Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
BadTunnel – 20 letnia podatność odkryta przez Chińczyka: od Windows XP do Windows 10
Wczoraj sypnęło podatnościami oznaczonymi parą: Critical / RCE (zdalne wykonanie kodu) w: IE, Edge, Microsoft Office, … z dokładką w postaci kilku problemów związanych z eskalacją uprawnień (np. w obsłudze WPAD).
Tym razem jednak sprawa wygląda na bardziej skomplikowaną – w część podatności zamieszany jest chiński badacz, Yang Yu, który w swojej historii zgarnął już od Microsoftu $145 000 w ramach programu bug bounty.
Na razie mamy tylko patche, a pełne szczegóły ujawnione zostaną na konferencji BlackHat USA:
It affects all Windows released in the last two decades, including Windows 10. It also has a very wide range of attacks surface. The attack can be performed on all versions of Internet Explorer, Edge, Microsoft Office, many third-party software, USB flash drives, and even Web server.
Wiemy, że w podatności chodzi o możliwość przechwytywania ruchu (i wstrzykiwania do niego komunikacji) i zasadza się ona m.in. na starym protokole NetBIOS:
It basically works like this: the attacker gets a victim to visit a rigged web page via IE or Edge, or to open a rigged Office document (or install a malicious flash drive). The attacker’s site appears as either a file server or a local print server, and hijacks the victim’s network traffic – HTTP, Windows Updates, and even Certificated Revocation List updates via Microsoft’s CryptoAPI.
I dalej:
This is probably the very first time in the history to successfully create a tunnel to pass through firewall and network address translation (NAT) devices, and attack intranet devices directly from the internet.
Co ciekawe, wg badacza, wystarczy włożyć pamięć USB komputera i nasz ruch jest monitorowany:
(…) insert the thumb drive into one of the ports on the system and the exploitation is complete.
Co zrobić z systemami, które nie otrzymają patcha (np. Windows XP)? Sugerowane jest przede wszystkim wyłączenie NetBIOS over TCP/IP oraz blokowanie komunikacji korzystającej z portu 137 UDP (wychodzącej / wchodzącej).
–Michał Sajdak
Szkoda że się dowiadujemy jako my jednostka ludzi IT o tym błędzie, dopiero po 20 latach ach… przespane lata jak to się mówi lepiej później nic wcale, za aż takiego buga po 50k dostać to niezłym musiał być spryciarzem i główkować.
Od 16 lat wyłaczam „NetBIOS over TCP/IP”. Od dawna wiadomo, że świństwo jest dziurawe, że hej. Ponadto zaśmieca sieć niepotrzebnymi rzeczami.