Investigadores de seguridad de la empresa Cylance
han desenterrado un fallo de seguridad en todas las versiones de
Windows que
supuestamente podría permitir robar credenciales de usuarios en cualquier versión del sistema
operativo.
El error denominada
"Redirect to SMB" es una variante de una
vulnerabilidad descubierta por Aaron Spangler hace casi 18 años y según
Cylance la debilidad no fue nunca parcheada por Microsoft.
SMB (
Server Message Block) es un protocolo que permite a los
usuarios compartir archivos a través de una red. En sistemas operativos
Windows, SMB es utilizado por empresas y organizaciones para compartir
archivos en toda su red.
Al momento de solicitar un archivo desde el servidor, Windows intenta
automáticamente autenticar el servidor SMB proporcionando al
sistema las
credenciales de los usuarios en el servidor. Si un atacante puede
obligar a la víctima para que intente autenticarse en un servidor SMB
malicioso, sólo necesita interceptar esta petición HTTP (usando
Man-in-the-Middle y
ARP poisoning) para acceder a la credenciales del usuario.
Cuando una víctima ingresa una URL que empieza con "
file://" -o
hace clic en un enlace malicioso-,
Windows cree que el usuario intenta
acceder a un archivo en un servidor, y debido a esta "vulnerabilidad",
Windows intentará automáticamente autenticarse en el servidor SMB
malicioso proporcionando credenciales de inicio de sesión del usuario al
servidor.
¿Qué dice Microsoft?
Microsoft ha restado importancia al "descubrimiento" de Cylance y a la
gravedad de la falla diciendo que el problema no era nuevo en absoluto y
las probabilidades de ser víctimas de este ataque son escasas.
No estamos de acuerdo con Cylance en decir que este es un "nuevo tipo de
ataque" porque los ciberdelincuentes deberían involucrar en una serie
de tácticas nefastas para realizar el ataques con éxtio.
¿Quiénes se ven afectados?
Cyclance afirma que 31 programas son vulnerables a la falla SMB,
incluídos: Adobe Reader, Apple QuickTime, iTunes, Internet Explorer,
Windows Media Player, Excel 2010, Github para
Windows, JDK 8u31, .NET
Reflector, Maltego, Symantec Norton Security Scan, Comodo Antivirus,
BitDefender, AVG y TeamViewer.
¿Cómo protegerse contra este fallo?
Nada nuevo bajo el sol: la forma más sencilla para proteger contra este problema es bloquear (con un
firewall) el tráfico saliente de TCP en los puertos 139 y 445. Se debe evitar comunicaciones SMB fuera de la red.
Cylance ha publicado un
paper y varios
videos pero de todos modos esto no deja de er un
FUD publicitario con mucho humo de por medio.