Cylance: хакеры могут воровать пароли пользователей Windows через службу SMB
Компания Cylance, которая разрабатывает инструменты для отражения киберугроз, недавно разработала и воспроизвела в лабораторных условиях метод атаки на пользователей Windows. По словам исследователей, используя этот метод, злоумышленники могут воровать логины и пароли клиентов Microsoft.
Новая атака получила название Redirect to SMB, потому что она использует функции компонента Windows под названием Server Message Block (SMB). Исследователи применили принцип работы уязвимости, обнаруженной ещё в 1997 году. Её суть состоит в том, что при открытии URL, в начале которого стоит значение “file” (к примеру file://1.1.1.1/) браузер Internet Explorer пытался подключиться к SMB-серверу, отправляя на целевой адрес (в данном случае на 1.1.1.1) логин и пароль пользователя.
Подобная тактика работает до сих пор: сотрудники Cylance настроили поддельный SMB-сервер и отправили пользователю URL с ссылкой на него. Клиент службы обмена сообщениями Windows попытался загрузить ознакомительную версию файла, ссылка на который была получена, для чего ему пришлось предоставить логин и пароль.
При осуществлении этой атаки от пользователя не требуются дополнительные действия — URL, ссылающийся на SMB-сервер злоумышленника, может быть встроен в iframe, изображение или другой элемент открытой web-страницы.
Как сообщает Reuters, в Microsoft знают об исследованиях Cylance, но не считают эту угрозу существенной. В корпорации отметили, что для успешной атаки необходимо наличие ряда факторов, и при этом она выпустила несколько инструментов для защиты пользователей, например, Extended Protection for Authentication.
Opera 21 всегда показывает полный URL Google выпустил Редактор AdWords 11.1 Операторы связи разблокировали ЖЖ Пароли от 7000 FTP-серверов продаются на форуме Google выпустил антивирус для компьютеров Apple Yahoo! отказалась исправлять эксплуатируемую фишерами уязвимость в механизме переадресации пользователей В Microsoft Bing добавлены инструменты кодировки HTML, URL и Base64 «Республика» предлагает молодым людям читать книги в виде URL-линков Impress: многоцелевой сервер приложений для Node.js В соцсетях сообщили о блокировке YouTube компанией «Акадо»
Обратная связь