“Redirect to SMB”漏洞影响所有版本的Windows

新的“Redirect to SMB(重定向到SMB协议)”漏洞是18年前发现的一个漏洞的变种,可导致所有版本的Windows遭受中间人攻击。

最新发现,一个旧漏洞的新变种影响着所有版本的Windows,并可能导致中间人攻击。

Cylance 安全公司SPEAR团队的高级研究人员Brian Wallace在博客文章中介绍了被称为“Redirect to SMB”的漏洞,据说该漏洞影响着所有版本的Windows,以及来自Adobe Systems、苹果、Box、微软、Oracle和赛门铁克等31家公司的其他软件。

Cylance表示,该漏洞可能被攻击者用来执行中间人攻击,以及通过劫持与合法Web服务器的通信来窃取用户登录凭证。

Redirect to SMB是基于18年前Aaron Spangler进行的研究,它是一个旧漏洞的变种,微软承诺在2009年修复该漏洞,但最终没有这么做,只是发布了公告和解决方法。

原漏洞(CWE-201)最早于2008年7月被披露。攻击者可以通过诱骗目标人员点击链接来执行攻击,该链接是以file://开头的网址,这可能导致操作系统尝试使用服务器消息块(SMB)协议来验证服务器身份,并允许攻击者让目标机器崩溃。

Redirect to SMB攻击对原来的方法进行了扩展,首先创建一个方法来将目标从HTTP服务器重定向到SMB服务器,然后允许通过HTTP/HTTPS传输凭证数据。 Wallace称,Cylance发现四个常用Windows API功能会允许从HTTP/HTTPS到SMB的重定向,这意味着该漏洞也会影响其他软件,包括Adobe Reader、Apple iTunes和IE等常用应用;针对Windows的GitHub等开发者工具;甚至还有赛门铁克的Norton Security Scan等杀毒软件。

Wallace表示,该漏洞最有可能被高级攻击者用于有针对性的攻击,因为攻击者需要控制受害者网络流量的某些组件。然而,Wallace也指出,攻击者可能通过恶意广告或通过共享Wi-Fi接入点来执行攻击。

Wallace称,最佳防御方法是阻止TCP端口139和445的出站流量,无论是在终端还是在网络网关。但Wallace警告说,阻止TCP 139将阻止所有SMB通信,这可能禁用其他依赖SMB的功能。

微软还没有为该漏洞发布补丁,但该公司发言人提到了2009年的安全指导意见,这表明应采用相同的TCP阻止办法。

微软还指出,身份验证扩展包括(Extended Protection for Authentication)等Windows功能可加强用于处理网络连接登录凭证的现有防御措施,以帮助缓解威胁。

作者:Michael Heller

来源:51CTO

时间: 2024-10-29 12:53:29

“Redirect to SMB”漏洞影响所有版本的Windows的相关文章

Windows 曝漏洞 —— 影响所有版本

Cylance公司的信息安全专家与卡内基梅隆大学的CERT研究团队合作,声称发现了一个长期影响所有Windows版本 的僵尸漏洞,在最新的Windows 10技术预览版也有包含.该僵尸漏洞根据可追溯至1997年,由Aaron Spangler发现的漏洞衍生而来,这项被称作"Redirect to SMB"(重定向到SMB协议)的安全隐患将使得攻击者有机会劫持用户的敏感信息,而整个攻击过程只需用户点击一个链接即可完成. Cylance还表示该漏洞也可被任何Windows应用通过"

Android 被曝多处安全漏洞 影响所有版本

北京时间3月28日晚间消息,印第安纳大学系统安全实验室(System Security Lab at Indiana University)和微软研究院今日发布报告称,他们在Android系统源码中发现多处漏洞,允许黑客在Android用户进行系统升级时发动恶意攻击. 报告称,将Android设备的操作系统升级到最版本是确保智能手机和平板电脑安全的最佳方式之一.但研究人员经过对当前的Android升级机制进行研究后发现,事实并非如此. 研究人员称,Android系统存在多处安全漏洞,允许黑客开发

