Postřehy z bezpečnosti: sběr NTLMv2 hashů SMB serverem

22. 5. 2017
Doba čtení: 7 minut

Sdílet

Dnes se podíváme, jak s pomocí Google Chrome, SMB a SCF souborů získávat NTLMv2 hashe, dále na pár zajímavostí ohledně ransomwaru WannaCry, na driver – keylogger, účet hosta v Ubuntu a povedený off-line hack.

Bosko Stankovic publikoval informaci o tom, jak kombinací použití Google Chrome, SMB přihlášení a souboru SCF získat přihlašovací údaje uživatele Windows. SCF (Shell Command File) je méně známý typ formátu pocházející z Windows 98. Většina uživatelů se s ním setkala ve Windows 98/ME/NT/2000/XP, kde byl použit jako zástupce pro zobrazení plochy. Jedná se v podstatě o textový soubor, ve kterém jsou sekce určující příkazy, které mají být spuštěny a umístění souboru ikony.

Podobně jako v případě LNK souborů je ikona automaticky dotažena ve chvíli, kdy je soubor zobrazen v Exploreru. Nastavení umístění ikony na vzdálený SMB server je známý vektor útoku, který zneužívá automatickou přihlašovací službu Windows používanou při přístupu ke sdíleným souborům. Oproti LNK souborům je tu však jeden rozdíl. Od dob Stuxnetu dovolí Microsoft LNK souborům nahrát ikonu pouze z lokálních zdrojů. Pro SCF soubory však toto protiopatření neplatí. SCF soubor, který „donutí” Windows k pokusu o přihlášení ke vzdálenému SMB serveru, potřebuje pouze dvě řádky.

Na soubor není potřeba kliknout, stačí otevřít adresář, ve kterém je umístěný, a souborový prohlížeč Windows se pokusí ikonu získat automaticky. Pokud tedy bude ikona uložena na serveru útočníka, pokusí se k němu Windows přihlásit odesláním uživatelského jména oběti a hesla v podobě NTLMv2 hashe. Útočník se pak může pokusit získat původní heslo, získat s pomocí hashe přístup ke službám v dané doméně nebo zkusit využít NTLMv2 hash k přihlášení do služeb podporujících Microsoft Account (MSA) SSO. To jsou například OneDrive, Outlook.com, Office 365, Office Online, Skype, nebo Xbox Live.

K samotnému napadení uživatele pak stačí, pokud klikne na odkaz dodaný útočníkem. Díky využití zranitelnosti Reflected File Download je pak soubor SCF Chromem automaticky stažen. Pak už jen stačí, aby uživatel zobrazil obsah výchozího umístění pro stahované soubory, ve kterém je stažen i SCF soubor útočníka, a automatické přihlášení ke vzdálenému SMB serveru se postará o zbytek.

Po navštívení této URL bude do počítače oběti automaticky stažen soubor iwantyourhash.scf.

Naše postřehy

O ransomwaru WannaCry nejspíš během uplynulého týdne slyšel úplně každý, a proto zde vypíchneme jen pár zajímavostí. Dr. Andy Yen se ve svém příspěvku na serveru SecurityAffairs zamýšlí nad rolí NSA, která za peníze daňových poplatníků vytvořila exploit, pak si jej nechala ukrást a ve finále odmítla pomoci Microsoftu s odhalením samotné podstaty zranitelnosti, což vedlo k dlouhé prodlevě při vydání záplaty. Ta byla dostupná jen dva měsíce před útokem, což podle Dr. Yena nemusí být u některých složitějších korporátních řešení dostatečně dlouhá doba. Ve finále byl tedy nástroj vyvinutý za peníze státu zneužit k útoku (nejen) na jeho občany. To by mělo být varováním i pro všechny ostatní státní aktéry, kteří touží do funkčních systémů přidávat zadní vrátka nebo do funkčních sítí přidávat krabičky, o jejichž funkci správci dané sítě nic nevědí.

Exploit EternalBlue, který umožnil ransomwaru WannaCry jeho rychlé šíření, je nyní součástí Metasploitu, kde si jej případní zájemci mohou vyzkoušet v praxi. Navíc se ukazuje, že WannaCry nebyl první, kdo exploit EternalBlue využil pro své šíření. Již před dvěma týdny se stejným způsobem šířil malware Adylkuzz, který však není tak mediálně vděčným objektem jako ransomware. Tento malware „pouze” zneužívá napadené stroje k těžbě kryptoměny Monero. Zajímavé na malwaru Adylkuzz je to, že po napadení počítače zavře porty SMB, asi aby zranitelnost nezneužil někdo jiný. Je tedy možné, že zásluhou malwaru Adylkuzz nejsou následky ransomwaru WannaCry horší. Již je také k dispozici nástroj pro bezplatnou obnovu zašifrovaných souborů, jeho využití je však omezené.

Máte-li to štěstí vlastnit některý z 28 modelů notebooku HP, řady Elitebook, Probook či Zbook, zpozorněte. Až do updatování počítače si nemusíte lámat hlavu s ukládáním dokumentů a textů; notebook vše ukládá za vás. Vděčíme za to nečekaně vývojářům driveru zvukové karty, který čeká na kombinaci kláves pro regulaci hlasitosti. Aby fungoval spolehlivě, zůstal v debuggovacím módu, který zaznamenává každou stisknutou klávesu. Každé písmenko včetně hesel se tedy poctivě ukládá do souboru c:\Users\Public\MicTray.log. Kdokoli s náhodným přístupem k vašemu souborovému systému tedy snadno zjistí všechno podstatné. Aktualizujte!

