Vulnerabilidad de hace 18 años sin parchear que afecta todas las versiones de Windows.

Saludos distinguidos blogueros,

Pues en los inicios, cuando yo comenzaba a caminar en cuanto a seguridad informática, era yo una especie de fanboy de Metasploit Framework y todas sus herramientas, también recuerdo que todos los tutoriales que habían en la red explotaban una vulnerabilidad de SMB, años después quedo obsoleto pues habían parcheado ese agujero de seguridad en windows XP y posteriores, pero sucede que el hueco tenia múltiples formas de explotarse y es así como 18 años después aun sigue siendo vulnerable.

Recientemente investigadores de Cylance han re-descubierto una vulnerabilidad en el protocolo SMB que permite a los hackers malignos (que conste que no hablo de Chema) robarse las credenciales de usuarios usando tableta, portátiles y/o desde cualquier servidor que este corriendo cualquier version de windows, incluyendo el nuevo y flamante windows 10.

La vulnerabilidad ha sido llamada “Redirect to SMB” y es una variante del bug encontrado por  Aaron Spanglerin en el 1997 quien descubrio que entrando una URL que comenzara con la palabra “file” (por ejemplo file://1.1.1.1/) a Internet Explorer este intentaría autenticarse con el supuesto servidor SMB en la dirección IP 1.1.1.1 usando las credenciales almacenadas en el sistema (user & pass). A pesar de ser un agujero de seguridad reportado por los investigadores este nunca ha sido parcheado por Microsoft quienes afirman que no es un foco de preocupación, y que no sera foco de ataque y  que las probabilidades de ser atacado son mínimas y bla… bla… bla…

Así funciona “Redirect to SMB”

El resultado es una vulnerabilidad que afecta a todas las versiones de Windows, y si hacemos un movimiento mental rápido nos damos cuentas de que tan grande es el problema, y este es el punto donde quizás algunos se pregunten:

“Linux también usa SMB, ¿es vulnerable? “

Pues la respuesta es sencilla:

“Windows integra SMB en el mismo Kernel del sistema, mientras que en Linux no es asi.”

Los investigadores de Cylance han hecho un listado de 31 aplicaciones vulnerables a este fallo, entre ellas:

  • Aplicaciones de amplio uso: Adobe Reader, Apple QuickTime y Apple Software Update that handles iTunes updates
  • Aplicaciones de Microsoft: Internet Explorer, Windows Media Player, Excel 2010, e incluso Microsoft Baseline Security Analyzer
  • Herrramientas de desarrollo: Github para Windows, PyCharm, IntelliJ IDEA, PHP Storm y el instalador JDK 8u31’s
  • Herramientas de seguridad: .NET Reflector y Maltego CE
  • Antivirus Software: Symantec’s Norton Security Scan, AVG Free, BitDefender Free y Comodo Antivirus
  • Team Tools: Box Sync and TeamViewer
Medidas a tomar para protegerse de esta falla?
  • Una de las formas mas sencillas de protegerse es bloqueando el trafico saliente de los puertos TCP 139 y TCP 445 en el router y en el firewall, de esta forma se evitan conexiones a dudosos servidores SMB fuera de nuestra red
  • Se que sonara repetitivo, lo digo en casi todos mis artículos, pero deben mantener actualizado a la ultima versión todo su software, los fabricantes de software generalmente liberan parches tan pronto conocen una vulnerabilidad (aunque Microsoft no la ha hecho después de 18 años)
  • Usar contraseñas fuertes que sean duras de atacar por fuerza bruta.

Información adicional en:

http://blog.cylance.com/redirect-to-smb

http://www.eweek.com/security/redirect-to-smb-attack-can-exploit-windows-users-report-finds.html

Saludos distinguidos blogueros, hasta la próxima. Y si te ha sido útil mi articulo, por favor compártelo.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s