Уязвимость BDU:2015-10326

Дата: 08.12.2009. Автор: CISO CLUB. Категории: Уязвимости

Идентификатор: BDU:2015-10326.

Наименование уязвимости: Уязвимость операционной системы Windows, позволяющая злоумышленнику получить аутентификационную информацию пользователя.

Описание уязвимости: Уязвимость операционной системы Windows существует в реализации системных вызовов URLDownloadA, URLDownloadW, URLDownloadToCacheFileA, URLDownloadToCacheFileW, URLDownloadToFileA, URLDownloadToFileW, URLOpenStream, URLOpenBlockingStream, при выполнении которых операционной системой инициируется подключение к SMB-серверу от имени пользователя, запустившего программу, использующую указанные системные вызовы. Подключение к SMB-серверу осуществляется в случае, если системному вызову передан параметр вида «file://<IP-адрес SMB-сервера>/».
Злоумышленник при помощи специально сформированного ответа на http-запрос (или за счёт подмены http-запроса) может инициировать процедуру авторизации пользователя на ложном SMB-сервере, в ходе которой SMB-серверу будут переданы зашифрованные пароль и имя пользователя

Уязвимое ПО: Операционная система Microsoft Corp. Windows XP | Операционная система Microsoft Corp. Windows XP | Операционная система Microsoft Corp. Windows Server 2008 | Операционная система Microsoft Corp. Windows Server 2012 | Операционная система Microsoft Corp. Windows Vista | Операционная система Microsoft Corp. Windows 8 | Операционная система Microsoft Corp. Windows Server 2003 | Операционная система Microsoft Corp. Windows Server 2008 | Операционная система Microsoft Corp. Windows Vista | Операционная система Microsoft Corp. Windows 8 | Операционная система Microsoft Corp. Windows 8.1 | Операционная система Microsoft Corp. Windows 8.1 | Операционная система Microsoft Corp. Windows Server 2012 |

Наименование ОС и тип аппаратной платформы:

Дата выявления: 08.12.2009.

CVSS 2.0: AV:N/AC:M/Au:N/C:C/I:N/A:N

Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)

Возможные меры по устранению:
До выпуска разработчиками обновления с исправлением уязвимости в качестве временного решения могут быть предприняты следующие меры: блокирование исходящих SMB-соединений (TCP-порты 139 и 445), запрет аутентификации NTLM по умолчанию в приложениях, использование сильных паролей и более частое их изменение
.

Статус уязвимости: Подтверждена производителем

Наличие эксплойта: Данные уточняются

Информация об устранении: Информация об устранении отсутствует

Идентификаторы других систем описаний уязвимости: CERT VU: 672268.

Прочая информация: Уязвимость известна с 1997 года, однако, широкую огласку получила 13 апреля 2015 года благодаря публикации отчёта специалистов исследовательской группы Cylance SPEAR. Уязвимость имеет название «Redirect to SMB»

Тип ошибки CWE: CWE-201

Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.kb.cert.org/vuls/id/672268

https://technet.microsoft.com/en-us/library/security/974926.aspx

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *