Rediriger du Web vers SMB pour voler les identifiants

Les chercheurs de Cylance ont découvert une nouvelle technique d’attaque permettant de dérober les identifiants de personnes cherchant à se connecter à un site Web légitime, en les redirigeant vers un serveur SMB.

Dans un billet de blog, les chercheurs expliquent que cette méthode d’attaque fonctionne avec tous les ordinateurs personnels, les tablettes sous Windows, y compris ceux fonctionnant sous la préversion Windows 10. Cette méthode pourrait être utilisée pour voler les identifiants d’utilisateurs de produits « d’au moins 31 éditeurs, dont Adobe, Apple, Box, Microsoft, Oracle et Symantec ».

La technique consiste à intercepter et détourner les communications entre utilisateur et site Web et redirigeant celui-ci vers des serveurs de fichiers SMB qui les forceront à indiquer nom d’utilisateur, domaine, mot de passe.

La méthode s’appuie en fait sur une vulnérabilité ancienne, découverte en 1997 : en remplaçant http en début d’URL par file, Internet Explorer renvoyait alors au système d’exploitant, lui demandant d’essayer de se connecter au serveur de fichiers présent à l’adresse indiquée dans l’URL. Là, les chercheurs de Cylance ont pu reproduire l’expérience avec un client de messagerie instantanée, vulnérable à cette méthode lorsqu’il cherche à charger une image envoyée par un correspondant.  Quatre API couramment utilisées permettraient la redirection de http vers SMB.

Cette vulnérabilité, dite Spear, vient d’être rendue publique après de six semaines de travail avec les éditeurs afin d’essayer de contenir le problème. Microsoft n’a pas encore fourni de correctif. Cylance suggère de bloquer le trafic réseau sortant des ports TCP 139 et 445 soit sur le poste de travail, soit sur le pare-feu de la passerelle réseau, afin de bloquer les échanges SMB. La seconde option a le mérite de permettre de préserver l’accès aux services SMB du réseau.