BIND 9 软件漏洞影响 DNS 服务器

攻击者正利用广泛使用的 BIND 软件漏洞对 DNS 服务器发动拒绝服务攻击. 漏洞影响所有版本的 BIND 9 软件,能被一个简单的数据包利用,瘫痪递归 DNS 服务器和权威 DNS 服务器.安全公司 Sucuri 的 CTO Daniel Cid 称,利用该漏洞的攻击已经开始出现.DNS 域名解析服务是互联网基础设施的重要部分,DNS 服务器瘫痪可能会导致你的域名或服务器无法被访问.修复该漏洞的补丁已经在上周释出,管理员需要尽快打上补丁堵上漏洞. Bind 是一款开放源码的 DNS 服务器软

SMB上发现一枚0day漏洞,影响多个版本的Windows系统

本文讲的是SMB上发现一枚0day漏洞,影响多个版本的Windows系统, 近日,US-CERT称在SMB(服务器信息区块)协议上发现了一个0day漏洞,可被远程攻击者利用. US-CERT进一步解释称,这个0day漏洞是SMB(服务器信息区块)协议上的内存崩溃漏洞,如果被攻击者成功利用,可能会造成拒绝服务攻击或者执行任意代码. 该漏洞是由名为 @PythonResponder的安全研究员发现,并且他指出受影响的系统版本为Windows Server 2012和Windows Server 20

注意!Riddle漏洞正在影响低版本Oracle MySQL,请立即更新!

本文讲的是注意!Riddle漏洞正在影响低版本Oracle MySQL,请立即更新!,近日,安全专家研究发现,MySQL 5.5.5.6客户端存在Riddle漏洞,允许攻击者使用MiTM(man-in-the-middle,中间人)攻击获取用户登录凭证,用户请立即更新到5.7版本. 关于中间人攻击(MiTM) MiTM 攻击(Man-in-the-MiddleAttack)是一种"间接"的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计

Office远程代码执行漏洞CVE-2017-8570 大部分版本受影响 PoC已经公开

Microsoft Office出现 远程代码执行漏洞 CVE-2017-8570,office 大部分版本受影响.绿盟科技发布安全威胁通告,通告内容如下: Office远程代码执行漏洞CVE-2017-8570 2017年7月,微软在例行的月度补丁中修复了多个Microsoft Office漏洞,其中的CVE-2017-8570漏洞为一个逻辑漏洞,利用方法简单.网上已经出现该漏洞的利用代码,影响范围较广. 该漏洞为Microsoft Office的一个远程代码执行漏洞.其成因是Microsof

Windows内核再次出现0Day漏洞 影响win2000到win10所有版本 反病毒软件恐成瞎子

从 windows 2000 到 windows 10 的最新版本, 所有操作系统的 PsSetLoadImageNotifyRoutine 中都发现了 Microsoft 内核漏洞.漏洞存在于 Microsoft 提供给安全供应商的 API 中, 是为了让他们知道操作系统正在加载的文件,如果这个API出现问题,防病毒软件就成了瞎子. 问题出在Windows回调机制PsSetLoadImageNotifyRoutine Microsoft 在 Windows 2000 中启动了 PsSetLoa

Linux内核又爆远程DoS漏洞CVE-2017-7645 没有看到不受影响的版本

Linux内核又爆出多个远程DoS漏洞,为啥这么说,上次大批linux内核版本爆出远程DoS漏洞,是在6月1日, Linux内核爆出远程DoS漏洞CVE-2017-6214,那次至少还有4.9.11不受影响 ,这次没有,后附的信息可以看到,SecurityFocus没有给出不受影响的版本! SecurityFocus评价 Linux内核比较容易出现多个DoS漏洞. 攻击者利用这个漏洞,可以为DoS攻击制造条件 Linux内核 4.10.11及之前版本都受影响 详见文末信息. Linux内核远程D

Office最新0day漏洞 所有Word版本受影响

4月10日讯 安全研究人员指出,攻击者正利用Microsoft Word中先前未披露的漏洞秘密安装各种恶意软件,即便电脑打了安全补丁,也无济于事. Office最新0day漏洞 所有Word版本受影响 -E安全 与大多数文档相关的漏洞不同,这个尚未修复的零日漏洞并不依赖宏.因为在打开启动宏的文件时,Office通常会警告用户这类文件存在风险,而该漏洞"机智"的避开了这一点. 相反,受害者打开任意一个欺骗性Word文档时就会触发该漏洞.欺骗性Word文档从服务器下载一个恶意HTML应用程