Podczas konferencji Black hat USA w Las Vegas zaprezentowany został pierwszy skuteczny atak na przeglądarkę Microsoft Edge, obecną w Windowsie 10. Wykorzystuje on lukę w protokole Microsoft Server Message Block (SMB), używanym przede wszystkim do udostępniania plików w sieci lokalnej.
Atak został zaprezentowany przez zespół specjalistów pod kierownictwem Jonathana Brossarda. Przyczyną wszystkich problemów jest jeden plik DLL. Luka pozwala wydobyć dane logowania użytkownika z zamkniętej domeny. Wykorzystany jest do tego mechanizm przypominający klasyczny atak typu man in the middle, ale przeznaczony dla połączeń SMB.
Do niedawna badacze uważali, że ta technika działa tylko w sieciach lokalnych. Jednak definicja sieci lokalnej uległa w ostatnich latach rozluźnieniu, ponieważ wiele firm korzysta obecnie z usług zewnętrznych dostawców i chętnie przechowuje dane w chmurach. Zespół Brossarda postanowił więc spróbować przeprowadzić atak typu SMB relay przez Internet. Okazało się to nie tylko możliwe, ale i skuteczne. Przy okazji okazało się, że luka odkryta 14 lat temu nie została tak do końca zabezpieczona. Poprawki bazowały na założeniu, że atakujący będzie już połączony z siecią lokalną.
Wydobycie informacji o użytkowniku jest możliwe, gdy na komputerze wykonana zostanie operacja wymagająca otwarcia odnośnika. Może to być odwiedzenie strony internetowej lub przeczytanie e-maila. Podczas przeprowadzania tych czynności otwierana jest biblioteka odpowiedzialna za ochronę przed atakami tego typu, ale jej zawartość i ustawienia są w zasadzie ignorowane, więc spokojnie można przeprowadzić atak.
Hakerzy spreparowali odpowiednią stronę i przekonali użytkownika, by ją odwiedził. W ten sposób zdobyli nazwę użytkownika (wysyłaną czystym tekstem), a następnie odszyfrowali hasło ze skrótu. Było to możliwe dlatego, że domyślnie Internet Explorer z domyślnymi ustawieniami logowania stara się logować automatycznie w intranecie. Potem zalogowali się na atakowany komputer, by wydobyć więcej danych, podając się za zwykłego użytkownika.
Luka istniała nie tylko w najnowszej wersji Windowsa i przeglądarki Microsoft Edge (w chwili badania jej używana była jeszcze nazwa Spartan). Można było ją wykorzystać także do ataków na starsze wersje systemu z przeglądarką Internet Explorer. Podatne są również inne programy, jak Windows Media Player, Adobe Reader, QuickTime, Excel 2010, Norton Security Scan, AVG Free, BitDefender Free, Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub, TeamViewer i wiele innych – wystarczy, że bez wiedzy użytkownika starają się łączyć z serwerami SMB i wykorzystuje NTLM. Na ich tle korzystnie wypadł Chrome, który przed nawiązaniem połączenia pyta użytkownika o pozwolenie.
Jako obronę specjaliści polecają ustawienie zapory systemu w taki sposób, by połączenie SMB spoza sieci lokalnej nie było możliwe. Szczególną uwagę należy zwrócić na porty 137, 138, 129 i 445. Na atak wrażliwe są przede wszystkim firmy, w których za pośrednictwem 21-letniego już protokołu udostępniane są pliki i drukarki, w których wyłącza się podpisywanie pakietów SMB (niekiedy wyłączane by przyspieszyć transmisję). W środowiskach biznesowych trudno znaleźć maszynę, na której nie działa Windows i bez Internet Explorera, co podkreślił Brossard podczas prezentacji.
Szczegółowy opis ataku można znaleźć w publikacji, wraz z jego modyfikacjami i scenariuszami wykorzystania. Dokument został opracowany na podstawie wersji podglądowej Windowsa 10. Microsoft został powiadomiony o odkryciu 9 miesięcy temu i współpracował z hakerami przy odkrywaniu konsekwencji ataku.