Používateľom prehliadača Google Chrome v systéme Windows sa odporúča zakázať automatické sťahovanie vo webovom prehliadači, aby sa chránili autentifikačné údaje pred novou hrozbou objavenou nedávno.
Prehliadač Chrome je momentálne najpopulárnejším prehliadačom na stolných zariadeniach. V predvolenom nastavení je nakonfigurovaný na automatické stiahnutie bezpečných súborov do používateľského systému.
Každý súbor, ktorý používatelia prehliadača Chrome stiahnu a ktorý prejde kontrolou bezpečného prehliadania spoločnosti Google, sa automaticky dostane do predvoleného adresára na stiahnutie. Používatelia prehliadača Chrome, ktorí namiesto sťahovania chcú namiesto sťahovania zvoliť priečinok na stiahnutie, musia toto správanie zmeniť v možnostiach.
Nový útok, ktorý je podrobne opísaný na webových stránkach obranného kódu, kombinuje automatické správanie prehliadača Chrome so súbormi príkazového súboru Windows Explorer Shell, ktoré majú príponu .scf.
Formát starnutia je obyčajný textový súbor, ktorý obsahuje pokyny, zvyčajne umiestnenie ikony a obmedzené príkazy. Na formáte je obzvlášť zaujímavé, že môže načítať prostriedky zo vzdialeného servera.
Ešte problematickejšia je skutočnosť, že systém Windows tieto súbory spracuje ihneď po otvorení adresára, v ktorom sú uložené, a že tieto súbory sa objavia bez prípony v Prieskumníkovi systému Windows bez ohľadu na nastavenia. To znamená, že útočníci mohli súbor ľahko skryť za skrytým názvom súboru, napríklad image.jpg.
Útočníci používajú pre túto ikonu umiestnenie servera SMB. Čo sa stane potom je, že server požaduje overenie a že to systém zabezpečí. Aj keď sú hashované heslá, vedci poznamenávajú, že praskanie týchto hesiel by už nemalo trvať desaťročia, pokiaľ nie sú zložitého typu.
Pokiaľ ide o uskutočniteľnosť crackingu pomocou hesla, toto sa v posledných rokoch výrazne zlepšilo praskaním na báze GPU. NetNTLMv2 hashcat benchmark pre jednu Nvidia GTX 1080 kartu je okolo 1600 MH / s. To je 1, 6 miliardy hashov za sekundu. Pri 8-znakovom hesle môžu súpravy 4 takýchto kariet GPU prejsť celým priestorom klávesov horných / dolných alfanumerických + najbežnejšie používaných špeciálnych znakov ( # $% &) za menej ako jeden deň. So stovkami miliónov únikových hesiel, ktoré vyplynuli z niekoľkých porušení v posledných rokoch (LinkedIn, Myspace), môže praskanie založené na pravidlách pre zoznamy slov priniesť prekvapujúce výsledky proti zložitým heslám s väčšou entropiou.
Situácia je ešte horšia pre používateľov počítačov so systémom Windows 8 alebo 10, ktorí sa autentifikujú pomocou účtu Microsoft, pretože tento účet poskytne útočníkovi prístup k online službám, ako sú Outlook, OneDrive alebo Office365, ak ich používateľ používa. Existuje tiež možnosť, že sa heslo znova použije na weboch, ktoré nepatria spoločnosti Microsoft.
Antivírusové riešenia tieto súbory momentálne neoznačujú.
Tu je návod, ako útok klesá
- Užívateľ navštívi webovú stránku, ktorá buď tlačí disk stiahnutím do užívateľského systému, alebo ho přimie kliknúť na špeciálne pripravený súbor SCF, aby sa stiahol.
- Používateľ otvorí predvolený adresár na stiahnutie.
- Systém Windows skontroluje umiestnenie ikony a odošle autentifikačné údaje na server SMB v hašovanom formáte.
- Útoky môžu na prelomenie hesla použiť zoznamy hesiel alebo útoky hrubou silou.
Ako chrániť váš systém pred týmto útokom
Jednou z možností, ktorú majú používatelia prehliadača Chrome, je zakázať automatické sťahovanie vo webovom prehliadači. Zabráni sa tým sťahovaniu súborov z disku a môže to tiež zabrániť náhodnému stiahnutiu súborov.
- Načítajte chrome: // settings / do adresného riadku prehliadača.
- Posuňte zobrazenie nadol a kliknite na odkaz Zobraziť rozšírené nastavenia.
- Posuňte zobrazenie nadol do sekcie Stiahnuté súbory.
- Pred stiahnutím skontrolujte predvoľbu „Opýtajte sa, kam sa majú jednotlivé súbory uložiť“.
Pri každom začatí sťahovania v prehliadači Chrome zobrazí výzvu na zadanie umiestnenia pre stiahnutie.
Upozornenie
Aj keď pridávate vrstvu ochrany pri manipulácii so stiahnutiami prehliadača Chrome, manipulované súbory SCF sa môžu v cieľových systémoch objaviť rôznymi spôsobmi.
Jednou z možností, ktorú majú používatelia a správcovia, je blokovanie portov používaných prenosom SMB v bráne firewall. Spoločnosť Microsoft má sprievodcu, ktorý môžete použiť na tento účel. Spoločnosť navrhuje zablokovať komunikáciu z a do internetu na porty SMB 137, 138, 139 a 445.
Zablokovanie týchto portov môže ovplyvniť ďalšie služby Windows, napríklad službu Fax, zaraďovač tlače, prihlasovanie do siete alebo zdieľanie súborov a tlačiarní.
Teraz ste : Ako chránite svoje stroje pred hrozbami SMB / SCF?
