Google Chrome-användare på Windows rekommenderas att inaktivera automatiska nedladdningar i webbläsaren för att skydda autentiseringsdata mot ett nytt hot som nyligen upptäckts.
Chrome-webbläsaren är den mest populära webbläsaren just nu på stationära enheter. Den är konfigurerad för att ladda ner säkra filer automatiskt till användarsystemet utan prompt som standard.
Alla filer som Chrome-användare laddar ner som passerar Googles säker surfningskontroller kommer att landa automatiskt i standardnedladdningskatalogen. Chrome-användare som vill välja nedladdningsmappen istället för nedladdningar måste ändra det beteendet i alternativen.
Den nya attacken, som beskrivs i detalj på webbplatsen för försvarskod, kombinerar Chrome automatisk nedladdningsbeteende med Windows Explorer Shell Command File-filer som har filtillägget .scf.
Åldringsformatet är en vanlig textfil som innehåller instruktioner, vanligtvis en ikonplats och begränsade kommandon. Det som är särskilt intressant med formatet är att det kan ladda resurser från en fjärrserver.
Ännu mer problematiskt är det faktum att Windows kommer att behandla dessa filer så snart du öppnar katalogen de är lagrade i, och att dessa filer visas utan förlängning i Windows Utforskare oavsett inställningar. Detta innebär att angripare lätt kan dölja filen bakom ett förklädt filnamn som image.jpg.
Angriparna använder en SMB-serverplats för ikonen. Vad som händer då är att servern begär autentisering och att systemet kommer att tillhandahålla det. Medan lösenord hash inlämnas, noterar forskarna att knäckning av dessa lösenord inte borde ta längre årtionden om de inte är av det komplexa slaget.
Beträffande genomförbarhet av lösenordskrackning förbättrades det kraftigt under de senaste åren med GPU-baserad sprickbildning. NetNTLMv2 hashcat-riktmärke för ett enda Nvidia GTX 1080-kort är cirka 1600 MH / s. Det är 1, 6 miljarder hash per sekund. För ett lösenord med 8 tecken kan GPU-riggar på fyra sådana kort gå igenom ett helt nyckelområde med övre / nedre alfanumeriska + mest använda specialtecken ( # $% &) på mindre än en dag. Med hundratals miljoner läckta lösenord resulterade från flera överträdelser under de senaste åren (LinkedIn, Myspace), kan ordlistbaserad krackning ge överraskande resultat mot komplexa lösenord med mer entropi.
Situationen är ännu värre för användare på Windows 8 eller 10-maskiner som autentiserar med ett Microsoft-konto, eftersom kontot kommer att ge angriparen tillgång till onlinetjänster som Outlook, OneDrive eller Office365 om de används av användaren. Det finns också chansen att lösenordet återanvänds på webbplatser utanför Microsoft.
Antiviruslösningar flaggar inte dessa filer just nu.
Så här går attacken ner
- Användaren besöker en webbplats som antingen driver en enhet genom att ladda ner till användarsystemet, eller får användaren att klicka på en speciellt förberedd SCF-fil så att den laddas ner.
- Användaren öppnar standardkatalogen för nedladdning.
- Windows kontrollerar ikonens plats och skickar autentiseringsdata till SMB-servern i hashformat.
- Attacker kan använda lösenordslistor eller attacker för brute force för att knäcka lösenordet.
Hur du skyddar ditt system mot denna attack
Ett alternativ som Chrome-användare har är att inaktivera automatiska nedladdningar i webbläsaren. Detta förhindrar nedladdning av enhet och kan också förhindra oavsiktliga nedladdningar av filer.
- Ladda krom: // inställningar / i webbläsarens adressfält.
- Rulla ner och klicka på länken "visa avancerade inställningar".
- Rulla ner till avsnittet Nedladdningar.
- Kontrollera preferensen "Fråga var du vill spara varje fil innan du laddar ner".
Chrome ber dig om en nedladdningsplats varje gång en nedladdning initieras i webbläsaren.
förbehåll
Medan du lägger till ett lager av skydd för Chromes hantering av nedladdningar kan manipulerade SCF-filer landa på olika sätt på målsystem.
Ett alternativ som användare och administratörer har är att blockera portar som används av SMB-trafik i brandväggen. Microsoft har en guide som du kan använda för det. Företaget föreslår att blockera kommunikation från och till Internet till SMB-portarna 137, 138, 139 och 445.
Blockering av dessa portar kan påverka andra Windows-tjänster men som faxtjänst, utskriftsspooler, nätinloggning eller fil- och utskriftsdelning.
Nu du : Hur skyddar du dina maskiner mot SMB / SCF-hot?
