TR-15-035 (Microsoft Windows NTLM SMB Üzerinden File:// Şeklinde URL Takip Edildiğinde Kimlik Doğrulamasını Otomatik Yapmakta)

Genel Bilgi

HTTP isteklerini kullanan Microsoft Windows üzerinde çalışan yazılım, kötü amaçlı bir sunucu üzerinde file:// protokolüne yönlendirilebilir, bu durumda Windows kötü amaçlı sunucuda Server Message Block (SMB) üzerinden kimlik doğrulaması yapmayı dener. Kullanıcı kimlik bilgilerinin şifreli hali  kötü amaçlı sunucuda kayıt altına alınır. Bu zafiyet ayrıca “SMB’ye yönlendir” olarak ta bilinir.

Tanım

CWE-201: Gönderilen Veri üzerinden Bilgi İfşası

Birçok yazılım ürünü, yazılım güncelleme kontrolü gibi çeşitli amaçlarla HTTP istekleri kullanır. Kötü amaçlı bir kullanıcı bu tür isteklerin arasına girerek (örneğin MITM proxy vasıtasıyla) HTTP Redirect kullanarak mağduru kötü amaçlı bir SMB sunucusuna yönlendirebilir. Yönlendirme file:// URL ise ve mağdur Microsoft Windows kullanıyorsa, Windows otomatik olarak kimlik doğrulaması yapmak amacıyla kullanıcı bilgilerini sunucuya yollar. Bahse konu kullanıcı bilgileri kötü amaçlı sunucu tarafından kayıt edilebilir. Bu bilgiler şifrelenmiş olsa da, “brute-force” saldırısı ile şifreler elde edilebilir.

Aşağıdaki Windows API fonksiyonlarının (urlmon.dll ile ulaşılabilin) etkilenmiş olduğu tespit edilmiştir:

●URLDownloadA

●URLDownloadW

●URLDownloadToCacheFileA

●URLDownloadToCacheFileW

●URLDownloadToFileA

●URLDownloadToFileW

●UrlOpenStream

●URLOpenBlockingStream

urlmon görevini yerine getirmek için wininet kütüphanesini kullanır. Bu yüzden etkilenmiş fonksiyonlar wininit içinde bulunabilir. Hali hazırda açıklığın nerde bulunduğu tespit edilememiştir. Internet Explorer ve .NET WebBrowser bileşeninin bu SMB yönlendirme açığı taşıdığı raporlanmıştır. Daha uzun açıklama ve örnekler için konu ile ilgili Cylance blog sayfası incelenebilir.

HTTP Yönlendirme vektörü yeni bir kavram olmasına karşın SMB ile ilişkin bu tür sorunlar bir süredir bilinmektedir. Örneğin, Aaron Spangler tarafından 1997’de yayınlanan rapor ile 2009 yılına ait Microsoft raporuna bakılabilir.

Etki

Mevcut güvenlik açıklığı nedeniyle siber saldırganlar tarafından kurbanın şifrelenmiş kullanıcı kimlik bilgileri elde edebilir.

 

Çözüm

Bu sorunun şu anda net bir çözümü mevcut değildir. Ulusal Siber Olaylara Müdahale Merkezi (USOM) kullanıcı ve sistem yöneticilerine aşağıdaki geçici çözümleri kullanabilirler.

1.Giden SMB Bloklaması

            Yerel ağdan çıkan SMB bağlantıları (TCP portları 139 ve 445) engellenebilir.

2.NTLM Grup ilkesi güncelleyin

            Bu saldırı bazı durumlarda uygun grup politikası aracılığıyla NTLM kullanımını      kısıtlayarak azaltılabilir. İlk iki referansa bakınız.

3.Uygulamalarda varsayılan kimlik doğrulama için NTLM kullanmayın

            Uygulama geliştiriciler kendi yazılımlarının Grup İlkesi ile uyumlu olmasını ve varsayılan kimlik doğrulama için NTLM kullanılmamasını sağlamalıdır.

4.Güçlü bir şifre kullanın ve şifreleri sık sık değiştirin

            Kimlik bilgileri saldırganın eline şifrelenmiş biçimde geçtiğinden, güçlü bir parola şifresini kırmak için daha fazla zaman gerekebilir. Ayrıca parolaları                     düzenli değiştirme, şifrelemeye karşı kullanılan brute-force saldırılarının etkinliğini azaltır.

Satıcı

Durum

Bilgilendirme Tarihi

Güncelleme Tarihi

AVG Anti-virus Software

Etkilendi

24 Mart 2015

01 Nisan 2015

Microsoft Corporation

Etkilendi

11 Mart 2015

01 Nisan 2015

Oracle Corporation

Etkilendi

24 Mart 2015

01 Nisan 2015

Adobe

Bilinmiyor

24 Mart 2015

24 Mart 2015

Apple

Bilinmiyor

24 Mart 2015

24 Mart 2015

Box.com

Bilinmiyor

14 Mart 2015

14 Mart 2015

COMODO Security Solutions, Inc.

Bilinmiyor

24 Mart 2015

24 Mart 2015

Github

Bilinmiyor

-

13 Nisan 2015

GoPro

Bilinmiyor

-

13 Nisan 2015

JetBrains

Bilinmiyor

-

13 Nisan 2015

 

Kaynaklar

  • http://blog.cylance.com/redirect-to-smb
  • https://technet.microsoft.com/en-us/library/security/974926.aspx
  • https://technet.microsoft.com/en-us/library/security/973811.aspx
  • https://technet.microsoft.com/en-us/library/jj865668(v=ws.10).aspx
  • https://technet.microsoft.com/en-us/library/jj865676(v=ws.10).aspx
  • http://blogs.technet.com/b/askds/archive/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7.aspx
  • https://msdn.microsoft.com/en-us/library/ms775122%28v=vs.85%29.aspx
  • https://msdn.microsoft.com/en-us/library/ms775123%28v=vs.85%29.aspx
  • https://msdn.microsoft.com/en-us/library/aa939357%28v=WinEmbedded.5%29.aspx
  • https://msdn.microsoft.com/en-us/library/windows/desktop/aa385483%28v=vs.85%29.aspx
  • https://technet.microsoft.com/library/jj852213(v=ws.10).aspx
  • http://insecure.org/sploits/winnt.automatic.authentication.html
  • http://cwe.mitre.org/data/definitions/201.html
  • http://www.kb.cert.org/vuls/id/672268

2015-04-15