A Sicherheitslücke in Google Chrome, die vom DefenceCode-Sicherheitsingenieur aufgedeckt wurde Bosko Stankovic, soll es Hackern ermöglichen, Malware auf den PC eines Opfers herunterzuladen, um die Windows-Anmeldedaten von Benutzern zu stehlen und zu starten SMB (Server-Nachrichtenblock) Relay-Angriffe, so Sicherheitsexperten.
Stankovic sagte in einem Blog, dass er den Fehler in einer Standardkonfiguration der neuesten Version von Googles Chrome gefunden habe, die auf einer beliebigen Version von Microsofts Windows-Betriebssystem ausgeführt wird, einschließlich Windows 10. Der Fehler sollte nicht nur IT-en beunruhigen, wie er auch darstellt eine „erhebliche Bedrohung“ für große Unternehmen und sogar regelmäßige Benutzer. Er behauptete auch, dass nur durch den Besuch einer Website mit einem bösartigen SCF (Shell-Befehlsdatei) -Datei, könnte es Opfern ermöglichen, unwissentlich die Anmeldedaten ihres Computers über Chrome und das SMB-Protokoll mit Hackern zu teilen.
Die Angriffstechnik, die den Diebstahl von Anmeldeinformationen ermöglichen kann, ist nicht neu, sondern eine Kombination aus zwei verschiedenen Techniken, von denen eine aus der Stuxnet-Operation stammt (Stuxnet – eine mächtige Malware, die speziell entwickelt wurde, um das iranische Atomprogramm zu zerstören) und die andere aus einer demonstrierten Technik auf einer Black-Hat-Sicherheitskonferenz von zwei Sicherheitsforschern.
Stehlen von Windows-Anmeldeinformationen rund um SCF-Dateien:
Laut Stankovic ist der Angriff ziemlich unkompliziert, bei dem Opfer dazu verleitet werden, auf einen bösartigen Link zu klicken, der einen automatischen der Windows Explorer SCF-Datei auslöst.
„SCF (Shell Command File) ist ein Dateiformat, das einen sehr begrenzten Satz von Windows Explorer-Befehlen unterstützt, mit denen Sie ein Symbol auf Ihrem Desktop definieren können, z. Genau wie LNK-Dateien (Verknüpfungen) rufen SCF-Dateien, wenn sie auf der Festplatte gespeichert werden, eine Symboldatei ab, wenn der Benutzer die Datei in ein Windows Explorer-Fenster lädt.“
Stankovic erklärt, dass es sehr einfach ist, eine SCF-Datei auf die Computer der Benutzer zu bekommen. Dies liegt daran, dass Chrome in seiner Standardkonfiguration automatisch Dateien herunterlädt, die es für sicher hält, ohne den Benutzer nach einem -Speicherort aufzufordern. Google hält SCF-Dateien für sicher und hat keinen Grund, den Benutzer zu einer Aktion aufzufordern.
Die SCF-Datei ruht, bis das Opfer den -Verzeichnisordner öffnet. Danach versucht es, Daten zu exfiltrieren, die mit einem Windows-Symbol auf dem Server des Hackers verknüpft sind. Dadurch erhält der Angreifer wiederum den Benutzernamen und das gehashte wort des Opfers.
„Derzeit muss der Angreifer das Opfer (mit vollständig aktualisiertem Google Chrome und Windows) nur dazu verleiten, seine Website zu besuchen, um fortfahren und die Authentifizierungsdaten des Opfers wiederverwenden zu können“, schrieb Stankovic in einem Blogbeitrag und beschrieb den Fehler.
Besiegen Sie den Diebstahl von Windows-Anmeldeinformationen:
Der Sicherheitsforscher rät den Nutzern, die automatischen s in Google Chrome zu deaktivieren. Dazu muss man in den Einstellungen „Erweiterte Einstellungen anzeigen“ öffnen. Aktivieren Sie dort die Option "Vor dem Herunterladen fragen, wo die einzelnen Dateien gespeichert werden sollen". Diese Änderung zwingt Google, vor dem Herunterladen einer Datei um Ihre Erlaubnis zu bitten, wodurch das Risiko von Angriffen auf den Diebstahl von Anmeldeinformationen mithilfe von SCF-Dateien erheblich verringert würde.
Zu den erweiterten Schutzmaßnahmen gehört das Blockieren ausgehender SMB-Anforderungen vom lokalen Netzwerk an das WAN über Firewalls, sodass lokale Computer keine Remote-SMB-Server abfragen können.
