Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet, SMB, lösenordläcka

SMB-relaterad sårbarhet i Windows 8 och Windows 10 läcker lösenord

En sårbarhet gällande hur Microsofts Windows 8 och Windows 10 operativsystem ansluter till nätverkstjänster (SMB i detta fall) har identifierats. Denna sårbarhet gör att en angripare kan lura av en användare sina inloggningsuppgifter utan någon större interaktion.

CERT-SE bedömer att detta innebär en allvarlig sårbarhet för användare och organisationer som använder sig av de drabbade operativsystemen.

Hur kan denna sårbarheten utnyttjas för att utföra en attack?

Två sätt finns att utföra en praktisk attack:

1) En angripare kan sätta upp en webbsida där en SMB-nätverksresurs från angriparens server visas.
När en sårbar användare laddar sidan försöker klienten autentisera sig mot angriparens server för att kunna visa bilden[1].

2) En angripare kan skicka mejl till en användare där en SMB-nätverksresurs från angriparens server är inkluderad.
Om den sårbara användaren använder Microsoft Outlook för att öppna mejlet, autentiserar den drabbade maskinen automatiskt mot angriparens server[2].

Vad består sårbarheten av?

Microsofts OS har länge haft en lösning med automatisk inloggning som autentiserar en användare till nätverksresurser för att underlätta för användaren. Detta beteende används även för SMB-nätverksresurser när den sårbara mjukvaran upptäcker en URI till den (i form av 'file://...')

Detta gör att operativssystemet autentiserar med användarens inloggningsuppgifter utan någon interaktion och utan hänsyn till att resursen ifråga kan befinna sig på ett okänt externt nätverk. Den drabbade maskinen har därmed automatiskt skickat i klartext till angriparen:

1) Användarens inloggningsnamn (t.ex 'cert')
2) Användarens inloggningsdomän (t.ex '@live.com')
3) Användarens lösenord i NTLMv2 hashad form.

Med rimlig tålamod och tid kan angriparen sedan brute-forcea NTLMv2 hashen för att få fram användarens lösenord.

Vilken mjukvara/OS är drabbade?

Följande operativsystem är drabbade:

  • Windows 8-familjen
  • Windows 10-familjen

Följande mjukvara, när den kör på de drabbade operativsystemen, är drabbad:

  • Internet Explorer
  • Microsoft Edge/Spartan
  • Microsoft Outlook

Vad är konsekvensen?

Denna typ av attack är känd sedan tidigare, men har blivit mer allvarlig under senaste tid pga nedan angivna skäl.
Hur allvarlig den är, samt vilka konsekvenser den medför beror i stor del på vilken drabbas av den:

Exempel: En enskild som har ett lokalt-konto på sin sårbara maskin och drabbas.
Konsekvens: Den enskilde har blivit av med inloggninguppgifter till sin lokala maskin.

Exempel: En enskild som har ett microsoft-konto på sin sårbara maskin och drabbas.
Konsekvens: Den enskilde har blivit av med inloggningsuppgifter till sin lokala maskin, samt till de tjänster som är knutna till Microsoft-kontot. T.ex

  • Microsoft OneDrive konto
  • Microsoft Outlook konto
  • Skype konto
  • Xbox Live konto
  • Microsoft Office konto
  • Microsoft Bing konto

Exempel: En anställd har en Active Directory-knuten maskin som är sårbar, och drabbas.
Konsekvens: Den anställda har blivit av med sin företagsinloggning och då möjligvis också sin inloggning till externt tillgänglig mejl (t.ex OWA) och tjänster.

Mitigering

Följande råd kan hjälpa med att minska sårbarhets-och hotytan.
Om möjligt, åtgärda problemet på klient-nivå (Se rubrik #Åtgärd).

Enskilda:

  • Inför lokala brandväggsregler för att förhindra anslutning via SMB till externa nätverk (port 137/138/139/445)

Företag och organisationer:

  • Filtrera externa anslutningar via SMB på nätverksnivå med brandväggsregler.
  • Inför lokala brandväggsregler för att förhindra anslutning via SMB till externa nätverk (port 137/138/139/445). Dett förhindrar även att en sårbar maskin drabbas om den angrips då den är ansluten utanför företagsnätverket.

Observera att det finns fall där SMB åtkomst eller åtkomst till berörda portar kan krävas för molntjänster eller liknande. Vitlista i så fall kända servrar som kräver SMB till externa nätverk för att minska hotytan.

Åtgärd

Enligt BleepingComputer[4] är det möjligt att stänga det beteendet som gör att Window skickar NLTM uppgifter till externa servrar med hjälp av ett Registry värde.

Detaljer, och eventuella uppdatering om ytterligare skydd, finns på BleepingComputers sida:
http://www.bleepingcomputer.com/news/security/understanding-the-windows-credential-leak-flaw-and-how-to-prevent-it/

Ytterligare läsmaterial om sårbarheten och attacker

[0] Ursprungliga sårbarheten i Win95
http://insecure.org/sploits/winnt.automatic.authentication.html

[1] Presentation om attacken från Blackhat 2015
https://www.blackhat.com/docs/us-15/materials/us-15-Brossard-SMBv2-Sharing-More-Than-Just-Your-Files-wp.pdf

[2] ValdikSS - Deanonymizing Windows users and capturing Microsoft and VPN accounts
https://medium.com/@ValdikSS/deanonymizing-windows-users-and-capturing-microsoft-and-vpn-accounts-f7e53fe73834

[3] Perfect-Privacy - Security Issue In Windows Leaks Login Data
https://www.perfect-privacy.com/blog/2016/08/01/security-issue-in-windows-leaks-login-data/

[4] BleepingComputer - Understanding the Windows Credential Leak Flaw and How to Prevent It
http://www.bleepingcomputer.com/news/security/understanding-the-windows-credential-leak-flaw-and-how-to-prevent-it/