Użytkownicy przeglądarki Google Chrome w systemie Windows powinni wyłączyć automatyczne pobieranie w przeglądarce internetowej, aby chronić dane uwierzytelniające przed nowym niedawno odkrytym zagrożeniem.
Przeglądarka Chrome jest obecnie najpopularniejszą przeglądarką na urządzeniach stacjonarnych. Jest skonfigurowany do automatycznego pobierania bezpiecznych plików do systemu użytkownika bez domyślnego monitu.
Każdy plik pobierany przez użytkowników Chrome, który przejdzie testy bezpiecznego przeglądania Google, automatycznie wyląduje w domyślnym katalogu pobierania. Użytkownicy Chrome, którzy zamiast tego chcą wybrać folder pobierania do pobrania, muszą zmienić to zachowanie w opcjach.
Nowy atak, szczegółowo opisany na stronie internetowej Code Defense, łączy automatyczne pobieranie Chrome z plikami poleceń poleceń powłoki Eksploratora Windows, które mają rozszerzenie .scf.
Format przedawnienia to zwykły plik tekstowy, który zawiera instrukcje, zwykle lokalizację ikon i ograniczone polecenia. Szczególnie interesujące jest to, że format ten może ładować zasoby ze zdalnego serwera.
Jeszcze bardziej problematyczny jest fakt, że Windows przetwarza te pliki, jak tylko otworzysz katalog, w którym są przechowywane, i że pliki te pojawiają się bez rozszerzenia w Eksploratorze Windows bez względu na ustawienia. Oznacza to, że osoby atakujące mogą łatwo ukryć plik pod ukrytą nazwą pliku, taką jak image.jpg.
Atakujący używają lokalizacji serwera SMB dla ikony. Wówczas serwer żąda uwierzytelnienia i system to zapewni. Podczas przesyłania skrótów haseł badacze zauważają, że złamanie tych haseł nie powinno zająć dziesięcioleci, chyba że są złożone.
Jeśli chodzi o wykonalność łamania haseł, w ciągu ostatnich kilku lat znacznie się to poprawiło dzięki łamaniu GPU. Benchmark NetNTLMv2 dla pojedynczej karty Nvidia GTX 1080 wynosi około 1600 MH / s. To 1, 6 miliarda skrótów na sekundę. W przypadku hasła składającego się z 8 znaków, zestawy 4 kart GPU mogą przejść przez całą przestrzeń klawiszy z górną / dolną alfanumeryczną + najczęściej używanymi znakami specjalnymi ( # $% &) w mniej niż jeden dzień. Ponieważ setki milionów wyciekłych haseł wynikało z kilku naruszeń w ostatnich latach (LinkedIn, Myspace), łamanie list opartych na regułach może przynieść zaskakujące wyniki w przypadku złożonych haseł o większej entropii.
Sytuacja jest jeszcze gorsza w przypadku użytkowników na komputerach z systemem Windows 8 lub 10, którzy uwierzytelniają się przy użyciu konta Microsoft, ponieważ konto zapewni atakującemu dostęp do usług online, takich jak Outlook, OneDrive lub Office365, jeśli są używane przez użytkownika. Istnieje również możliwość ponownego użycia hasła w witrynach innych niż Microsoft.
Rozwiązania antywirusowe nie sygnalizują teraz tych plików.
Oto jak atak spada
- Użytkownik odwiedza witrynę internetową, która albo wypycha dysk, pobierając go do systemu użytkownika, albo zmusza użytkownika do kliknięcia specjalnie przygotowanego pliku SCF, aby go pobrać.
- Użytkownik otwiera domyślny katalog pobierania.
- Windows sprawdza lokalizację ikony i wysyła dane uwierzytelniające do serwera SMB w formacie mieszanym.
- Ataki mogą wykorzystywać listy haseł lub ataki typu brute force w celu złamania hasła.
Jak chronić swój system przed tym atakiem
Jedną z opcji, jaką mają użytkownicy Chrome, jest wyłączenie automatycznego pobierania w przeglądarce internetowej. Zapobiega to napędowi przez pobieranie i może również zapobiegać przypadkowemu pobieraniu plików.
- Załaduj chrome: // settings / w pasku adresu przeglądarki.
- Przewiń w dół i kliknij link „pokaż ustawienia zaawansowane”.
- Przewiń w dół do sekcji Pobrane.
- Sprawdź preferencję „Zapytaj, gdzie zapisać każdy plik przed pobraniem”.
Chrome wyświetli monit o podanie lokalizacji pobierania za każdym razem, gdy pobieranie zostanie zainicjowane w przeglądarce.
Ostrzeżenia
Podczas dodawania warstwy ochrony do obsługi pobierania przez Chrome, zmanipulowane pliki SCF mogą wylądować na różne sposoby w systemach docelowych.
Jedną z opcji, jaką mają użytkownicy i administratorzy, jest blokowanie portów używanych przez ruch SMB w zaporze. Microsoft ma przewodnik, którego możesz użyć. Firma sugeruje blokowanie komunikacji zi do Internetu do portów SMB 137, 138, 139 i 445.
Zablokowanie tych portów może mieć wpływ na inne usługi systemu Windows, takie jak usługa faksu, bufor wydruku, logowanie sieciowe lub udostępnianie plików i drukarek.
Teraz Ty : Jak chronisz swoje maszyny przed zagrożeniami SMB / SCF?
