Критическая уязвимость позволяет перехватывать весь сетевой трафик пользователей Windows



    Исследователи из ИБ-подразделения компании Tencent под названием Xuanwu Lab обнаружили серьезную ошибку в реализации протокола NetBIOS, использующейся в Windows. Критическая уязвимость получила название BadTunnel — она позволяет злоумышленникам полностью контролировать сетевой трафик жертвы.

    В чем проблема


    BadTunnel позволяет злоумышленникам контролировать не только HTTP и HTTPS-запросы, но и всю сетевую активность операционной системы. Например, вмешиваться в загрузку системных обновлений и процесс получения списков сертификатов. Уязвимы все версии ОС Windows.

    По словам обнаружившего уязвимость исследователя Яна Ю (Yang Yu), перенаправление трафика жертвы может осуществляться с помощью поддельного WPAD-файла (Web Proxy Auto Discovery) или ISATAP-сервера.

    Разбор возможной атаки


    Эксперты Positive Technologies описали возможную атаку с применением уязвимости BadTunnel. Для ее осуществления необходимо убедить жертву открыть хотя бы один UNC или URI путь — это может быть адрес вредоносного сайта, адрес папки или документа. В этом случае будет использоваться NetBIOS over TCP/IP, а не стандартные сокеты.

    Путь должен содержать в себе ip-адрес сервера атакующего, например:

    <img src=\\10.10.10.10\BadTunnel>
    

    При обработке этого адреса первоначально будут отправлены запросы на порты 139 (NetBIOS Session) или 445 (Microsoft-DS Active Directory, Windows shares). Если эти порты будут закрыты, то жертва отправит NetBIOS Name Service (NBNS) NBSTAT сообщение на 137 порт, тем самым открывая UDP-тоннель и позволяя злоумышленнику слать запросы прямиком жертве, минуя NAT и Firewall.

    Если компьютер жертвы имеет стандартную конфигурацию WPAD, то время от времени он посылает широковещательные запросы в поисках узла с именем WPAD. А так как злоумышленник имеет установленный тоннель до компьютера жертвы, ему достаточно генерировать множество поддельных ответов на запрос имени WPAD, в котором был бы указан адрес сервера, на котором злоумышленник держит настройки прокси сервера.

    Через некоторое время после того, как уязвимый компьютер примет фиктивный ответ на WPAD запрос — он начнёт искать настройки прокси по адресу WPAD. После их нахождения происходит подключение и злоумышленник получает полный контроль над трафиком жертвы.

    Почему это возможно


    Эксперты Positive Technologies так объясняют возможность проведения описанной атаки:

    1. Поле Transaction ID в NBNS-запросах не рандомизируется, а инкрементируется, поэтому атакующий может его подобрать.
    2. NBSTAT и NB-запросы инкрементируются вместе (один счётчик).
    3. NBSTAT-сообщения по умолчанию могут уходить во внешнюю сеть.
    4. Broadcast-запросы могут получать ответы из внешней сети.
    5. NBNS использует исключительно 137 порт и UDP (и на клиенте, и на сервере), который не поддерживает сессий и состояний.

    Как защититься


    Использование таких средств, как межсетевые экраны или NAT не может предотвратить атаки с применением уязвимости BadTunnel. По словам Яна Ю, причина этого кроется в том, что протокол UDP не устанавливает соединения, а используется для создания туннеля.

    Microsoft опубликовала бюллетени безопасности MS16-063 и MS16-077, устраняющие ошибку в последних версиях Windows.
    Суть этих обновлений заключается в том, что теперь периодическое определение имени WPAD выключено по умолчанию, а NBSTAT запросы из домашней сети также по умолчанию заблокированы. Эти изменения регулируются ключами реестра и делают невозможным установление UDP тоннеля для проведения атаки с использованием BadTunnel.

    Однако уязвимость сохранилась в устаревших и ныне не поддерживаемых версиях ОС. В их числе Windows XP и Windows Server 2003. Пользователям этих систем для того, чтобы обезопасить себя, необходимо заблокировать порт UDP 137.

    По словам Яна Ю, это не первая уязвимость, приводящая к возможности атак перехвата WPAD. Подобные случаи фиксировались в 1999, 2007, и 2012 году, когда произошел всплески активности червя Flame.

    Существующие Proof-of-Concept скрипты не учитывают информацию об Transaction ID в NBSTAT запросе и основываются на огромном потоке поддельных ответов на запрос со всеми возможными значениями поля Transaction ID от 0 до 65535. Однако для успешного проведения атаки достаточно минимального количества поддельных пакетов.

    Экспертами Positive Technologies был разработан ряд сигнатур для IDS Suricata, позволяющих обнаружить стадии подмены NetBIOS имён и установления UDP тоннеля, блокирующие попытки подмены адреса WPAD и ISATAP и сигнализирующие о возможной попытке атаки. Они доступны в официальном Twitter и github-аккаунте.
    Positive Technologies
    144,00
    Компания
    Поделиться публикацией

    Комментарии 14

      +7
      Наконец-то Microsoft закопают стюардессу.

      By default, WPAD resolution for auto proxy detection will not use NETBIOS. Therefore, if proxy detection depends on NETBIOS alone for WPAD resolution, it may fail. We recommend that you use the DHCP option or DNS for WPAD resolution instead of NETBIOS. To change this new default behavior, create the following registry entry.

      Note This registry entry only applies for Windows 8.1 and earlier versions of Windows.
      SUBKEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
      Value Name: AllowOnlyDNSQueryForWPAD
      Type: DWORD
      Value: 0
      Default value of the flag: 1
      • НЛО прилетело и опубликовало эту надпись здесь
          +1
          BadTunnel позволяет заспуфить NetBios имя из-за внешнего периметра фаервола или NAT, а спуфить можно много чего. Например, ISATAP, а ведь IP трафик это ~100% трафика жертвы. Случай нечастый, но таки позволяет контролировать всю сетевую активность операционной системы, никакого обмана.
          • НЛО прилетело и опубликовало эту надпись здесь
          0
          Старая информация https://habrahabr.ru/post/283482/
            +6
            NetBIOS Name Service Spoofing и WPAD hijacking — техники, действительно старые, но суть не в этом. С выходом уязввимости стало известно, что отвечать на NBNS-запросы можно из внешней сети, и теперь злоумышленнику не надо ломать периметр, чтобы сделать MiTM
            0
            Есть ещё люди использующие NetBIOS ?????
              +3
              А как организовать файлообмен в небольших компаниях как не шеиренгом папки?
                –4
                Ммм… FTP? NFS? WebDav?
                  +4
                  Для современных Windows NetBIOS не требуется для шаринга
              +1
              Я ведь правильно понимаю, что отключение NetBIOS на сетевом адаптере избавляет от этой уязвимости?

              Эх, если бы только MS свои же рекомендации по Hardening хоть немного выполняла по умолчанию… Кому NetBIOS нужен по умолчанию включенным, по большому-то счету?
                0
                Все-таки чутье меня не подводило, когда я отключал NetBIOS на всех машинах, где приходилось настраивать хоть что-то.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое