Δευτέρα, 18 Δεκέμβριος 2017, 7:04 πμ

Υποκλοπή του Windows κωδικού σας μέσω του Chrome

Ο ερευνητής ασφάλειας Bosko Stankovic δημοσίευσε πρόσφατα ένα άρθρο που εξηγεί πώς ένας εισβολέας θα μπορούσε να χρησιμοποιήσει το πρόγραμμα περιήγησης Google Chrome, το πρωτόκολλο κοινής χρήσης αρχείων SMB και την εφαρμογή εντολών Windows Explorer Shell για να υποκλέψει τα διαπιστευτήρια (κωδικούς πρόσβασης) των θυμάτων.

Google Chrome:

Παρόμοιες επιθέσεις έχουν καταδειχθεί χρησιμοποιώντας τους περιηγητές Internet Explorer και τον Edge, αλλά η δυνατότητα να μπορέσει κάποιος κακόβουλος χρήστης να χρησιμοποιήσει ένα πολύ πιο δημοφιλές πρόγραμμα περιήγησης όπως είναι ο Google Chrome καθιστά όλο και περισσότερους χρήστες εκτεθειμένους σε αυτού του είδους τις επιθέσεις. Το Chrome χρησιμοποιεί μια τεχνική που ονομάζεται MIME-sniffing για αρχεία με περιεχόμενο κειμένου ή ληφθέντα αρχεία τα οποία περιέχουν μη εκτυπώσιμους χαρακτήρες. Κατεβάζει αυτά τα αρχεία στον προεπιλεγμένο φάκελο λήψης όπως καθορίζεται στην ενότητα «Ρυθμίσεις για προχωρημένους» των Ρυθμίσεων του Google Chrome όπως φαίνεται στην παρακάτω εικόνα:

SMB πρωτόκολλο

Αυτό το πρωτόκολλο κοινής χρήσης αρχείων απέκτησε πρόσφατα μεγάλη «φήμη» καθώς το κακόβουλο λογισμικό WanaCrypt το εκμεταλλευόταν για να μπορέσει να διαδοθεί. Το SMB πρωτόκολλο είναι αυτό που χρησιμοποιούν τα Windows για να μοιράζονται αρχεία, εκτυπωτές, σειριακές θύρες και να ανταλλάσσουν αυτές τις πληροφορίες μεταξύ υπολογιστών και συσκευών που επικοινωνούν μεταξύ τους δικτυακά.

Αρχεία SCF

Το Windows Explorer Shell Command File είναι κατά κύριο λόγο συντομεύσεις με μια εντολή εκτέλεσης. Ένα πολύ αξιοσημείωτο χαρακτηριστικό είναι ότι αυτή η επέκταση είναι αόρατη ακόμα κι αν έχετε επιλέξει να εμφανίζονται οι επεκτάσεις.

Επομένως, θα πρέπει να εξετάσετε προσεκτικά ένα αρχείο που έχει διπλή επέκταση όπως example.txt.scf για να δείτε τη διαφορά με ένα πραγματικό αρχείο txt.

Ένα άλλο πράγμα που κάνει τα αρχεία SCF επικίνδυνα είναι ότι ενεργοποιούνται μόλις ανοίξει ο φάκελος στον οποίο βρίσκονται. Τα Windows θα στείλουν ένα αίτημα για τον πόρο την ίδια στιγμή που εμφανίζεται το αρχείο στον Windows Explorer.

Τρόπος επίθεσης

Ο κακόβουλος χρήστης βάζει ένα αρχείο SCF που περιέχει έναν μη εκτυπώσιμο χαρακτήρα σε έναν ιστότοπο και εν συνεχεία κάνει καμπάνιες στα social media ούτως ώστε να επισκεφτούν όσο το δυνατότερο περισσότερα άτομα (τον συγκεκριμένο ιστότοπο).

Οι χρήστες που χρησιμοποιούν το πρόγραμμα περιήγησης Chrome θα κατεβάσουν το αρχείο SCF στον φάκελο προεπιλεγμένων λήψεων και την επόμενη φορά που θα θέλουν να δουν ή να μετακινήσουν ένα αρχείο από το συγκεκριμένο φάκελο, το αρχείο SCF θα ενεργοποιηθεί, μόλις ανοίξει ο φάκελος λήψης στον Windows Explorer!

