LAS VEGAS - En implementeringsfel i en gammal Windows-nätverkstjänst låter angripare fjärrkontrollera internet anslutningar på varje Windows-dator som gjorts under de senaste 20 åren, sa säkerhetsforskaren Yang Yu vid Black Hat-säkerhetskonferensen här idag (aug. 4).

Upphovsman: SvedOliver / Shutterstock
(Bildkredit: SvedOliver / Shutterstock)

Yu, chef för den kinesiska teknikjätten Tencents forskningslaboratorium, förklarade att bristen vilade i NetBIOS-tjänsten och hur den anslöt sig till internet. För att utnyttja bristen sa han att han hade skapat proof-of-concept malware, som han kallade BadTunnel.

"Med BadTunnel kan du kapa nätverkstrafiken för varje version av Windows som går tillbaka till Window 95", sa Yu.

Microsoft pressade ut en korrigeringsfel för felet i juni, men omatchade maskiner, inklusive alla maskiner som kör Windows XP och tidigare, är fortfarande sårbara för Yus skadliga program.

NetBIOS är ett mjukvarugränssnitt som tillhandahåller lokala nätverksanslutningar som går tillbaka till 1983. Med Windows 95 utökade Microsoft NetBIOS förmåga att låta det ansluta till internet med hjälp av internetets standard TCP / IP-protokoll.

"Hur gammal är NetBIOS?" Frågade Yu. "Studera arbetet med det, så ser du namnet" Cult of Dead Cow "dyker upp, med hänvisning till ett legendariskt hackerbesättning aktivt på 1980-talet.

MER: Bästa antivirusprogram och appar

NetBIOS har sitt eget namngivningssystem, som tilldelar namn till varje enhet i ett lokalt nätverk. Kallas NetBIOS Name Service, eller NBNS, liknar tjänsten det domännamnssystem (DNS) som används av internet, men är mycket mindre säkert.

DNS: s säkerhet vilar i slumpmässighet, förklarade Yu. En angripare som försöker fånga DNS-trafik kan inte gissa ett DNS-nätverkstransaktions-ID eller Windows-nätverksportar som DNS-kommandon skulle gå till.

Men, sa Yu, NBNS är inte slumpmässigt alls. Istället reser både inkommande och utgående trafik över port 137 och transaktions-ID ökas - 56 kommer att följa 55 och så vidare. Det var bra när NetBIOS användes strikt för lokala nätverk, eftersom alla maskiner i nätverket antogs vara pålitliga. Men det är inte säkert när du ansluter till internet.

Yu förklarade dessutom att i alla versioner av Windows kommer NetBIOS att använda port 137 som reserv om NetBIOS normala portar 139 och 445 är oåtkomliga. Genom att blockera dessa hamnar kan en angripare tvinga en anslutande maskin att dirigera all NetBIOS-trafik till port 137 - och missbruka icke-slumpmässigt namnprotokoll för att försöka ta kontroll över den anslutande maskinens nätverkstrafik genom att konfigurera om internet anslutningar.

Hur skulle angriparen göra det? Liksom många internetprotokoll i bakgrunden, sa Yu, är NBNS-datapaket i den opålitliga, okontrollerade UDP format snarare än pålitligt och kontrollerat TCP-format - vilket innebär att det är lättare att smyga in skadligt data. Det är precis vad Yus BadTunnel-skadlig kod gör.

I en demonstration visade hur två datorer som kör Windows XP - kallade "Alice" och "Bob" med hjälp av klassiska nätverksexempel - anslutna. Alice försökte ansluta till en specifik IP-adress på Bobs maskin, men Bob blockerade portarna 139 och 445.

Alice's maskin föll tillbaka till port 137, vilket Bobs maskin accepterade - men Bobs maskin rymde BadTunnel skadlig kod, som missbrukade NetBIOS fel för att omdirigera Alis internetanslutningar för att acceptera Bobs maskin som DNS server.

Det betyder att Bob: s maskin nu i huvudsak kontrollerade Alice: s internettrafik efter utplaceringen av skadlig programvara från BadTunnel. Det kan skicka henne till skadliga webbplatser utan hennes vetskap, till exempel genom att omdirigera hennes Facebook-inloggningssida till en falsk Facebook-sida som fångade hennes Facebook-användarnamn och lösenord.

"Detta ger dig Big Brother-kraft", sa Yu.

För att försvara sig mot BadTunnel sa Yu att användare av Windows Vista och senare helt enkelt borde installera Microsofts korrigeringar i juni 2016. Men användare av Windows XP och tidigare kommer att behöva inaktivera NetBIOS via TCP / IP, och att brandväggar som används av Windows XP-maskiner ska ställas in för att blockera port 137.

  • Den farligaste skadliga programvaran just nu
  • Bästa skyddstjänster för identitetsstöld
  • Vad är Ransomware och hur kan jag skydda mig själv?

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.