Genel Bilgi
HTTP isteklerini kullanan Microsoft Windows üzerinde çalışan yazılım, kötü amaçlı bir sunucu üzerinde file:// protokolüne yönlendirilebilir, bu durumda Windows kötü amaçlı sunucuda Server Message Block (SMB) üzerinden kimlik doğrulaması yapmayı dener. Kullanıcı kimlik bilgilerinin şifreli hali kötü amaçlı sunucuda kayıt altına alınır. Bu zafiyet ayrıca “SMB’ye yönlendir” olarak ta bilinir.
Tanım
CWE-201: Gönderilen Veri üzerinden Bilgi İfşası
Birçok yazılım ürünü, yazılım güncelleme kontrolü gibi çeşitli amaçlarla HTTP istekleri kullanır. Kötü amaçlı bir kullanıcı bu tür isteklerin arasına girerek (örneğin MITM proxy vasıtasıyla) HTTP Redirect kullanarak mağduru kötü amaçlı bir SMB sunucusuna yönlendirebilir. Yönlendirme file:// URL ise ve mağdur Microsoft Windows kullanıyorsa, Windows otomatik olarak kimlik doğrulaması yapmak amacıyla kullanıcı bilgilerini sunucuya yollar. Bahse konu kullanıcı bilgileri kötü amaçlı sunucu tarafından kayıt edilebilir. Bu bilgiler şifrelenmiş olsa da, “brute-force” saldırısı ile şifreler elde edilebilir.
Aşağıdaki Windows API fonksiyonlarının (urlmon.dll ile ulaşılabilin) etkilenmiş olduğu tespit edilmiştir:
●URLDownloadA
●URLDownloadW
●URLDownloadToCacheFileA
●URLDownloadToCacheFileW
●URLDownloadToFileA
●URLDownloadToFileW
●UrlOpenStream
●URLOpenBlockingStream
urlmon görevini yerine getirmek için wininet kütüphanesini kullanır. Bu yüzden etkilenmiş fonksiyonlar wininit içinde bulunabilir. Hali hazırda açıklığın nerde bulunduğu tespit edilememiştir. Internet Explorer ve .NET WebBrowser bileşeninin bu SMB yönlendirme açığı taşıdığı raporlanmıştır. Daha uzun açıklama ve örnekler için konu ile ilgili Cylance blog sayfası incelenebilir.
HTTP Yönlendirme vektörü yeni bir kavram olmasına karşın SMB ile ilişkin bu tür sorunlar bir süredir bilinmektedir. Örneğin, Aaron Spangler tarafından 1997’de yayınlanan rapor ile 2009 yılına ait Microsoft raporuna bakılabilir.
Etki
Mevcut güvenlik açıklığı nedeniyle siber saldırganlar tarafından kurbanın şifrelenmiş kullanıcı kimlik bilgileri elde edebilir.
Çözüm
Bu sorunun şu anda net bir çözümü mevcut değildir. Ulusal Siber Olaylara Müdahale Merkezi (USOM) kullanıcı ve sistem yöneticilerine aşağıdaki geçici çözümleri kullanabilirler.
1.Giden SMB Bloklaması
Yerel ağdan çıkan SMB bağlantıları (TCP portları 139 ve 445) engellenebilir.
2.NTLM Grup ilkesi güncelleyin
Bu saldırı bazı durumlarda uygun grup politikası aracılığıyla NTLM kullanımını kısıtlayarak azaltılabilir. İlk iki referansa bakınız.
3.Uygulamalarda varsayılan kimlik doğrulama için NTLM kullanmayın
Uygulama geliştiriciler kendi yazılımlarının Grup İlkesi ile uyumlu olmasını ve varsayılan kimlik doğrulama için NTLM kullanılmamasını sağlamalıdır.
4.Güçlü bir şifre kullanın ve şifreleri sık sık değiştirin
Kimlik bilgileri saldırganın eline şifrelenmiş biçimde geçtiğinden, güçlü bir parola şifresini kırmak için daha fazla zaman gerekebilir. Ayrıca parolaları düzenli değiştirme, şifrelemeye karşı kullanılan brute-force saldırılarının etkinliğini azaltır.
|
Satıcı |
Durum |
Bilgilendirme Tarihi |
Güncelleme Tarihi |
|
AVG Anti-virus Software |
Etkilendi |
24 Mart 2015 |
01 Nisan 2015 |
|
Microsoft Corporation |
Etkilendi |
11 Mart 2015 |
01 Nisan 2015 |
|
Oracle Corporation |
Etkilendi |
24 Mart 2015 |
01 Nisan 2015 |
|
Adobe |
Bilinmiyor |
24 Mart 2015 |
24 Mart 2015 |
|
Apple |
Bilinmiyor |
24 Mart 2015 |
24 Mart 2015 |
|
Box.com |
Bilinmiyor |
14 Mart 2015 |
14 Mart 2015 |
|
COMODO Security Solutions, Inc. |
Bilinmiyor |
24 Mart 2015 |
24 Mart 2015 |
|
Github |
Bilinmiyor |
- |
13 Nisan 2015 |
|
GoPro |
Bilinmiyor |
- |
13 Nisan 2015 |
|
JetBrains |
Bilinmiyor |
- |
13 Nisan 2015 |
Kaynaklar
- http://blog.cylance.com/redirect-to-smb
- https://technet.microsoft.com/en-us/library/security/974926.aspx
- https://technet.microsoft.com/en-us/library/security/973811.aspx
- https://technet.microsoft.com/en-us/library/jj865668(v=ws.10).aspx
- https://technet.microsoft.com/en-us/library/jj865676(v=ws.10).aspx
- http://blogs.technet.com/b/askds/archive/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7.aspx
- https://msdn.microsoft.com/en-us/library/ms775122%28v=vs.85%29.aspx
- https://msdn.microsoft.com/en-us/library/ms775123%28v=vs.85%29.aspx
- https://msdn.microsoft.com/en-us/library/aa939357%28v=WinEmbedded.5%29.aspx
- https://msdn.microsoft.com/en-us/library/windows/desktop/aa385483%28v=vs.85%29.aspx
- https://technet.microsoft.com/library/jj852213(v=ws.10).aspx
- http://insecure.org/sploits/winnt.automatic.authentication.html
- http://cwe.mitre.org/data/definitions/201.html
- http://www.kb.cert.org/vuls/id/672268