Τα αρχεία SCF μπορούν να ρυθμιστούν ώστε να επικοινωνούν με ένα διακομιστή (server) π.χ. με αίτημα για κάποιον πόρο, όπως είναι ένα αρχείο. Με αυτό το τρόπο  σχεδόν δεν υπάρχουν περιορισμοί για τον κακόβουλο χρήστη, ο οποίος μπορεί να χρησιμοποιεί το «μολυσμένο» υπολογιστή. Για να γίνει η αίτηση πόρων, θα πρέπει αρχικά να σταλθεί ένα αίτημα ελέγχου ταυτότητας μέσω του πρωτοκόλλου SMB. Το αίτημα θα περιλαμβάνει το όνομα χρήστη του θύματος, τον τομέα του και το hash κωδικού πρόσβασης NTLMv2. Αυτές οι πληροφορίες μπορούν να είναι εξαιρετικά χρήσιμες για έναν εισβολέα ο οποίος θέλει να αποκτήσει πρόσβαση σε ένα δίκτυο. 

Οι συνέπειες

Μόλις ο επιτιθέμενος έχει τον κωδικό πρόσβασης σε μορφή hash, εξαρτάται από την υπολογιστική του δύναμη για το χρονικό διάστημα που χρειάζεται για την αποκρυπτογράφηση του κωδικού. Αυτό μπορεί να ποικίλει από μερικά δευτερόλεπτα έως μερικές ημέρες.

Εάν ο χρήστης των Windows 8/10 χρησιμοποιεί το Microsoft Authentication (MSA) για να χρησιμοποιεί υπηρεσίες της Microsoft όπως το Office 365, το OneDrive, το Skype και πολλά άλλα, ο αντίκτυπος στα θύματα μπορεί να είναι ακόμα μεγαλύτερος, καθώς ο κακόβουλος χρήστης θα αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες.

Πως να προστατευτείτε

Αν δεν χρειάζεστε το SMB, απενεργοποιήστε το . Αυτό είναι το μόνο μέρος της αλυσίδας επίθεσης που ο τελικός χρήστης μπορεί εύκολα να χειριστεί εκτελώντας μια απλή εντολή Powershell, εδώ μπορείτε να βρείτε οδηγίες για την απενεργοποίηση του. Άλλες επιλογές είναι:

  • Να χρησιμοποιείτε πάντοτε την επιλογή «Αποθήκευση ως …» όταν πραγματοποιείτε τη λήψη κάποιου αρχείου, έτσι δεν θα χρειαστεί να ανοίξετε τον φάκελο προεπιλεγμένων λήψεων.
  • Κάντε τα αρχεία SCF ορατά, μέσα απο το μητρώο (registry). Η αλλαγή της προεπιλεγμένης τιμής κάτω από το κλειδί HKEY_CLASSES_ROOT \ .scf «txtfile» καθιστά τα αρχεία ορατά και ανοίγει σε σημειωματάριο.

Επίσης, η απενεργοποίηση του SMB είναι πιο πιθανό να είναι επιτυχής και θα σας προστατέψει και από άλλα κακόβουλα προγράμματα, όπως το WannaCry, το Cryptocurrency Adylkuzz.

Πηγή: malwarebytes.com

Ο ερευνητής ασφάλειας Bosko Stankovic δημοσίευσε πρόσφατα ένα άρθρο που εξηγεί πώς ένας εισβολέας θα μπορούσε να χρησιμοποιήσει το πρόγραμμα περιήγησης Google Chrome, το πρωτόκολλο κοινής χρήσης αρχείων SMB και την εφαρμογή εντολών Windows Explorer Shell για να υποκλέψει τα διαπιστευτήρια (κωδικούς πρόσβασης) των θυμάτων. Google Chrome: Παρόμοιες επιθέσεις έχουν…
Χρήσιμο
Ευανάγνωστο

User Rating: 4.75 ( 1 votes)
75

Δείτε επίσης:

Δεύτερο ισχυρό χτύπημα για την Yahoo, η οποία ακόμα δεν έχει ανακάμψει από την αποκάλυψη του Σεπτέμβρη πως 500 εκ. λογαριασμοί χρηστών είχαν παραβιαστεί το 2014.

1 δισ. λογαριασμοί της Yahoo! παραβιάστηκαν το 2013

Δεύτερο ισχυρό χτύπημα για την Yahoo, η οποία ακόμα δεν έχει ανακάμψει από την αποκάλυψη …