Napadači mogu otkriti lozinku za Windows pomoću Chromea i SCF fajlova

Vesti, 18.05.2017, 00:00 AM

Napadači mogu otkriti lozinku za Windows pomoću Chromea i SCF fajlova

Srpski istraživač Boško Stanković otkrio je ozbiljan propust u podrazumevanoj konfiguraciji najnovije verzije Googleovog browsera Chrome koji radi na bilo kojoj verziji Microsoftovog operativnog sistema Windows, uključujući i Windows 10, i koji omogućava napadaču da sa daljine ukrade korisničke kredencijale za prijavljivanje.

Stanković je otkrio da poseta web sajtu koji sadrži maliciozni SCF fajl može hakerima otkriti kredencijale za prijavljivanje na sistem pomoću Chromea.

Tehnika nije nova i već ju je koristio Stuxnet, moćni malver koji je napravljen da bi uništio iranski nuklearni program, koji je koristio Windows shortcut LNK fajlove da bi kompromitovao sisteme. Stanković je zapravo koristio dve tehnike - onu koja je korišćena u operaciji Stuxnet, i drugu koja je viđena 2015. na konferenciji Black Hat. On je ove tehnike primenio u napadu fokusirajući se na SCF fajlove, što je skraćenica za Shell Command File, Format koji podržava ograničeni set Windows Explorer komandi.

Ova vrsta exploita nije nova, ali je obično bila limitirana na lokalne mreže. Ono što ovaj napad razlikuje od drugih je i činjenica da su napadi na browsere bazirani na SMB autentifikaciji prvi put sada javno demonstrirani na Chromeu. Do sada je to bio slučaj samo sa Internet Explorerom i Edgeom.

SCF fajlovi su slični LNK fajlovima. U eri posle napada malvera Stuxnet, LNK fajlovi mogu da učitavaju svoje ikone samo iz lokalnih resursa tako da oni više nisu podložni napadima u kojima su primorani da učitaju maliciozni kod. Microsoft je posle Stuxneta ograničio LNK fajlove, ali ne i SCF fajlove.

Stanković je napravio SCF fajl koji učitava svoju ikonu iz URL-a. Na kraju URL-a stoji SMB server. Kada kompjuter pokuša da učita ikonu sa tog servera, server traži i dobija korisničke kredencijale jer kompjuter misli da je potrebna autentifikacija.

Stanković savetuje korisnicima da isključe automatska preuzimanja u Google Chromeu u Settings --> Show advanced settings, i da zatim označe "ask where to save each file before downloading".

"Trenutno napadač samo treba da namami žrtvu koja koristi potpuno ažuriran Google Chrome i Windows da poseti njegov web sajt da bi mogao da dobije i iskoristi kredencijale za autentifikaciju žrtve. Čak i ako žrtva nije privilegovani korisnik (npr. administrator), ovakva ranjivost može predstavljati značajnu pretnju za velike organizacije jer omogućava napadaču da imitira članove organizacije. Takav napadač bi mogao odmah da upotrebi stečene privilegije za dalje povećanje pristupa i izvođenje napada na druge korisnike ili za dobijanje pristupa i kontrolu IT resursa", kaže Stanković.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Popularna aplikacija GO Keyboard prikuplja podatke o korisnicima bez njhove dozvole

Popularna aplikacija GO Keyboard prikuplja podatke o korisnicima bez njhove dozvole

Popularna apikacija za Android GO Keyboard koja se može preuzeti iz Google Play prodavnice, prikuplja podatke korisnika i preuzima i pokreće kod sa ... Dalje

Google testirao 5 vodećih browsera, Safari ima najviše bagova

Google testirao 5 vodećih browsera, Safari ima najviše bagova

Googleov Project Zero tim napravio je novi alat za testiranje DOM endžina browsera i objavio listu top 5 browsera, od kojih je najviše propusta pron... Dalje

Adblock Plus sada nudi zaštitu od rudarenja kriptovaluta

Adblock Plus sada nudi zaštitu od rudarenja kriptovaluta

Adblock Plus sada nudi zaštitu od sajtova koji koriste resurse računara posetilaca za rudarenje digitalnog novca. Adblock je objavio filter koji kor... Dalje

Malver iz CCleanera iskorišćen za napad na Intel, Google, Microsoft

Malver iz CCleanera iskorišćen za napad na Intel, Google, Microsoft

Hakovanje softvera CCleaner koje se dogodilo letos, a za koje se saznalo ove nedelje izvela je kineska hakerska grupa koja je najviše poznata po imen... Dalje

McAfee se pridružio ''lovu na veštice'' protiv Kaspersky Laba

McAfee se pridružio ''lovu na veštice'' protiv Kaspersky Laba

Američko Ministarstvo za unutrašnju bezbednost naložilo je svim državnim institucijama da u roku od tri meseca prekinu da koriste proizvode Kasper... Dalje