Эксперты обнаружили серьезную уязвимость в ОС Windows

Экспертами калифорнийской компании Cyclance, которая специализируется на защите предприятий от информационных угроз, объявлено о том, что ими выявлен новый метод того, как можно похитить логины и пароли с любого компьютера под управлением операционной системы Windows (в том числе и с Windows 10). 

 

Напомним, что выпуск финальной версии этой системы должен состояться в нынешнем году. В результате аналитики всерьез заговорили о том, что существует реальная угроза для сотен сотни миллионов пользователей.

 

В компании объяснили, что за счет данной уязвимости в Windows предоставляется возможность украсть логины и пароли примерно в тридцати продуктах. Причем в продуктах не только самой Microsoft, но и разработчиков со стороны. Среди этих продуктов оказались, скажем, Microsoft Internet Explorer, Adobe Reader, Comodo Antivirus, Microsoft Excel и прочие.

 

 

Новый метод уже назван экспертами Redirect to SMB. То есть «Перенаправление на SMB», где SMB — узел, наделенный способностью устанавливать соединение по протоколу Server Message Block.

 

Предназначение протокола Server Message Block в том, чтобы обмениваться файлами через сеть. Он предоставляет возможность приложению или его пользователю иметь доступ к файлам и иным ресурсам, что расположены на удаленном сервере. Приложение способно прочитать файлы на удаленном сервере и создать их, модифицировать.

 

Метод Redirect to SMB заключается в том, что злоумышленник похищает логины и пароли, перехватывая канал с доверенным сервером. Делает это он, используя атаку «человек посередине» (man-in-the-middle) и прокладывая маршрут через подставной сервер SMB с программным обеспечением, который извлекает из сетевых пакетов нужные данные.

 

В основе метода уязвимость, которую нашел еще в 1997 году А. Спэнглер. Он установил, что при вводе в Internet Explorer адреса, который начинается со слова file, браузер предпринимает попытку выйти на связь с SMB-сервером по определенному адресу.

 

Исследователи сообщили, что ими сейчас выявлен новый способ взлома. При получении приложением URL на изображение оно предпринимало попытку автоматического отображения его превью, то есть уменьшенной копии. 

 

Исследователи отослали приложению URL, который начинался с file. Как и в случае с адресами, которые начинались с http, приложение пыталось сделать загрузку изображения по этому адресу, с целью сформировать превью. Фактически оно пыталось выйти на связь с SMB-севером исследователей.

 

Исследователями было установлено, что злоумышленники способны перехватить как запросы из Internet Explorer, так и запросы из программного обеспечения к серверам разработчиков, установленного на персональный компьютер. Эти запросы можно отправлять, например, для того, чтобы загружать обновления, проверять подлинность продукта.