13 апреля ребята из SPEAR написали пост про уязвимость во всех версиях Windows. Странно, что сделано это было только сейчас. Уязвимость была опубликована много лет назад, когда Internet Explorer был распространен гораздо шире чем Netscape Navigator, а хрома в те времена вовсе не было.

Кратко про уязвимость

При обращении на SMB ресурс (на file://) компоненты IE отправляют в запросе данные для авторизации. Передается как локальный логин в системе, так и NTLM хеш пользователя. Таким образом можно получить данные для авторизации на компьютере жертвы.

Уязвим не только IE, но и софт, который использует его компоненты для общения с миром или локальной сетью.

В основе атаки лежит перехват HTTP запросов от пользователя и перенаправление его на ресурс злоумышленника, на котором развернут софт, запрашивающий от клиента данные для авторизации. Делается это очень просто, например, ответом на HTTP запрос редиректом через 302 код и перенаправлением на нужный протокол, в данном случае на file.

Skype

Для получения рекламы в скайпе используются IE компоненты. Убедиться в этом можно пустив трафик через Fiddler.

Из скриншота видно, что юзер агент при запросе на static.skypeassets.com — системный IE 8.

Для проведения атаки используется следующий софт:

SMBTrap — для перехвата авторизационных данных

Ettercap — для ARP и DNS спуфига

Nginx — для редиректа на схему file

Видео с демонстрацией уязвимости:



Небольшое дополнение

Поскольку запрос идет через HTTPS, то для контроля трафика нужна возможность внедрить свой сертификационный центр, как это было в случае с Superfish, либо проэксплуатировать способ обхода валидации сертификата в IE.