Napadači mogu otkriti lozinku za Windows pomoću Chromea i SCF fajlova

Vesti, 18.05.2017, 00:00 AM

Napadači mogu otkriti lozinku za Windows pomoću Chromea i SCF fajlova

Srpski istraživač Boško Stanković otkrio je ozbiljan propust u podrazumevanoj konfiguraciji najnovije verzije Googleovog browsera Chrome koji radi na bilo kojoj verziji Microsoftovog operativnog sistema Windows, uključujući i Windows 10, i koji omogućava napadaču da sa daljine ukrade korisničke kredencijale za prijavljivanje.

Stanković je otkrio da poseta web sajtu koji sadrži maliciozni SCF fajl može hakerima otkriti kredencijale za prijavljivanje na sistem pomoću Chromea.

Tehnika nije nova i već ju je koristio Stuxnet, moćni malver koji je napravljen da bi uništio iranski nuklearni program, koji je koristio Windows shortcut LNK fajlove da bi kompromitovao sisteme. Stanković je zapravo koristio dve tehnike - onu koja je korišćena u operaciji Stuxnet, i drugu koja je viđena 2015. na konferenciji Black Hat. On je ove tehnike primenio u napadu fokusirajući se na SCF fajlove, što je skraćenica za Shell Command File, Format koji podržava ograničeni set Windows Explorer komandi.

Ova vrsta exploita nije nova, ali je obično bila limitirana na lokalne mreže. Ono što ovaj napad razlikuje od drugih je i činjenica da su napadi na browsere bazirani na SMB autentifikaciji prvi put sada javno demonstrirani na Chromeu. Do sada je to bio slučaj samo sa Internet Explorerom i Edgeom.

SCF fajlovi su slični LNK fajlovima. U eri posle napada malvera Stuxnet, LNK fajlovi mogu da učitavaju svoje ikone samo iz lokalnih resursa tako da oni više nisu podložni napadima u kojima su primorani da učitaju maliciozni kod. Microsoft je posle Stuxneta ograničio LNK fajlove, ali ne i SCF fajlove.

Stanković je napravio SCF fajl koji učitava svoju ikonu iz URL-a. Na kraju URL-a stoji SMB server. Kada kompjuter pokuša da učita ikonu sa tog servera, server traži i dobija korisničke kredencijale jer kompjuter misli da je potrebna autentifikacija.

Stanković savetuje korisnicima da isključe automatska preuzimanja u Google Chromeu u Settings --> Show advanced settings, i da zatim označe "ask where to save each file before downloading".

"Trenutno napadač samo treba da namami žrtvu koja koristi potpuno ažuriran Google Chrome i Windows da poseti njegov web sajt da bi mogao da dobije i iskoristi kredencijale za autentifikaciju žrtve. Čak i ako žrtva nije privilegovani korisnik (npr. administrator), ovakva ranjivost može predstavljati značajnu pretnju za velike organizacije jer omogućava napadaču da imitira članove organizacije. Takav napadač bi mogao odmah da upotrebi stečene privilegije za dalje povećanje pristupa i izvođenje napada na druge korisnike ili za dobijanje pristupa i kontrolu IT resursa", kaže Stanković.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

ClickFix napad: lažni ChatGPT Atlas krade lozinke pomoću “copy-paste” trika

ClickFix napad: lažni ChatGPT Atlas krade lozinke pomoću “copy-paste” trika

ClickFix napadi beleže dramatičan rast od čak 517%. Iako naizgled jednostavan “copy-paste” trik, ovaj napad je postao je ozbiljna pretn... Dalje

Ažurirane ekstenzije za Chrome i Edge zarazile 4,3 miliona uređaja

Ažurirane ekstenzije za Chrome i Edge zarazile 4,3 miliona uređaja

Istraživači iz kompanije Koi Security upozoravaju na opsežnu i izuzetno dobro prikrivenu kampanju koja je zarazila uređaje 4,3 miliona korisnika v... Dalje

Procurelo 1,3 milijarde lozinki i 2 milijarde imejl adresa - proverite da li je i vaša među njima

Procurelo 1,3 milijarde lozinki i 2 milijarde imejl adresa - proverite da li je i vaša među njima

Ako niste skoro proveravali da li su vaše lozinke negde procurele, sada je pravi trenutak. U javnosti se pojavilo 1,3 milijarde jedinstvenih lozinki ... Dalje

OpenAI potvrdio curenje podataka - ChatGPT nalozi bezbedni

OpenAI potvrdio curenje podataka - ChatGPT nalozi bezbedni

OpenAI je potvrdio da je došlo do curenja podataka, ali ne zbog direktnog napada na njihove sisteme, već kompromitovanjem Mixpanel-a, analitičkog ... Dalje

Piratske kopije Battlefield 6 pune malvera

Piratske kopije Battlefield 6 pune malvera

Istraživači iz Bitdefender Labs-a upozorili su na novu kampanju koja cilja gejmere koji su u potrazi za „besplatnim“ ili hakovanim verzi... Dalje