Napadači mogu otkriti lozinku za Windows pomoću Chromea i SCF fajlova
Vesti, 18.05.2017, 00:00 AM
Srpski istraživač Boško Stanković otkrio je ozbiljan propust u podrazumevanoj konfiguraciji najnovije verzije Googleovog browsera Chrome koji radi na bilo kojoj verziji Microsoftovog operativnog sistema Windows, uključujući i Windows 10, i koji omogućava napadaču da sa daljine ukrade korisničke kredencijale za prijavljivanje.
Stanković je otkrio da poseta web sajtu koji sadrži maliciozni SCF fajl može hakerima otkriti kredencijale za prijavljivanje na sistem pomoću Chromea.
Tehnika nije nova i već ju je koristio Stuxnet, moćni malver koji je napravljen da bi uništio iranski nuklearni program, koji je koristio Windows shortcut LNK fajlove da bi kompromitovao sisteme. Stanković je zapravo koristio dve tehnike - onu koja je korišćena u operaciji Stuxnet, i drugu koja je viđena 2015. na konferenciji Black Hat. On je ove tehnike primenio u napadu fokusirajući se na SCF fajlove, što je skraćenica za Shell Command File, Format koji podržava ograničeni set Windows Explorer komandi.
Ova vrsta exploita nije nova, ali je obično bila limitirana na lokalne mreže. Ono što ovaj napad razlikuje od drugih je i činjenica da su napadi na browsere bazirani na SMB autentifikaciji prvi put sada javno demonstrirani na Chromeu. Do sada je to bio slučaj samo sa Internet Explorerom i Edgeom.
SCF fajlovi su slični LNK fajlovima. U eri posle napada malvera Stuxnet, LNK fajlovi mogu da učitavaju svoje ikone samo iz lokalnih resursa tako da oni više nisu podložni napadima u kojima su primorani da učitaju maliciozni kod. Microsoft je posle Stuxneta ograničio LNK fajlove, ali ne i SCF fajlove.
Stanković je napravio SCF fajl koji učitava svoju ikonu iz URL-a. Na kraju URL-a stoji SMB server. Kada kompjuter pokuša da učita ikonu sa tog servera, server traži i dobija korisničke kredencijale jer kompjuter misli da je potrebna autentifikacija.
Stanković savetuje korisnicima da isključe automatska preuzimanja u Google Chromeu u Settings --> Show advanced settings, i da zatim označe "ask where to save each file before downloading".
"Trenutno napadač samo treba da namami žrtvu koja koristi potpuno ažuriran Google Chrome i Windows da poseti njegov web sajt da bi mogao da dobije i iskoristi kredencijale za autentifikaciju žrtve. Čak i ako žrtva nije privilegovani korisnik (npr. administrator), ovakva ranjivost može predstavljati značajnu pretnju za velike organizacije jer omogućava napadaču da imitira članove organizacije. Takav napadač bi mogao odmah da upotrebi stečene privilegije za dalje povećanje pristupa i izvođenje napada na druge korisnike ili za dobijanje pristupa i kontrolu IT resursa", kaže Stanković.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade