HardwaReviews

La técnica de «Redirigir a SMB» expone una vulnerabilidad existente desde hace 18 años

El equipo de Websense Security Labs está al tanto de un reciente descubrimiento que les da a los atacantes la posibilidad de interceptar credenciales sensibles de usuarios (nombre de usuario, dominio y hash de contraseña). Mediante este ataque el usuario final es dirigido a un servidor SMB (Server Message Block ) controlado por un atacante, y es autenticado en el mismo. Por lo general se utiliza el SMB para acceder a la funcionalidad de compartir archivos a través de las distintas redes.

Se han descubierto varias nuevas maneras de inducir una vulnerabilidad que existe desde hace 18 años en el manejo de este tráfico. A este tipo de ataque se le está denominando “Redirigir a SMB” (“Redirect To SMB”). Hay varias aplicaciones muy conocidas que son vulnerables a este método de ataque. Los informes indican que si bien no se observaron ataques en general al momento de redactar este texto, las implicaciones de la vulnerabilidad son lo suficientemente graves como para justificar que se le asigne prioridad a este problema y se describan las formas en que podría verse afectada cada organización.

Los nuevos métodos de ataque solo se empezaron a descubrir recientemente. La base de datos “Vulnerability Notes Database” informó públicamente el problema basándose en análisis realizados por Cylance: http://www.kb.cert.org/vuls/id/672268. Al problema se le asignó la designación VU#672268.

El ataque “Redirigir a SMB” describe todo método utilizado para enviar y autenticar a los usuarios en un servidor SMB malicioso. Permite interceptar el nombre de usuario, el dominio y el hash (que suele utilizarse) de la contraseña.

Se ilustraron las siguientes situaciones posibles.

Mitigación

Actualmente se sugieren los consejos de mitigación que se indican a continuación, aunque quizás no todos sean adecuados para todas las empresas.

Fuente – Websense Security Labs

Salir de la versión móvil