Эксперты нашли метод удаленного взлома защиты Windows 10

На конференции Black Hat двое исследователей показали, что атака с использованием протокола SMB (Server Message Block — сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам), более десятилетия считавшаяся возможной только в локальных сетях, осуществима также через Интернет.

Этот метод взлома получил название SMB relay. Он заставляет атакованный компьютер, являющийся частью Active Directory, передавать информацию о пользователе хакеру при посещении веб-страницы, открытии почтового сообщения в Outlook или видео в Windows Media Player. Полученная информация позволяет взломщику проходить аутентикацию на любых Windows-серверах, где этот пользователь имеет учетную запись, включая базирующиеся в облаке.

Впервые способ SMB relay, при котором нападающий помещал себя между сервером и Windows-компьютером для перехвата идентификационных данных, был изобретен в 2001 г. Считалось, что он работает только в локальных сетях — Internet Explorer имеет опцию аутентикации, по умолчанию установленную на автоматический вход только в зоне интранет.

Однако, эксперты в области безопасности Джонатан Броссар (Jonathan Brossard) и Гормаз Биллимория (Hormazd Billimoria) установили, что данная опция игнорируется и браузер можно заставить незаметно отсылать пользовательские данные — логин и хэш-код пароля — на удаленный SMB-сервер в Интернете, контролируемый взломщиками.

Корни проблемы, по их заявлению, кроются в системном файле DLL, который используется не только Internet Explorer, но и многими другими приложениями, которые могут открывать веб-адреса, включая Microsoft Outlook, Windows Media Player и программы сторонних разработчиков.

Когда эти программы запрашивают веб-адрес, DLL проверяет настройки аутентикации в регистре, но затем игнорирует их. Это относится ко всем поддерживаемым версиям Windows и Internet Explorer, и делает SMB relay первым известным методом удаленного взлома для новых операционной системы Windows 10 и браузера Microsoft Edge.

Для противодействия этим атакам Microsoft рекомендует с помощью брандмауэра блокировать отсылку пакетов SMB за пределы локальных сетей. Межсетевой экран, встроенный в Windows, может применяться для блокирования SMB-пакетов на портах 137, 138, 139 и 445 от выхода в Интернет, но пропускать их в локальной сети, не мешая разделенному доступу к файлам. Сами авторы доклада считают эту меру действенной, но не очень уместной в эпоху всеобщей мобильности пользователей и облачных вычислений. Более приемлемо, по их мнению, будет хост-базированное фильтрующее решение.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365