Audit OpenVPN provedený společnostmi OSTIF a QuarksLab našel pouze jednu vážnou zranitelnost, jejíž zneužití mohlo způsobit denial-of service. Tato i ostatní drobnější zranitelnosti byly opraveny ve verzi 2.4.2. Společnosti mimo jiné uvedly, že OpenVPN je kvalitně napsaný zdrojový kód a maximálně využívá dostupné bezpečnostní praktiky.

Po několika bezpečnostních průnicích, nedostatcích a chybách v ochraně osobních údajů společnost Samsung chce, aby veřejnost věděla, že se snaží více zabezpečit jejich inteligentní televize. Zároveň společnost zveřejnila nový přehled o tom, jak chrání své inteligentní televizory. Aktualizovali proto původní dokument, který byl vydán před dvěma lety. Tento dokument podrobně popisuje jeho třístupňový přístup k zabezpečení, který se týká aplikací, platformy a hardwaru. Co je tedy například nového? Odstraní všechny funkce na rozpoznávání hlasu televizoru. Touto funkcí bylo možné sledovat jakékoli konverzace a tato data přenášet třetím stranám. Dále tyto inteligentní televizory neobsahují jeden, ale rovnou dva antivirové programy, které detekují škodlivý software. Samsung má komponentu, kterou nazývá „the anti malware vaccine engine", zároveň však ve svých televizorech nyní také sdružuje antivirovou technologii třetí strany – konkrétně „McAfee Security for TV". Na rozdíl od uživatelů PC majitelé Samsung Smart TV nepotřebují tento produkt kupovat, stačí jim pouze tento software aktivovat. V Evropě máme ale zase smůlu, smlouva s McAfee je zatím k dispozici pouze v USA a Koreji.

V Ubuntu se už dlouhé roky nachází účet hosta, který se mnohdy hodí, ale jsou zde nějaké předpoklady. Nejspíš se všichni shodneme, že by se hosté měli u hostitele „doma” pohybovat jen ve velice omezeném prostředí a bez možnosti různého „šmejdění”. Tak to je obvykle i v Ubuntu. Vývojář Tyler Hicks teď ovšem poukázal na bug v Ubuntu 16.10 a 17.04, kde tato politika není vynucena a Ubuntu se k hostovi chová jako k normálnímu uživateli. Aby Ubuntu zabránilo útokům na tuto zranitelnost, účet hosta je ve výchozím stavu zakázaný ve všech buildech, kterých se to týká, až do doby, než vývojáři vydají plnohodnotnou opravu. Protože se jedná o bezpečnostní chybu, která může být zneužita pouze lokálně, účet je možné samozřejmě povolit.

Zranitelnost ve způsobu autentizace v aplikaci Uber umožňovala reset hesla pro různé uživatelské účty. Útočníkovi k převzetí kontroly nad účtem stačilo mít platnou e-mailovou adresu jakéhokoli uživatelského účtu v aplikaci Uber a vytvořit k ní požadavek na reset hesla. Token na reset hesla byl totiž viditelný v odpovědi na HTTP požadavek. Pokud tedy útočník inicioval reset hesla, obratem obdržel token na reset k danému účtu, díky kterému mohl sám nastavit nové heslo k dotčenému účtu. Bug bounty program byl v tomto případě poměrně rychlý a úspěšný. Po čtyřech dnech od nahlášení chyby byla vykonaná oprava a za 14 dní od nahlášení byl výzkumník, který chybu nahlásil, finančně odměněn.

Bezpečnostní tým WordPress oznámil tento týden zveřejnění tzv. bug bounty programu na odměňování za nalezené chyby ve WordPress (CMS) a v jiných WP projektech. WordPress program provozuje soukromě již asi sedm měsíců, ale nyní se rozhodl jej zveřejnit. Program je hostován na platformě HackerOne a pokrývá WordPress CMS a další projekty s otevřeným zdrojovým kódem, včetně BuddyPress, bbPress a GlotPress. Bezpečností experti mohou hlásit také nedostatky objevené na webových stránkách WordPress.org (včetně subdomén), WordCamp.org, BuddyPress.org, WordPress.tv, bbPress.org a Jobs.WordPress.net. WordPress neurčil konkrétní částky, které by měly být vyplaceny za konkrétní chyby, ale Aaron Campbell, vedoucí týmu WordPress Security Team Lead, poznamenal, že již udělili na odměnách více než 3 700 dolarů, které šly sedmi různým výzkumníkům.

Jinak než jako off-line hacking nelze pojmenovat krádež peněz z pošty na Hodonínsku. V pondělí odpoledne zavolal útočník, který se představil jako policista a oznámil, že za chvíli přijde kolega v pracovním obleku ve věci dezinfekce peněžní hotovosti po chemickém útoku. Tím připravil živnou půdu důvěřivosti pro maskovaného muže s rozprašovačem. Nikdo jej nelegitimoval, muž odvedl pozornost a vynesl několik desítek tisíc. Nejtěžšímu kalibru rafinovanosti tohoto sociálního inženýrství by se mohli obdivovat útočníci, kteří často ještě dnes zastarale hackují počítače a sítě.

Tento týden jsme pro vás připravili nějaké čtení také na blogu sdružení CZ.NIC. Můžete si přečíst naše dojmy ze cvičení LockedShields, které každý rok pořádá NATO CCDCOE nebo to, jak naše honeypoty odhalily napadený router a co všechno následovalo.

bitcoin_skoleni

Ve zkratce

Pro pobavení

WannaCry v Bangkoku

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NICbezpečnostního týmu CESNET-CERTS sdružení CESNET.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.