Cylance: хакери можуть красти паролі користувачів Windows через службу SMB

Компанія Cylance, яка розробляє інструменти для відбиття кіберзагроз, нещодавно розробила і відтворила в лабораторних умовах метод атаки на користувачів Windows. За словами дослідників, використовуючи цей метод, зловмисники можуть красти логіни і паролі клієнтів Microsoft.


Нова атака отримала назву Redirect to SMB, тому що вона використовує функції компонента Windows під назвою Server Message Block (SMB). Дослідники застосували принцип роботи вразливості, виявленої ще в 1997 році. Її суть полягає в тому, що при відкритті URL, на початку якого стоїть значення «file» (наприклад file://1.1.1.1/) браузер Internet Explorer намагався підключитися до SMB-сервера, відправляючи на цільову адресу (в даному випадку на 1.1.1.1) логін і пароль користувача.


Подібна тактика працює досі: співробітники Cylance налаштували підроблений SMB-сервер і відправили користувачеві URL з посиланням на нього. Клієнт служби обміну повідомленнями Windows спробував завантажити ознайомчу версію файлу, посилання на який було отримано, для чого йому довелося надати логін і пароль.

При здійсненні цієї атаки від користувача не потрібні додаткові дії - URL, що посилається на SMB-сервер зловмисника, може бути вбудований в iframe, зображення або інший елемент відкритої web-сторінки.

Як повідомляє Reuters, у Microsoft знають про дослідження Cylance, але не вважають цю загрозу істотною. У корпорації зазначили, що для успішної атаки необхідна наявність низки факторів, і при цьому вона випустила кілька інструментів для захисту користувачів, наприклад, Extended Protection for Authentication.

COM_SPPAGEBUILDER_NO_ITEMS_FOUND