Si consiglia agli utenti di Google Chrome su Windows di disabilitare i download automatici nel browser Web per proteggere i dati di autenticazione da una nuova minaccia scoperta di recente.
Il browser Chrome è il browser più popolare in questo momento su dispositivi desktop. È configurato per scaricare automaticamente i file sicuri nel sistema dell'utente senza richiesta di default.
Qualsiasi file scaricato dagli utenti di Chrome che supera i controlli di navigazione sicura di Google verrà automaticamente inserito nella directory di download predefinita. Gli utenti di Chrome che desiderano invece selezionare la cartella di download per i download devono modificare tale comportamento nelle opzioni.
Il nuovo attacco, descritto in dettaglio sul sito Web del Codice di difesa, combina il comportamento del download automatico di Chrome con i file del file di comando della shell di Windows Explorer con estensione .scf.
Il formato di invecchiamento è un file di testo semplice che include istruzioni, in genere una posizione dell'icona e comandi limitati. La cosa particolarmente interessante del formato è che può caricare risorse da un server remoto.
Ancora più problematico è il fatto che Windows elaborerà questi file non appena si apre la directory in cui sono memorizzati e che questi file appaiono senza estensione in Esplora risorse indipendentemente dalle impostazioni. Ciò significa che gli aggressori potrebbero facilmente nascondere il file dietro un nome file mascherato come image.jpg.
Gli aggressori utilizzano un'ubicazione del server SMB per l'icona. Quello che succede allora è che il server richiede l'autenticazione e che il sistema lo fornirà. Mentre gli hash delle password vengono inviati, i ricercatori notano che decifrare quelle password non dovrebbe richiedere più decenni se non sono del tipo complesso.
Per quanto riguarda la fattibilità del cracking delle password, questo è notevolmente migliorato negli ultimi anni con il cracking basato su GPU. Il benchmark hashcat NetNTLMv2 per una singola scheda Nvidia GTX 1080 è di circa 1600 MH / s. Sono 1, 6 miliardi di hash al secondo. Per una password di 8 caratteri, i rig GPU di 4 carte di questo tipo possono passare in un intero spazio di chiavi alfanumerico superiore / inferiore + caratteri speciali più comunemente usati ( # $% &) in meno di un giorno. Con centinaia di milioni di password trapelate risultanti da diverse violazioni negli ultimi anni (LinkedIn, Myspace), il cracking basato su regole dell'elenco di parole può produrre risultati sorprendenti contro password complesse con più entropia.
La situazione è ancora peggiore per gli utenti su macchine Windows 8 o 10 che eseguono l'autenticazione con un account Microsoft, poiché l'account fornirà all'autore dell'attacco l'accesso a servizi online come Outlook, OneDrive o Office365 se utilizzato dall'utente. È inoltre possibile che la password venga riutilizzata su siti non Microsoft.
Le soluzioni antivirus non stanno segnalando questi file in questo momento.
Ecco come l'attacco si abbassa
- L'utente visita un sito Web che invia un'unità tramite download al sistema dell'utente o fa in modo che l'utente faccia clic su un file SCF appositamente preparato in modo che venga scaricato.
- L'utente apre la directory di download predefinita.
- Windows controlla la posizione dell'icona e invia i dati di autenticazione al server SMB in formato con hash.
- Gli attacchi possono utilizzare elenchi di password o attacchi di forza bruta per decifrare la password.
Come proteggere il tuo sistema da questo attacco
Un'opzione che gli utenti di Chrome hanno è quella di disabilitare i download automatici nel browser web. Ciò impedisce l'unità mediante download e può anche impedire download accidentali di file.
- Carica chrome: // settings / nella barra degli indirizzi del browser.
- Scorri verso il basso e fai clic sul link "mostra impostazioni avanzate".
- Scorri verso il basso fino alla sezione Download.
- Controlla la preferenza "Chiedi dove salvare ogni file prima di scaricarlo".
Chrome ti chiederà una posizione per il download ogni volta che viene avviato un download nel browser.
Avvertenze
Mentre aggiungi un livello di protezione alla gestione dei download di Chrome, i file SCF manipolati possono atterrare in modi diversi sui sistemi di destinazione.
Un'opzione che utenti e amministratori hanno è di bloccare le porte utilizzate dal traffico SMB nel firewall. Microsoft ha una guida che puoi usare per questo. La società suggerisce di bloccare la comunicazione da e verso Internet alle porte SMB 137, 138, 139 e 445.
Il blocco di queste porte può influire su altri servizi Windows, ad esempio il servizio fax, lo spooler di stampa, l'accesso alla rete o la condivisione di file e stampanti.
Ora tu : come proteggi i tuoi computer dalle minacce SMB / SCF?
