Napadači mogu otkriti lozinku za Windows pomoću Chromea i SCF fajlova

Vesti, 18.05.2017, 00:00 AM

Napadači mogu otkriti lozinku za Windows pomoću Chromea i SCF fajlova

Srpski istraživač Boško Stanković otkrio je ozbiljan propust u podrazumevanoj konfiguraciji najnovije verzije Googleovog browsera Chrome koji radi na bilo kojoj verziji Microsoftovog operativnog sistema Windows, uključujući i Windows 10, i koji omogućava napadaču da sa daljine ukrade korisničke kredencijale za prijavljivanje.

Stanković je otkrio da poseta web sajtu koji sadrži maliciozni SCF fajl može hakerima otkriti kredencijale za prijavljivanje na sistem pomoću Chromea.

Tehnika nije nova i već ju je koristio Stuxnet, moćni malver koji je napravljen da bi uništio iranski nuklearni program, koji je koristio Windows shortcut LNK fajlove da bi kompromitovao sisteme. Stanković je zapravo koristio dve tehnike - onu koja je korišćena u operaciji Stuxnet, i drugu koja je viđena 2015. na konferenciji Black Hat. On je ove tehnike primenio u napadu fokusirajući se na SCF fajlove, što je skraćenica za Shell Command File, Format koji podržava ograničeni set Windows Explorer komandi.

Ova vrsta exploita nije nova, ali je obično bila limitirana na lokalne mreže. Ono što ovaj napad razlikuje od drugih je i činjenica da su napadi na browsere bazirani na SMB autentifikaciji prvi put sada javno demonstrirani na Chromeu. Do sada je to bio slučaj samo sa Internet Explorerom i Edgeom.

SCF fajlovi su slični LNK fajlovima. U eri posle napada malvera Stuxnet, LNK fajlovi mogu da učitavaju svoje ikone samo iz lokalnih resursa tako da oni više nisu podložni napadima u kojima su primorani da učitaju maliciozni kod. Microsoft je posle Stuxneta ograničio LNK fajlove, ali ne i SCF fajlove.

Stanković je napravio SCF fajl koji učitava svoju ikonu iz URL-a. Na kraju URL-a stoji SMB server. Kada kompjuter pokuša da učita ikonu sa tog servera, server traži i dobija korisničke kredencijale jer kompjuter misli da je potrebna autentifikacija.

Stanković savetuje korisnicima da isključe automatska preuzimanja u Google Chromeu u Settings --> Show advanced settings, i da zatim označe "ask where to save each file before downloading".

"Trenutno napadač samo treba da namami žrtvu koja koristi potpuno ažuriran Google Chrome i Windows da poseti njegov web sajt da bi mogao da dobije i iskoristi kredencijale za autentifikaciju žrtve. Čak i ako žrtva nije privilegovani korisnik (npr. administrator), ovakva ranjivost može predstavljati značajnu pretnju za velike organizacije jer omogućava napadaču da imitira članove organizacije. Takav napadač bi mogao odmah da upotrebi stečene privilegije za dalje povećanje pristupa i izvođenje napada na druge korisnike ili za dobijanje pristupa i kontrolu IT resursa", kaže Stanković.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Još jedna zemlja EU protiv upotrebe Google analitike zbog kršenja evropskih propisa o zaštiti podataka

Još jedna zemlja EU protiv upotrebe Google analitike zbog kršenja evropskih propisa o zaštiti podataka

Još jedan udarac za Google stiže iz Evrope. Posle Austrije i Francuske, italijanska agencija za zaštitu podataka utvrdila je da upotreba Google ana... Dalje

Microsoft upozorio korisnike da se približava datum ukidanja podrške za Windows 8.1

Microsoft upozorio korisnike da se približava datum ukidanja podrške za Windows 8.1

Microsoft će povući Windows 8.1 10. januara sledeće godine, tako da će se kompanija u potpunosti fokusirati na Windows 10 i Windows 11. Kompan... Dalje

NSO Grupa priznala da je njihov softver za nadzor koristilo najmanje pet evropskih zemalja

NSO Grupa priznala da je njihov softver za nadzor koristilo najmanje pet evropskih zemalja

Izraelski proizvođač softvera za nadzor NSO Grupa priznao je ove nedelje evropskim zakonodavcima da je njihov softver Pegaz koristilo najmanje pet z... Dalje

Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Programer „z0ccc“ napravio je veb sajt (https://z0ccc.github.io/extension-fingerprints/) dizajniran da generiše „otisak prsta&ldquo... Dalje

Popularni WordPress dodatak hitno ažuriran zbog hakerskih napada na ranjive sajtove

Popularni WordPress dodatak hitno ažuriran zbog hakerskih napada na ranjive sajtove

Kritična ranjivost u WordPress dodatku koji se koristi na više od milion veb sajtova je zakrpljena, nakon što su se pojavili dokazi da je hakeri is... Dalje