Websense Security Labs mette in guardia contro una vulnerabilità del 1997
Il team dei Websense Security Labs ha segnalato una vulnerabilità vecchia di 18 anni che permette di intercettare le credenziali dell’utente (nome utente, dominio, e l’hash della password). L’attacco, chiamato Redirect To SMB, si basa sulla possibilità di reindirizzare l’utente colpito e farlo autenticare su un server SMB (Server Message Block) controllato dai cyber criminali. Il server SMB è spesso utilizzato per accedere alle condivisioni di file attraverso le reti.
I rapporti indicano che mentre nessun attacco diretto è stato rilevato al momento della stesura di questo documento, le implicazioni della vulnerabilità sono tanto gravi da giustificare un’analisi approfondita del problema e una descrizione di come questa vulnerabilità potrebbe impattare anche la vostra organizzazione.
Un sito web potrebbe ad esempio reindirizzare un utente a un server SMB sotto il controllo dell’attaccante. Questo sito potrebbe essere diffuso utilizzando come vettore la posta elettronica, tramite annunci malevoli o semplicemente attirando l’utente finale ad un sito web che lo reindirizza. Inoltre un attacco MITM (man-in-the-middle) potrebbe intercettare il traffico degli utenti e reindirizzarlo al server SMB appropriato.
I meccanismi di aggiornamento di numerosi prodotti come Adobe Reader, QuickTime e altri sono dichiarati vulnerabili, visto che utilizzano richieste HTTP per accedere agli aggiornamenti del software. Un attacco MITM potrebbe intercettare e modificare la destinazione della richiesta a un server SMB sotto il controllo dell’attaccante.
Per difendersi da questa vulnerabilità, si possono mettere in atto alcune misure. Il traffico SMB opera sulle porte TCP 139 e TCP 445 e questa comunicazione potrebbe essere bloccata da un firewall, in particolare il firewall gateway di rete, per evitare che possano avvenire comunicazioni verso destinazioni SMB al di fuori della rete.
Un altro consiglio è di applicare sempre le patch software che vengono rilasciate dai fornitori, senza dimenticare l’importanza per gli utenti finali di utilizzare password complesse per aumentare il tempo necessario che eventuali algoritmi di hashing vengano forzati.
Per scoprire altri metodi di difesa, vi rimandiamo a questo documento in pdf.