新型SMB中继攻击能够通过网络窃取用户凭证

发布时间:2015-08-07 15:30 作者:佚名来源:中国国家信息安全漏洞库点击:加载中...次

研究人员发现了一个隐藏了很久的漏洞，这个漏洞可以允许攻击者通过互联网来发动SMB中继攻击。

在Windows操作系统的SMB文件共享协议中存在一个漏洞，研究人员在14年前发现了这个漏洞，而且微软公司只修复了这个漏洞的一部分。现在，攻击者仍然可以利用这个漏洞来执行远程攻击。本周三，两名安全研究人员在黑帽黑客大会的舞台上向大家演示了这种攻击的详细步骤。

研究人员Jonathan Brossard和Hormazd Billiamoria说到：“微软公司在多年以前就对这个漏洞进行了修复，但实际上他们只修复了该漏洞的一部分，因为这个漏洞需要根据攻击者的网络状态来进行修复。”在他们演讲的过程中，他们会演示如何通过互联网来远程发动SMB中继攻击，以及如何获取目标系统的控制权。

研究人员表示：“就目前的状况来看，这个存在于Windows操作系统文件共享协议中的SMB漏洞会对所有Windows版本的IE浏览器产生影响，包括最新发布的Windows 10在内。这将会是这个新版操作系统的第一个远程代码执行漏洞。而且，这个漏洞还会影响Windows Edge浏览器。”

这个漏洞属于SMB协议的一个设计缺陷，而且这个漏洞的发现可以追溯到2001年。当微软公司发布了这个漏洞的修复补丁之后，他们发现只有当黑客已经进入了目标系统所处的本地网络之后，攻击才会奏效。但是研究人员通过分析发现，利用这个漏洞，黑客可以通过互联网远程地窃取用户凭证，而且还可以盗用用户的身份信息。

原始的SMB中继攻击依赖于协议中的设计缺陷，Windows系统在存储用户凭证并将其用于不同场合的身份验证时，需要使用到这个协议。现在的情况是十分明朗的，尤其是在配备了自动化系统的企业环境之中，攻击者可以利用这个漏洞与公司所有其他的主机进行连接，并使用管理员的凭证进行登录，然后便可以执行任意的管理任务了。这些系统能够处理软件的库存，管理反病毒软件，进行软件更新，收集系统事件日志，以及运行系统备份等等。

在SMB中继攻击中，攻击者会等待这些自动化系统启动，然后对处于该网络中的所有主机进行扫描，并从这些目标主机中获取用户的登录凭证。当用户被诱导去IE浏览器中加载图片文件之后，攻击也就成功了。Brossard和Billiamoria对这种攻击方法进行了一些修改，修改之后便可以使用一个流氓网站来获取SMB登录数据了。在他们的攻击过程中，用户会被诱导去访问一个由攻击者所控制的恶意网站，然后这个网站便会获取用户的用户名和密码，用户名是明文形式的，而密码为哈希值。Billiamoria说到：“密码可以在一天的时间内被破解，因为它所使用的哈希算法已经过时了。”

研究人员认为：“之所以会这样，是因为IE浏览器的默认设置允许主机在内网中进行自动登录。“这也就意味着，身份验证会在后台进行，NetBIOS主机、网络域名、DNS主机和DNS域名等属性将会以明文的形式进行发送。

研究人员还演示了改进版的SMB中继攻击，攻击者将诱骗用户去访问一个恶意网站，然后通过Outlook客户端来读取一封带有恶意代码的电子邮件，之后便可以进行远程控制了。但这种攻击需要攻击者介入NTLM挑战/应答会话的进程之中。在SMB协议中，如果想进行一次在服务器上的请求认证，密码可以以原码或加密后的形式发送到服务器端。如果服务器支持加密属性，客户端必须发送一个应答信号。在negprot应答数据报中，服务器会给客户端发送一个密钥。然后，客户端将密码加密并通过SesssetupX请求数据报发送到服务器端。服务器将会核查密码的有效性，并由此来决定是否允许客户端对系统进行访问。所以，在正常情况下，当用户尝试进行登录时，系统会发送一个请求。服务器在接收到请求之后，会发送一个应答信息，并要求客户端发送一个经过加密的字符串。在用户将经过加密的数据发送给服务器之后，服务器会尝试解密这些数据。如果数据对比成功了，用户的身份也就验证完成了。

同样的，攻击者可以在网络中的用户进行身份验证的同时，劫持系统的响应请求。攻击者可以使用相同的身份验证数据来登录目标系统，例如服务器。攻击者可以将服务器的应答信息转发给用户，然后用户对数据进行了哈希加密之后，攻击者再将这些加密数据发送回服务器。正确的加密数据可以给攻击者提供系统的访问权限。

Brossard说到：“但是，这种攻击也有一些限制因素：需要禁用数据包签名功能。系统一般都会启用这个功能，但是有一些安全工具则建议用户关闭这个功能，为的是获取更好的性能体验。”SMB outbound同样需要禁用。

最完美的攻击目标应当是那些没有设置防火墙的计算机或者路由器，因为这些设备可以接收来自外部的SMB通信数据。当然了，使用IE浏览器和Chrome浏览器的用户不会受到这种攻击的影响，因为这两种浏览器会在主机连接至SMB服务器之前对用户进行询问，只有在用户同意之后才能进行连接。但是，如果你在浏览器中安装了使用SMB的插件，那么还是会有安全隐患的。

Brossard说到：“能够保护你的唯一方法就是禁用SMB端口。“当然了，你也可以选择禁用SMB的数据输出端口：137，138，129和445。正如前面所述，我们可以使用一些主机签名和数据包签名，还可以启用一些额外的保护措施。Brossard和Billiamoria所演示的新型SMB中继攻击能够允许攻击者在目标主机中加载恶意软件，并对任何使用了NTLM的服务进行攻击。

这两位研究人员还补充说到：“但是，现在几乎任何一种服务都会使用NTLM来进行身份验证。”

(责任编辑：腰编辑)