Windows 10凭证偷窃:Google正在修复Chrome破绽

  

攻击者可以使用Google的chrome浏览器在Windows PC上安装并自动运行恶意文件来窃取密码。 DefenseCode安全研究员Bosko Stankovic详细介绍了Windows上的一个凭据盗窃攻击,其作用是欺骗Chrome用户下载Windows Explorer Shell命令文件或SCF(.scf),这是Windows 98作为显示桌面图标快捷方式后使用的格式。

Windows 10凭证偷窃:Google正在修复Chrome破绽插图

可以使用SCF文件来欺骗Windows进入攻击者控制的远程SMB服务器的身份验证尝试,该服务器旨在捕获受害者的用户Microsoft LAN Manager(NTLMv2)密码哈希。 然后可以将哈希破解为脱机状态或用于将受害者模拟在接受相同类型的基于NTLM的身份验证的服务(例如Microsoft Exchange)上。 该问题会影响最新版本的windows 10上运行的最新Chrome。 Stankovic写道:“目前,攻击者只需要使用完全更新的Google Chrome和Windows来吸引受害者,访问他的网站,以便能够继续和重用受害者的身份验证凭据。 “即使受害者不是特权用户,例如管理员,这样的漏洞可能对大型组织构成重大威胁,因为这样可以让攻击者冒充组织的成员。” 攻击依赖于Chrome和Windows对SCF文件的处理方式。 Chrome的具体问题是它不会将SCF文件清理为与LNK文件(其中具有.download扩展名)的消息。发现政府黑客滥用LNK文件感染具有Stuxnet的Windows机器之后,Chrome开始清理LNK文件。 谷歌告诉卡巴斯基的威胁邮件,它正在解决Chrome中的这个问题。这会影响所有Windows版本的Chrome,包括Windows 10。 Chrome的第二个问题是,一旦下载了SCF文件,它就依赖于Windows的默认行为。正如Stanovic指出的那样,Chrome自动下载它认为安全的文件。 如果用户需要手动运行文件,这种方法可能会很好,但是在Windows中,SCF文件会在Windows文件资源管理器中打开下载目录后立即触发向攻击者SMB服务器进行身份验证的请求。 “没有必要单击或打开下载的文件 - Windows文件资源管理器将自动尝试检索”图标“,”Stankovic说明“。 他对“几个领先的防病毒”的测试发现没有标记下载的SCF文件是危险的。 他写道:“SCF文件分析将很容易实现,因为它只需要检查IconFile参数,考虑到SCF与远程图标位置没有合法的用途。 Chrome用户可以通过禁用自动下载来保护自己。这可以在“设置”中进行,然后选择“显示高级设置”,然后选中“在哪里下载前保存每个文件”选项。 根据Stankovic的说法,这一步骤应该显着降低使用SCF文件的NTLMv2凭据盗窃攻击的风险。 他还建议将SMB流量限制到专用网络,并配置可用于与基于恶意的基于Internet的SMB服务器连接的防火墙端口。

给TA买糖
共{{data.count}}人
人已赞赏
软件百科

若何查看win10系统历程占用内存

2021-9-10 12:38:58

软件百科

win10系统下若何隐藏或显示义务视图按钮的详细步骤

2021-9-10 13:12:19

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索