Недостаток BadTunnel может означать пугающее отключение Windows

Уязвимость, которая, по словам исследователей в области безопасности, оказала «наибольшее влияние в истории Windows», может затронуть все версии операционной системы за последние 20 лет, от Windows 95 до Windows 10. Китайский исследователь безопасности Ян Ю, директор лаборатории Tencent Xuanwu Lab, обнаружил брешь, которую назвал BadTunnel. Ю получил вознаграждение в размере 50 000 долларов за обнаружение уязвимости.

На самом деле все началось с того, что Ю просто стало скучно в самолете. Он сказал, что начал представлять различные проблемы безопасности и неожиданно придумал совершенно новый сценарий атаки. «После поездки я сразу начал тестировать его на разных конфигурациях системы и, наконец, обнаружил эту уязвимость в операционной системе Windows», — сказал он.

Ю продемонстрировал недостаток в Лас-Вегасе на конференции Black Hat USA в августе в презентации под названием «BadTunnel: как мне получить силу Большого Брата?» В презентации Ю отметил, что у BadTunnel очень широкий спектр поверхностей для атак. «Атака может быть выполнена на всех версиях Internet Explorer, Edge, Microsoft Office, многих сторонних программах, USB-накопителях и даже веб-серверах. Когда этот недостаток срабатывает, ЗА ВАМИ СЛЕДЯТ».

Если вы все еще не уверены, насколько велика эта уязвимость в системе безопасности, поясняет Ю, «ее можно использовать незаметно с почти идеальной вероятностью успеха». Пользователи могут быть обмануты простыми действиями, такими как переход по ссылке, открытие документа Microsoft Office или подключение USB-накопителя. BadTunnel особенно трудно обнаружить, потому что даже если вредоносное ПО применено, оно не обязательно для использования уязвимости.

В интервью DARK Reading Ю объяснил: «Эта уязвимость вызвана рядом, казалось бы, правильных реализаций, которые включают в себя протокол транспортного уровня, протокол прикладного уровня, несколько конкретных случаев использования протокола приложения операционной системой и несколько протоколов. реализации, используемые брандмауэрами и устройствами NAT». Короче говоря, это больше, чем простая ошибка в коде.

По сути, Ю описал это как технику подмены NetBIOS в сетях, которая обходит брандмауэры и устройства NAT (преобразование сетевых адресов), чтобы злоумышленник мог получить доступ к сетевому трафику, не находясь в сети жертвы. По словам веб-консультанта Марка Стокли, «это может сделать вас уязвимым для злоумышленников, которые не находятся в вашей сети, и ваши брандмауэры не спасут вас, если вы не заблокируете UDP на порту 137 между вашей сетью и Интернетом».

Стокли говорит, что «WPAD — это способ для компьютеров автоматически обнаруживать файлы конфигурации веб-браузера путем поиска определенных адресов в локальной сети компьютера. Злоумышленник, который может найти способ занять один из этих адресов или изменить искомые адреса, может предоставить свои собственные файлы конфигурации и указать браузеру жертвы направлять трафик через атаку «человек посередине».

В своем интервью Ю подробно рассказал об атаке.

«BadTunnel использует ряд уязвимостей в системе безопасности, включая то, как Windows разрешает сетевые имена и принимает ответы; как браузеры IE и Edge поддерживают веб-страницы со встроенным содержимым; как Windows обрабатывает сетевые пути через IP-адрес; как запросы NetBIOS Name Service NB и NBSTAT обрабатывают транзакции; и то, как Windows обрабатывает запросы на одном и том же порту UDP (137) — все это в совокупности делает сеть уязвимой для атаки BadTunnel.

В техническом документе Ю и плане его обсуждения в Black Hat USA приведен следующий пример атаки:

1. Алиса и Боб могут находиться где угодно в своей сети, и между ними могут быть брандмауэры и устройства NAT, если порт Боба 137/UDP доступен для Алисы.
2. Боб закрывает порты 139 и 445, но слушает порт 137/UDP.
3. Алиса убеждается в доступе к файлу URI или пути UNC, указывающему на Боба, и другому URI на основе имени хоста, например «http://WPAD/x.jpg» или «http://FileServer/x.jpg». Алиса отправит запрос NBNS NBSTAT Бобу, а также отправит запрос NBNS NB на широковещательный адрес локальной сети.
4. Если Боб заблокирует доступ к портам 139 и 445 с помощью брандмауэра, Алиса отправит запрос NBNS NBSTAT примерно через 22 секунды. Если вместо этого Боб закрыл порты 139 и 445, отключив службу Windows сервера или NetBIOS по протоколу TCP/IP, Алисе не нужно будет ждать, пока истечет время ожидания подключения, прежде чем отправить запрос.
5. Когда Боб получил запрос NBNS NBSTAT, отправленный Алисой, Боб подделал ответ NBNS NB, предсказав идентификатор транзакции, и отправил его Алисе. Если пакет пульса отправляется каждые несколько секунд, большинство брандмауэров и устройств NAT будут держать открытым туннель 137/UDP<->137/UDP.
6. Теперь Алиса добавит разрешенный адрес, отправленный Бобом, в кэш NBT. Значение TTL по умолчанию для записи кэша NBT составляет 600 секунд.

Ю добавил, что Боб также может вставлять векторы атак на веб-страницы, которые посещает Алиса. Поскольку эти веб-страницы будут кэшироваться веб-браузером, атаки могут быть инициированы повторно, даже если туннель между Алисой и Бобом отключен. Кроме того, поскольку Боб может держать туннель открытым, отправляя пакет каждые несколько секунд, «даже если Алиса никогда больше не посетит файл Боба с URI или UNC-путем, Боб все равно может отправить Алисе поддельный ответ NBNS NB», — говорит Ю.

При полном понимании того, как работает эта цепочка, злоумышленнику потребуется всего 20 минут, чтобы осуществить эксплойт. К счастью, все надежды не потеряны. Хотя об этом было сообщено в Windows в январе, исправление для решения проблемы было наконец выпущено в июне и совсем недавно снова обновлено в августе.

Обновление для системы безопасности имеет рейтинг важности; По словам Microsoft, «самая серьезная из уязвимостей может привести к повышению привилегий, если протокол автоматического обнаружения веб-прокси (WPAD) откажется от процесса обнаружения уязвимого прокси-сервера в целевой системе».

Загрузите самое последнее обновление. Как сообщает Microsoft, «обновление устраняет уязвимости, исправляя то, как Windows обрабатывает обнаружение прокси-сервера, и автоматическое обнаружение прокси-сервера WPAD в Windows».

Ю отмечает, что вы всегда должны загружать самый последний патч, но если он вам недоступен, вам следует отключить NetBIOS через TCP/IP, чтобы предотвратить атаку BadTunnel. Microsoft дает подробные инструкции, как это сделать.