DESDE EL BLOG DE WEBSENSE SECURITY LABS:
El equipo de Websense Security Labs™ está
al tanto de un reciente descubrimiento que les da a los atacantes la
posibilidad de interceptar credenciales sensibles de usuarios (nombre de
usuario, dominio y hash de contraseña). Mediante este ataque el usuario final es
dirigido a un servidor SMB (Server
Message Block) controlado por un atacante, y es autenticado en el mismo. Por lo general se utiliza el SMB para acceder
a la funcionalidad de compartir archivos a través de las distintas redes.
Resumen
Se han descubierto varias nuevas maneras de inducir una
vulnerabilidad que existe desde hace 18 años en el manejo de este tráfico. A
este tipo de ataque se le está denominando “Redirigir a SMB” (“Redirect To SMB”). Hay varias aplicaciones
muy conocidas que son vulnerables a este método de ataque. Los informes indican
que si bien no se observaron ataques en general al momento de redactar este
texto, las implicaciones de la vulnerabilidad son lo suficientemente graves
como para justificar que se le asigne prioridad a este problema y se describan
las formas en que podría verse afectada cada organización.
¿Se trata de un nuevo descubrimiento?
Los nuevos métodos de ataque solo se empezaron a descubrir
recientemente. La base de datos “Vulnerability Notes Database” informó
públicamente el problema basándose en análisis realizados por Cylance: http://www.kb.cert.org/vuls/id/672268.
Al problema se le asignó la designación VU#672268.
¿Cómo opera el ataque?
El ataque “Redirigir a SMB” describe todo método
utilizado para enviar y autenticar a los usuarios en un servidor SMB malicioso.
Permite interceptar el nombre de usuario, el dominio y el hash (que suele
utilizarse) de la contraseña.
Se ilustraron las siguientes situaciones posibles.
·
Un sitio web podría
redirigir a un usuario a un servidor SMB controlado por el atacante. Este sitio
web podría diseminarse utilizando el vector de correo electrónico por medio de malvertising (publicidad maliciosa) o
simplemente atrayendo maliciosamente al usuario final a un sitio web que lo redirigirá.
·
Un ataque MITM (man in the middle) podría interceptar el
tráfico de usuarios y redirigirlo al servidor SMB adecuado.
·
Se dice que los
mecanismos de actualización de numerosos productos son vulnerables (Adobe®
Reader®, Apple® QuickTime® y otros) debido a
que utilizan solicitudes de HTTP para acceder a las actualizaciones de
software. Un ataque MITM podría interceptar y cambiar el destino de la solicitud
enviándola a un servidor SMB controlado por el atacante.
Mitigación
Actualmente se sugieren los consejos de mitigación que se
indican a continuación, aunque quizás no todos sean adecuados para todas las
empresas.
·
El tráfico SMB
opera a través de TCP 139 y TCP 445. Esta comunicación podría bloquearse utilizando
un dispositivo como un firewall, en particular el firewall de la puerta de
enlace de la red (network gateway firewall), para impedir únicamente las
comunicaciones de SMB a los destinos que están fuera de la red de la empresa.
·
Aplicar todos los
parches de software de los proveedores que correspondan a medida que están
disponibles.
·
Alentar a los
usuarios finales a utilizar contraseñas seguras para aumentar el tiempo
necesario que un simple ataque de fuerza
bruta descifre los algoritmos hash.
·
En el documento
técnico redactado por Cylance se describen otros
métodos de mitigación.
Websense Security Labs continuará monitoreando todo lo
que ocurra en relación con este tema.
Para obtener más información por favor visite el
blog de Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/04/13/redirect-to-smb-technique-re-exposes-18-year-old-vulnerability.aspx
No hay comentarios:
Publicar un comentario