Компания Cylance, специализирующаяся в области безопасности данных, недавно обнаружила серьёзную уязвимость в Windows, которая может привести к краже логинов и паролей. Уязвимость, названная специалистами «Redirect to SMB» («перенаправление на SMB», где SMB — узел, способный устанавливать соединение по протоколу Server Message Block), затрагивает все версии Windows, включая Windows 10 Technical Preview. Исследователи полагают, что Redirect to SMB угрожает безопасности сотен миллионов пользователей Windows.

Эксперты выяснили, что уязвимость основывается на недостатке SMB, впервые обнаруженном ещё в 1997 г. Эксплуатируя его, пользователя можно ввести в заблуждение и заставить кликнуть на специально созданную ссылку, что приведет к аутентификации на сервере злоумышленника. Выяснилось, что по крайней мере четыре функции Windows API (URLDownloadToFile, URLDownloadToCacheFile, URLOpenStream, URLOpenBlockingStream) способны переключаться с http/https-соединения на SMB при использовании url вида «file://1.1.1.1». Зашифрованные комбинации имени пользователя и пароля, используемые для доступа к серверу, могут быть записаны, а затем взломаны методом перебора паролей.

Опасность Redirect to SMB состоит в том, что она затрагивает не только Windows. Потенциальную угрозу представляют все приложения, использующие эти четыре функции. В их число входят Adobe Reader, Apple QuickTime, Apple Software Update, Internet Explorer, Windows Media Player, Excel 2010, Microsoft Baseline Security Analyzer, Symantec Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, .NET Reflector, Maltego CE, Box Sync, TeamViewer, Github for Windows, PyCharm, IntelliJ IDEA, PHP Storm, инсталлятор JDK 8u31 и многие другие.

Cylance предупредила, что уязвимость может быть использована и без нажатия на ссылку, например, посредством атаки посредника из фоновой программы Windows, подобной программе обновления. Многие программы используют HTTP-запросы для различных целей, например, для проверки наличия обновлений. Хакеру нужно только перехватить такой запрос и перенаправить на свой SMB. Для этого ему понадобятся четыре программы, которые находятся в открытом доступе: SMBTrap2, SMBTrap-mitmproxy, MITMProxy и Zarp.

Cylance сообщила о баге в CERT (консультативная группа безопасности Университета Карнеги-Меллона) ещё полтора месяца назад, и до сих пор они совместно с Microsoft и другими компаниями работали над тем, чтобы максимально смягчить последствия уязвимости для пользователей. В качестве временных мер предлагается блокировать исходящие SMB-соединения (TCP-порты 139 и 445), обновить групповую политику NTLM, не использовать аутентификацию NTLM по умолчанию в приложениях, установить стойкий пароль и чаще его менять. Пока неясно, исправит ли Microsoft эту уязвимость в следующем обновлении.