Napadači mogu otkriti lozinku za Windows pomoću Chromea i SCF fajlova

Vesti, 18.05.2017, 00:00 AM

Srpski istraživač Boško Stanković otkrio je ozbiljan propust u podrazumevanoj konfiguraciji najnovije verzije Googleovog browsera Chrome koji radi na bilo kojoj verziji Microsoftovog operativnog sistema Windows, uključujući i Windows 10, i koji omogućava napadaču da sa daljine ukrade korisničke kredencijale za prijavljivanje.

Stanković je otkrio da poseta web sajtu koji sadrži maliciozni SCF fajl može hakerima otkriti kredencijale za prijavljivanje na sistem pomoću Chromea.

Tehnika nije nova i već ju je koristio Stuxnet, moćni malver koji je napravljen da bi uništio iranski nuklearni program, koji je koristio Windows shortcut LNK fajlove da bi kompromitovao sisteme. Stanković je zapravo koristio dve tehnike - onu koja je korišćena u operaciji Stuxnet, i drugu koja je viđena 2015. na konferenciji Black Hat. On je ove tehnike primenio u napadu fokusirajući se na SCF fajlove, što je skraćenica za Shell Command File, Format koji podržava ograničeni set Windows Explorer komandi.

Ova vrsta exploita nije nova, ali je obično bila limitirana na lokalne mreže. Ono što ovaj napad razlikuje od drugih je i činjenica da su napadi na browsere bazirani na SMB autentifikaciji prvi put sada javno demonstrirani na Chromeu. Do sada je to bio slučaj samo sa Internet Explorerom i Edgeom.

SCF fajlovi su slični LNK fajlovima. U eri posle napada malvera Stuxnet, LNK fajlovi mogu da učitavaju svoje ikone samo iz lokalnih resursa tako da oni više nisu podložni napadima u kojima su primorani da učitaju maliciozni kod. Microsoft je posle Stuxneta ograničio LNK fajlove, ali ne i SCF fajlove.

Stanković je napravio SCF fajl koji učitava svoju ikonu iz URL-a. Na kraju URL-a stoji SMB server. Kada kompjuter pokuša da učita ikonu sa tog servera, server traži i dobija korisničke kredencijale jer kompjuter misli da je potrebna autentifikacija.

Stanković savetuje korisnicima da isključe automatska preuzimanja u Google Chromeu u Settings --> Show advanced settings, i da zatim označe "ask where to save each file before downloading".

"Trenutno napadač samo treba da namami žrtvu koja koristi potpuno ažuriran Google Chrome i Windows da poseti njegov web sajt da bi mogao da dobije i iskoristi kredencijale za autentifikaciju žrtve. Čak i ako žrtva nije privilegovani korisnik (npr. administrator), ovakva ranjivost može predstavljati značajnu pretnju za velike organizacije jer omogućava napadaču da imitira članove organizacije. Takav napadač bi mogao odmah da upotrebi stečene privilegije za dalje povećanje pristupa i izvođenje napada na druge korisnike ili za dobijanje pristupa i kontrolu IT resursa", kaže Stanković.