BadTunnel – 20 letnia podatność odkryta przez Chińczyka: od Windows XP do Windows 10

15 czerwca 2016, 18:55 | W biegu | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Wczoraj sypnęło podatnościami oznaczonymi parą: Critical / RCE (zdalne wykonanie kodu) w: IE, Edge, Microsoft Office, … z dokładką w postaci kilku problemów związanych z eskalacją uprawnień (np. w obsłudze WPAD).

Tym razem jednak sprawa wygląda na bardziej skomplikowaną – w część podatności zamieszany jest chiński badacz, Yang Yu, który w swojej historii zgarnął już od Microsoftu $145 000 w ramach programu bug bounty.

Na razie mamy tylko patche, a pełne szczegóły ujawnione zostaną na konferencji BlackHat USA:

It affects all Windows released in the last two decades, including Windows 10. It also has a very wide range of attacks surface. The attack can be performed on all versions of Internet Explorer, Edge, Microsoft Office, many third-party software, USB flash drives, and even Web server.

Wiemy, że w podatności chodzi o możliwość przechwytywania ruchu (i wstrzykiwania do niego komunikacji) i zasadza się ona m.in. na starym protokole NetBIOS:

It basically works like this: the attacker gets a victim to visit a rigged web page via IE or Edge, or to open a rigged Office document (or install a malicious flash drive). The attacker’s site appears as either a file server or a local print server, and hijacks the victim’s network traffic – HTTP, Windows Updates, and even Certificated Revocation List updates via Microsoft’s CryptoAPI.

I dalej:

This is probably the very first time in the history to successfully create a tunnel to pass through firewall and network address translation (NAT) devices, and attack intranet devices directly from the internet.

Co ciekawe, wg badacza, wystarczy włożyć pamięć USB komputera i nasz ruch jest monitorowany:

(…) insert the thumb drive into one of the ports on the system and the exploitation is complete.

Co zrobić z systemami, które nie otrzymają patcha (np. Windows XP)? Sugerowane jest przede wszystkim wyłączenie NetBIOS over TCP/IP oraz blokowanie komunikacji korzystającej z portu 137 UDP (wychodzącej / wchodzącej).

Najwcześniejszą podatną wersją Windowsa jest aż 95 (!), później bardziej „nowoczesny” XP, aż do Windows 10

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dominik Górgól

    Szkoda że się dowiadujemy jako my jednostka ludzi IT o tym błędzie, dopiero po 20 latach ach… przespane lata jak to się mówi lepiej później nic wcale, za aż takiego buga po 50k dostać to niezłym musiał być spryciarzem i główkować.

    Odpowiedz
  2. Mickie

    Od 16 lat wyłaczam „NetBIOS over TCP/IP”. Od dawna wiadomo, że świństwo jest dziurawe, że hej. Ponadto zaśmieca sieć niepotrzebnymi rzeczami.

    Odpowiedz

Odpowiedz na Dominik Górgól