І знову Chrome – крадіжка облікових даних Windows через браузер

 

Атаки, пов’язані з витоком даних облікових записів, за допомогою протоколу SMB, призначеного для спільного використання файлів в системах під управлінням ОС Windows є постійною проблемою, яка експлуатується різними способами, але зазвичай обмежується локальними мережами. 

Суть проблеми полягає у тому, що за замовчуванням браузер Chrome автоматично завантажує файли, які вважає безпечними, без виведення діалогового вікна для вибору директорії. Файли завантажуються в уже існуючу папку. Цей факт несе певну загрозу з точки зору безпеки, однак користувачеві потрібно вжити додаткових заходів для запуску шкідливої ​​програми. З іншого боку, якщо існують типи файлів, які не потребують додаткових дій з боку користувача, завдання зловмисника сильно полегшується.

Файли з розширенням .scf (Windows Explorer Shell Command File), які почали використовуватися з часів Windows 98, зустрічаються у MS Windows 98 – XP в якості ярликів на робочому столі, але підтримуються і всіма новішими версія ОС, включаючи 10. Сам файл містить дві секції: з визначенням команди (яку можна запускати тільки в провіднику і на робочому столі) і місцезнаходженням іконки. 

Як і у випадку з стандартним LNK-файлами (ярлики) іконка промальовується, коли відповідний файл показується в Провіднику. Якщо прописати в параметр місцезнаходження іконки віддалений SMB-сервер (відомий тип атаки для зловживання функцією автоматичної Window-аутентифікації при доступі до служб таких як віддаленого спільного сховища файлів) то після завантаження файлу шкідлива ін’єкція відбувається автоматично в момент відкриття директорії в Провіднику (грубо кажучи коли файл стає візуально доступним), що в більшості випадків відбудеться неминуче. Немає необхідності вчиняти активні дії – Провідник самостійно «завантажуватиме іконку».
Віддалений SMB-сервер, налаштований зловмисником, готовий зчитувати облікові дані жертви (ім’я користувача і хеш пароля, використовуваного в протоколі NTLMv2) для подальшого злому або перенаправлення з’єднання і підключення до зовнішньої службі, яка підтримує той же самий тип аутентифікації (наприклад, Microsoft Exchange) , без необхідності введення пароля.

Мінімальні рекомендації:

  • Щоб відключити автоматичне завантаження в Google Chrome необхідно встановити прапорець в наступній опції: Settings (налаштування) -> Show advanced settings (розширені) -> Ask where to save each file before downloading (запитувати куди зберігати). Ручне підтвердження кожного завантаження значно скоротить ризик крадіжки хешів NTLMv2 за допомогою SCF-файлів.
  • Оскільки SCF-файли все ще представляють певну загрозу, заходи безпеки залежать від конкретної ситуації, починаючи від жорсткості правил на рівні хостів і конфігурації фаервола і закінчуючи додатковими заходами безпеки, наприклад, підписом SMB-пакетів і розширеним захистом. Перші два методи запобігають витік SMB-трафіку за межі корпоративної мережі за допомогою блокування портів, які можуть використовуватися для ініціації з’єднання з потенційно шкідливим SMB-сервером з інтернету. По можливості, SMB-трафік завжди слід обмежувати у внутрішніх мережах.

by: Bosko Stankovic

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *