Utilizatorii Google Chrome de pe Windows sunt sfătuiți să dezactiveze descărcările automate în browserul web pentru a proteja datele de autentificare împotriva unei noi amenințări descoperite recent.
Browserul Chrome este cel mai popular browser chiar acum pe dispozitivele desktop. Este configurat pentru a descărca automat fișiere sigure în sistemul de utilizator fără prompt în mod implicit.
Orice fișier pe care îl descarcă utilizatorii Chrome care trece verificările de navigare în siguranță Google va intra automat în directorul implicit de descărcare. Utilizatorii Chrome care doresc să aleagă folderul de descărcare în locul descărcărilor trebuie să modifice comportamentul în opțiuni.
Noul atac, descris în detaliu pe site-ul Codului Apărării, combină comportamentul de descărcare automată a Chrome cu fișierele de comandă Windows Explorer Shell care au extensia de fișier .scf.
Formatul de îmbătrânire este un fișier text simplu care include instrucțiuni, de obicei o locație pentru pictograme și comenzi limitate. Ceea ce este deosebit de interesant în ceea ce privește formatul este că acesta poate încărca resurse de pe un server la distanță.
Și mai problematic este faptul că Windows va procesa aceste fișiere imediat ce deschideți directorul în care sunt stocate și că aceste fișiere apar fără extensie în Windows Explorer indiferent de setări. Aceasta înseamnă că atacatorii ar putea ascunde fișierul în spatele unui nume de fișier deghizat, cum ar fi image.jpg.
Atacatorii folosesc o locație a serverului SMB pentru pictogramă. Ceea ce se întâmplă atunci este că serverul solicită autentificare și că sistemul va oferi asta. În timp ce hashes-urile de parolă sunt trimise, cercetătorii constată că fisurarea respectivelor parole nu ar trebui să dureze zeci de ani decât dacă sunt de tip complex.
În ceea ce privește fezabilitatea fisierelor cu parole, aceasta s-a îmbunătățit foarte mult în ultimii ani cu fisurarea pe bază de GPU. Valoarea de referință hashcat NetNTLMv2 pentru un singur card Nvidia GTX 1080 este în jur de 1600 MH / s. Adică 1, 6 miliarde de hașe pe secundă. Pentru o parolă cu 8 caractere, echipamentele GPU de 4 astfel de carduri pot parcurge un spațiu cheie întreg alfanumeric superior / inferior + cele mai frecvent utilizate caractere speciale ( # $% &) în mai puțin de o zi. Având sute de milioane de parole scurse rezultate din mai multe încălcări din ultimii ani (LinkedIn, Myspace), fisurarea bazată pe reguli de wordlist poate produce rezultate surprinzătoare împotriva parolelor complexe cu mai multă entropie.
Situația este și mai gravă pentru utilizatorii de pe mașinile Windows 8 sau 10 care se autentifică cu un cont Microsoft, întrucât contul va oferi atacatorului acces la servicii online precum Outlook, OneDrive sau Office365 dacă este utilizat de utilizator. Există, de asemenea, șansa ca parola să fie reutilizată pe site-uri non-Microsoft.
Soluțiile antivirus nu indică aceste fișiere în acest moment.
Iată cum scade atacul
- Utilizatorul vizitează un site web care fie împinge o unitate prin descărcare în sistemul de utilizatori, fie îl face pe utilizator să facă clic pe un fișier SCF special pregătit pentru a fi descărcat.
- Utilizatorul deschide directorul de descărcare implicit.
- Windows verifică locația pictogramei și trimite date de autentificare serverului SMB în format hash.
- Atacurile pot utiliza liste de parole sau atacuri de forță brută pentru a sparge parola.
Cum să vă protejați sistemul împotriva acestui atac
O opțiune pe care o au utilizatorii Chrome este dezactivarea descărcărilor automate în browserul web. Acest lucru împiedică descărcările cu drivere și, de asemenea, poate preveni descărcările accidentale de fișiere.
- Încărcați crom: // setări / în bara de adrese a browserului.
- Derulați în jos și faceți clic pe linkul „Afișați setări avansate”.
- Derulați în jos la secțiunea Descărcări.
- Verificați preferința „Întrebați unde să salvați fiecare fișier înainte de descărcare”.
Chrome vă va solicita o locație de descărcare de fiecare dată când este inițiată o descărcare în browser.
caveats
În timp ce adăugați un strat de protecție la gestionarea descărcărilor de către Chrome, fișierele SCF manipulate pot ateriza în moduri diferite pe sistemele țintă.
O opțiune pe care utilizatorii și administratorii o au este să blocheze porturile utilizate de traficul SMB în firewall. Microsoft are un ghid pe care îl puteți utiliza pentru asta. Compania sugerează să blocheze comunicarea de la și către internet către porturile SMB 137, 138, 139 și 445.
Blocarea acestor porturi poate afecta și alte servicii Windows, cum ar fi serviciul Fax, spooler de imprimare, conectare netă sau partajarea fișierelor și imprimării.
Acum Tu : Cum îți protejezi mașinile împotriva amenințărilor SMB / SCF?
