AlexRU
12.11.2017, 12:39
В составе октябрьского «вторника обновлений» (https://xakep.ru/2017/10/12/october-patch-tuesday-2/)компания Microsoft представила исправление для опасной уязвимости, которая позволяет похищать хеши NTLM-паролей без всякого взаимодействия с пользователем (бюллетень ADV170014 (https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170014)). Однако пока уязвимость устранена только в Windows 10 и Server 2016, а обнаруживший баг колумбийский ИБ-специалист Хуан Диего (Juan Diego) до сих пор не сумел разобраться, что именно приводит к возникновению проблемы.
Эксплуатация уязвимости осуществляется очень просто и не требует никакой технической подготовки и знаний. Атакующему достаточно поместить вредоносный файл SCF (Shell Command File) в публично доступную директорию Windows. После этого, благодаря некоему загадочному багу, файл будет выполнен, произведет сбор NTLM хеша и отправит собранные данные на сервер злоумышленника. После этого атакующему останется только взломать полученный хеш.
К счастью, для большинства пользователей такие атаки не представляют угрозы. Дело в том, что по умолчанию публичные папки в Windows защищены паролем, а наличие пароля сразу ставит на атаке крест. Тем не менее, в своем блоге (http://www.sysadminjd.com/adv170014-ntlm-sso-exploitation-guide/) Диего отмечает, что во многих школах, публичных сетях и на предприятиях пароли для публичных директорий не устанавливаются. К тому же, патчи доступны лишь для пользователей Windows 10 и Windows Server 2016, тогда как другие версии ОС по-прежнему уязвимы.
При этом Диего до сих пор не может понять, как именно работает данный баг. Исследователь подробно объяснил журналистам Bleeping Computer (https://www.bleepingcomputer.com/news/security/hackers-can-steal-windows-login-credentials-without-user-interaction/), что файлы SCF поддерживают ограниченный набор команд для Windows Explorer (к примеру, открытие окна Windows Explorer или переход на Рабочий стол — Show Desktop). Но если ранее атаки с использованием SCF предполагали, что баг сработает, когда жертва откроет целевую папку, то на этот раз Диего обнаружил, что вредоносная команда из файла SCF срабатывает сразу после помещения вредоноса в директорию. То есть злоумышленнику даже не нужно ждать, когда пользователь откроет нужную общую папку.
«Данная атака срабатывает автоматически. Но лежащая в основе проблема, которая ее провоцирует, до сих пор мне неизвестна. Microsoft скрытничает на этот счет», — говорит специалист.
Более того, по словам исследователя, выпущенный в этой месяце патч вообще не исправляет автоматическое исполнение SCF как таковое, он скорее был адресован старой, давно известной проблеме Pass-the-hash, (https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_Pass-the-hash) которая позволяет автоматически поделиться NTLM-хешем с удаленным сервером.
Диего сообщает, что уже работает над другими способами эксплуатации уязвимости. И хотя в классификации Microsoft бюллетень ADV170014 носит рекомендательный, а не обязательный характер, исследователь настоятельно рекомендует пользователям не пренебрегать этими патчами и обновиться.
Мария Нефёдова.
https://xakep.ru/2017/10/30/scf-windows-bug/
Эксплуатация уязвимости осуществляется очень просто и не требует никакой технической подготовки и знаний. Атакующему достаточно поместить вредоносный файл SCF (Shell Command File) в публично доступную директорию Windows. После этого, благодаря некоему загадочному багу, файл будет выполнен, произведет сбор NTLM хеша и отправит собранные данные на сервер злоумышленника. После этого атакующему останется только взломать полученный хеш.
К счастью, для большинства пользователей такие атаки не представляют угрозы. Дело в том, что по умолчанию публичные папки в Windows защищены паролем, а наличие пароля сразу ставит на атаке крест. Тем не менее, в своем блоге (http://www.sysadminjd.com/adv170014-ntlm-sso-exploitation-guide/) Диего отмечает, что во многих школах, публичных сетях и на предприятиях пароли для публичных директорий не устанавливаются. К тому же, патчи доступны лишь для пользователей Windows 10 и Windows Server 2016, тогда как другие версии ОС по-прежнему уязвимы.
При этом Диего до сих пор не может понять, как именно работает данный баг. Исследователь подробно объяснил журналистам Bleeping Computer (https://www.bleepingcomputer.com/news/security/hackers-can-steal-windows-login-credentials-without-user-interaction/), что файлы SCF поддерживают ограниченный набор команд для Windows Explorer (к примеру, открытие окна Windows Explorer или переход на Рабочий стол — Show Desktop). Но если ранее атаки с использованием SCF предполагали, что баг сработает, когда жертва откроет целевую папку, то на этот раз Диего обнаружил, что вредоносная команда из файла SCF срабатывает сразу после помещения вредоноса в директорию. То есть злоумышленнику даже не нужно ждать, когда пользователь откроет нужную общую папку.
«Данная атака срабатывает автоматически. Но лежащая в основе проблема, которая ее провоцирует, до сих пор мне неизвестна. Microsoft скрытничает на этот счет», — говорит специалист.
Более того, по словам исследователя, выпущенный в этой месяце патч вообще не исправляет автоматическое исполнение SCF как таковое, он скорее был адресован старой, давно известной проблеме Pass-the-hash, (https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_Pass-the-hash) которая позволяет автоматически поделиться NTLM-хешем с удаленным сервером.
Диего сообщает, что уже работает над другими способами эксплуатации уязвимости. И хотя в классификации Microsoft бюллетень ADV170014 носит рекомендательный, а не обязательный характер, исследователь настоятельно рекомендует пользователям не пренебрегать этими патчами и обновиться.
Мария Нефёдова.
https://xakep.ru/2017/10/30/scf-windows-bug/