Компания Cylance, разрабатывающая инструменты для обнаружения киберугроз, разработала и применила в лабораторных условиях метод атаки, направленный на пользователей ОС Windows. По словам исследователей Cylance, применяя данный метод, злоумышленники могут воровать пароли и логины пользователей Microsoft.
Новой атаке было присвоено название "Redirect to SMB", так как ею используются функции компонента Windows под названием Server Message Block (SMB).
Исследователями был применён принцип работы уязвимости, обнаруженный ещё в 1997 году. Её суть заключается в том, что при открытии URL-адреса, в начале которого имеется значение “file” (например: file://1.1.1.1/) браузер Internet Explorer пытался подключиться к SMB-серверу, отправляя на целевой адрес (в данном случае на 1.1.1.1) логин и пароль пользователя.
Данная тактика до сих пор существует: сотрудники компании Cylance настроили поддельный SMB-сервер и отправили пользователю URL с ссылкой на него. Клиент Windows пытался загрузить данную версию файла, ссылка на который была получена им сотрудниками Cylance, для чего ему пришлось предоставить свои логин и пароль.
При действии данной атаки от пользователя не требуются дополнительные действия — URL, ссылающийся на SMB-сервер злоумышленника, может быть встроен в iframe, изображение или другой элемент открытой web-страницы.
Reuters сообщает, что в "Микрософте" знают об исследованиях компании Cylance, но не считают эту угрозу серьёзной. В корпорации ссылаются на тот факт, что для успешной атаки злоумышленниками необходимо наличие ряда факторов. Также корпорацией выпущено несколько инструментов для защиты пользователей, например, Extended Protection for Authentication.
