Specjaliści z firmy Cylance odkryli w Windowsie poważną lukę, która może się przyczynić do kradzieży haseł. Co ciekawe, wspomniana przypadłość systemu była już obecna w… Windowsie 95. Microsoft co prawda zastosował tymczasowe rozwiązanie, jednak teraz problem powrócił ponownie.
Nowa-stara luka potencjalnie może zagrażać milionom komputerów na całym świecie, choć jej wykorzystanie wymaga zrealizowania ściśle określonego scenariusza. Nie jest on jednak zależny od użytkownika. Urządzenie może zostać zarażone nawet, jeżeli będziemy przestrzegać wszystkich zasad bezpieczeństwa i nie będziemy klikać w podejrzane linki.
W 1997 roku luka umożliwiała kradzież loginu i hasła do Windowsa poprzez logowanie po SMB. Windows 95 logował się do zdalnych zasobów SMB automatycznie, przez co dochodziło do ujawnienia danych. Wystarczyło podstawić specjalną stronę internetową i skorzystać z przeglądarki Internet Explorer.
Microsoft co prawda wydał wtedy poprawkę, jednak nie załatała ona całego problemu, gdyż ten tkwił w złej konstrukcji systemu. I właśnie dlatego po 18 latach luka pojawiła się ponownie, choć jej działanie jest nieco inne.
Hakerzy do ataku mogą wykorzystać webserwer odpowiadający na żądania HTTP kodem błędu 301 i 302. W ten sposób użytkownik jest przekierowywany na zasób SMB, w wyniku czego dochodzi do wycieku danych. Na lukę podatny jest Internet Explorer, a także wszystkie aplikacje korzystające z dziurawej biblioteki urlmon.dll.
Wśród podatnych programów wymienia się między innymi Adobe Reader, Apple QuickTime, GitHub, Apple Software Update czy Microsoft Baseline Security Analyser. Co ciekawe, do grupy tej zaliczają się również antywirusy Symanteca, AVG, BitDefendera oraz Comodo.
Jak podaje portal Niebezpiecznik, przed luką nie można się ustrzec. Bezpieczeństwo leży w rękach twórców oprogramowania, którzy muszą zaktualizować swoje aplikacje w taki sposób, aby nie korzystały z funkcji przekierowania żądań do SMB. Ostatecznie warto pokusić się o zablokowanie portów TCP 139 oraz 445 w kierunku wychodzącym. Można tego dokonać za pomocą firewalla.
Źródło: Niebezpiecznik via Instalki