Ongepatcht SMB-lek in Windows 10 via IE en Edge aan te vallen

[Captain Kirk]

Een beveiligingslek in Windows SMB dat begin deze maand werd onthuld en waar nog geen update van Microsoft voor beschikbaar is kan via Internet Explorer en Edge worden aangevallen. Dat meldt beveiligingsbedrijf SecureWorks. Via de kwetsbaarheid is het mogelijk om computers te laten crashen.

Ook het uitvoeren van willekeurige code met kernelrechten zou in theorie mogelijk zijn, maar dit is nog niet bewezen. Het Server Message Block (SMB) is een protocol voor het op afstand toegankelijk maken van bestanden, printers en seriële poorten. Voor het aanvallen van de kwetsbaarheid moet een gebruiker met een kwaadaardige smb-server verbinding maken. Dit kan echter op verschillende manieren worden gedaan, aldus onderzoekers. Zo is het mogelijk om computers via 'redirect naar SMB', het openen van een link of het weergeven van een afbeelding op een webpagina met de smb-server van de aanvaller verbinding te laten maken, waarna het systeem crasht.

Deze aanvallen werken alleen tegen Internet Explorer en Microsoft Edge. Google Chrome en Mozilla Firefox zijn niet kwetsbaar, omdat in deze browsers het UNC-pad standaard staat uitgeschakeld. Via het UNC-pad kan een de locatie van een "network resource" worden opgegeven, zoals een gedeeld bestand, directory of printer. De onderzoekers adviseren om de Windows-update als die op 14 maart verschijnt zo snel als mogelijk te installeren. In de tussentijd kunnen organisaties uitgaande SMB-verbindingen (poorten 139/tcp, 445/tcp, 137/udp en 138/upd) van het lokale netwerk naar externe netwerken blokkeren.

 

 

bron: security.nl