Websense Security Labs e la vulnerabilità "Redirect to SMB"

Websense Security Labs e la vulnerabilità

Il team dei Websense Security Labs ha segnalato una vulnerabilità che fornisce agli attaccanti la possibilità di intercettare le credenziali dell'utente (nome utente, dominio, e l'hash della password). L'attacco si basa sulla possibilità di reindirizzare l'utente colpito e farlo autenticare su un server SMB (Server Message Block) controllato dai cyber criminali. Il server SMB è spesso utilizzato per accedere alle condivisioni di file attraverso le reti.
Sono stati identificati diversi nuovi modi per sfruttare una vulnerabilità vecchia di 18 anni per reindirizzare il traffico. Il tipo di attacco viene chiamato "Redirect To SMB." Molte applicazioni di uso comune sono vulnerabili a questo metodo di attacco. I rapporti indicano che mentre nessun attacco diretto è stato rilevato al momento della stesura di questo documento, le implicazioni della vulnerabilità sono tanto gravi da giustificare un'analisi approfondita del problema e una descrizione di come questa vulnerabilità potrebbe impattare anche la vostra organizzazione.

La scoperta di nuovi metodi di attacco è stato fatta solo di recente. Secondo la società di analisi Cylance, la vulnerabilità Notes Database è stata rilasciata al pubblicoweb.

L'attacco "Redirect Per SMB" indica qualsiasi metodo utilizzato per invitare gli utenti a raggiungere ed autenticarsi ad un server SMB malevolo. Nome utente, dominio, e – tipicamente - la password basata su hash possono essere intercettati.
Un sito web potrebbe reindirizzare un utente a un server SMB sotto il controllo dell'attaccante. Questo sito potrebbe essere diffuso utilizzando come vettore la posta elettronica, tramite annunci malevoli o semplicemente attirando l'utente finale ad un sito web che lo reindirizza.
Un attacco MITM (man-in-the-middle) potrebbe intercettare il traffico degli utenti e reindirizzarlo al server SMB appropriato.
I meccanismi di aggiornamento di numerosi prodotti sono dichiarati vulnerabili (Adobe Reader, Apple QuickTime, e altri); poiché utilizzano richieste HTTP per accedere agli aggiornamenti del software. Un attacco MITM potrebbe intercettare e modificare la destinazione della richiesta a un server SMB sotto il controllo dell'attaccante.

Oggi la tendenza principale suggerisce alcuni metodi, ma non tutti possono essere adatti per la vostra azienda.
Il traffico SMB opera su TCP 139 e TCP 445. Questa comunicazione potrebbe essere bloccata con un dispositivo come un firewall, in particolare il firewall gateway di rete, per evitare che possano avvenire comunicazioni verso destinazioni SMB al di fuori della rete.
Applicare sempre le patch software che vengono rilasciate dai fornitori.
Gli utenti finali dovrebbero essere incoraggiati a utilizzare password complesse per aumentare il tempo necessario che eventuali algoritmi di hashing vengano forzati.