A Google Chrome-sårbarhed, som blev afdækket af DefenceCode sikkerhedsingeniør Bosko Stankovic, siges at tillade hackere at e malware på et offers pc for at stjæle folks Windows-oplysninger og starte dem SMB (serverbeskedblokering) relæangreb ifølge sikkerhedseksperter.
Stankovic sagde i en blog, at han fandt fejlen i en standardkonfiguration af den nyeste version af Googles Chrome, der kører på enhver version af Microsofts Windows-operativsystem, inklusive Windows 10. Fejlen skal ikke bare have it-er bekymrede, da den også udgør en "væsentlig trussel" mod store virksomheder og endda almindelige brugere. Han hævdede også, at bare ved at besøge et websted, der indeholder et ondsindet SCF (Shell -kommandofil) fil, kunne give ofre mulighed for ubevidst at dele deres computers oplysninger med hackere via Chrome og SMB-protokollen.
Angrebsteknikken, der kan tillade legitimationstyveri, er ikke ny, men en kombination af to forskellige teknikker, hvoraf den ene er taget fra Stuxnet-operationen (Stuxnet - en stærk malware, der er specielt designet til at ødelægge Irans nukleare program) og den anden fra en demonstreret teknik på en Black Hat sikkerhedskonference af to sikkerhedsforskere.
Stjæling af Windows-legitimationsoplysninger centreret omkring SCF-filer:
Ifølge Stankovic er angrebet ret ligetil, hvilket involverer ofre, der bliver narret til at klikke på et ondsindet link, hvilket udløser en automatisk af Windows Explorer SCF-fil.
“SCF (Shell Command File) er et filformat, der understøtter et meget begrænset sæt Windows Explorer-kommandoer, der hjælper med at definere et ikon på skrivebordet, såsom Min computer og papirkurven. Ligesom LNK-filer (genveje) henter SCF-filer, når de er gemt på disken, en ikonfil, når brugeren indlæser filen i et Windows Stifinder-vindue. ”
Stankovic forklarer, at det er meget nemt at få en SCF-fil på brugernes computere. Dette skyldes, at Chrome i sin standardkonfiguration automatisk er filer, som de finder sikre, uden at bede brugeren om en placering. Google anser SCF-filer for at være sikre og har ingen grund til at bede brugeren om handling.
SCF-filen ligger i dvale, indtil offeret åbner mappen med mapper, hvorefter den forsøger at exfiltrere data, der er knyttet til et Windows-ikon placeret på hackerserveren. Dette giver igen angriberen offerets brugernavn og hashadgangskode.
”I øjeblikket er angriberen bare nødt til at lokke offeret (ved hjælp af fuldt opdaterede Google Chrome og Windows) til at besøge sit websted for at kunne fortsætte og genbruge ofrets godkendelsesoplysninger,” skrev Stankovic i et bdlæg og beskrev fejlen.
Besejre Windows Credential Theft:
Sikkerhedsforskeren råder brugerne til at deaktivere de automatiske s i Google Chrome. For at gøre det skal man åbne 'Vis avancerede indstillinger' i Indstillinger. Der skal du markere afkrydsningsfeltet 'Spørg, hvor hver fil skal gemmes, før du er'. Denne ændring vil tvinge Google til at bede om din tilladelse, før du er en fil, hvilket betydeligt mindsker risikoen for legitimationstyveriangreb ved hjælp af SCF-filer.
Mere avancerede beskyttelsesforanstaltninger inkluderer blokering af udgående SMB-anmodninger fra det lokale netværk til WAN via firewalls, så lokale computere ikke kan forespørge på eksterne SMB-servere.
