash (que suele utilizarse) de la contraseña.
Se ilustraron las siguientes situaciones posibles.
- Un sitio web podría redirigir a un usuario a un servidor SMB controlado por el atacante. Este sitio web podría diseminarse utilizando el vector de correo electrónico por medio de malvertising (publicidad maliciosa) o simplemente atrayendo maliciosamente al usuario final a un sitio web que lo redirigirá.
- Un ataque MITM (man in the middle) podría interceptar el tráfico de usuarios y redirigirlo al servidor SMB adecuado.
- Se dice que los mecanismos de actualización de numerosos productos son vulnerables (Adobe® Reader®, Apple® QuickTime® y otros) debido a que utilizan solicitudes de HTTP para acceder a las actualizaciones de software. Un ataque MITM podría interceptar y cambiar el destino de la solicitud enviándola a un servidor SMB controlado por el atacante.
Mitigación
Actualmente se sugieren los consejos de mitigación que se indican a continuación, aunque quizás no todos sean adecuados para todas las empresas.
- El tráfico SMB opera a través de TCP 139 y TCP 445. Esta comunicación podría bloquearse utilizando un dispositivo como un firewall, en particular el firewall de la puerta de enlace de la red (network gateway firewall), para impedir únicamente las comunicaciones de SMB a los destinos que están fuera de la red de la empresa.
- Aplicar todos los parches de software de los proveedores que correspondan a medida que están disponibles.
- Alentar a los usuarios finales a utilizar contraseñas seguras para aumentar el tiempo necesario que un simple ataque de fuerza bruta descifre los algoritmos hash.
- En el documento técnico redactado por Cylance se describen otros métodos de mitigación.
Websense Security Labs continuará monitoreando todo lo que ocurra en relación con este tema.
Para obtener más información por favor visite el blog de Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/04/13/redirect-to-smb-technique-re-exposes-18-year-old-vulnerability.aspx