BadTunnel colpisce tutte le versioni di Windows

Proto: N020616.

Con la presente Yoroi desidera comunicarLe che è stata recentemente resa pubblica una importante problematica di sicurezza che affligge tutte le versioni di Microsoft Windows.
La vulnerabilità, denominata BadTunnel, permette ad un attaccante di accedere al traffico della intera rete di una organizzazione senza essere effettivamente connesso ad essa.
È estremamente semplice sfruttare questa vulnerabilità, è sufficiente che l’attaccante riesca a convincere un utente ad eseguire una delle seguenti operazioni:

  • visitare una pagina web opportunamente creata utilizzando i browser Microsoft Edge oppure Internet Explorer
  • aprire un documento opportunamente creato con Microsoft Office
  • collegare al PC una chiavetta usb

Non si tratta di un semplice errore di programmazione ma di una combinazione di problematiche sfruttate insieme:

  • errata gestione dei contenuti delle pagine web in Microsoft Edge ed Internet Explorer
  • errata gestione dei percorsi di rete di un indirizzo IP in Windows
  • errata gestione delle transazioni nelle query dei sistemi NetBIOS Name Service: NB e NBSTAT
  • errata gestione di richieste simultanee sulla porta UDP 137

Per sfruttare BadTunnel non è necessario scaricare ed eseguire malware per cui è estremamente complesso identificare questa tipologia di attacco se non si utilizzano sistemi di protezione di nuova generazione.

Di seguito vediamo lo scenario che Yang Yu, ricercatore di Pechino che ha scoperto BadTunnel, espone nella pubblicazione scientifica in cui spiega i dettagli della vulnerabilità.

L’attacco sfrutta 3 porte:

  • UDP 137: utilizzata per la gestione dei nomi NetBIOS
  • TCP 139: utilizzata per la gestione delle sessioni NetBIOS
  • UDP 445: utilizzata per i servizi di condivisione file SMB

Scenario di attacco:

  1. Alice (vittima) e Bob (attaccante) sono connessi alle proprie reti, la configurazione di rete può utilizzare vari dispositivi firewall, NAT e consente unicamente ad Alice di contattare Bob sulla porta 137 UDP.
  2. Bob chiude le porte 139 TCP e 445 UDP e resta in ascolto sulla porta 137 UDP.
  3. Alice viene convinta ad accedere ad un URI o percorso UNC che punta verso Bob ed un’altro URI che utilizza un hostname differente (es. “http://WPAD/x.jpg” or “http://FileServer/x.jpg”)
  4. Se Bob blocca l’accesso alle porte 139 e 445 utilizzando un firewall, Alice invierà una query NBNS NBSTAT dopo circa 22 secondi. Se invece Bob chiude le porte 139 e 445 disabilitando il servizio Server Windows o NetBIOS su protocollo TCP/IP, Alice non dovrà attendere il timeout della connessione.
  5. Quando Bob riceve la query NBNS NBSTAT inviata da Alice, crea una risposta NBNS NB predicendo l’id di transizione e la invia ad Alice. Se si continuano ad inviare periodicamente pacchetti di rete, denominati heartbeat packets, gran parte dei firewall e dispositivi NAT manterranno il tunnel tra le porte 137 UDP di Alice e Bob aperto.
  6. Alice aggiungerà alla cache NBT l’indirizzo inviato da Bob che verrà utilizzato fino alla scadenza del TTL (Time To Live), tipicamente 600 secondi.

Bob a questo punto si fingerà un server Web Proxy Auto-Discovery (WPAD) oppure Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) ed automaticamente riceverà copia di tutto il traffico della rete, incluso il traffico HTTP, gli aggiornamenti di Windows e gli aggiornamenti delle Certificated Revocation List inviate attraverso le Microsoft CryptoAPI.

Microsoft ha rilasciato una patch di sicurezza che risolve la vulnerabilità questo mese (https://technet.microsoft.com/en-us/library/security/mt733206.aspx?f=255&MSPPError=-2147217396) pertanto per proteggersi è sufficiente verificare che tutte le macchine siano aggiornate con gli ultimi aggiornamenti di sicurezza rilasciati.
Nel caso non fosse possibile applicare le patch di sicurezza è consigliabile disabilitare il servizio NetBIOS su protocollo TCP/IP.

Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index