Windowsin Google Chrome -käyttäjiä kehotetaan poistamaan käytöstä automaattiset lataukset selaimessa autentikointitietojen suojaamiseksi äskettäin löydetyltä uhkalta.
Chrome-selain on tällä hetkellä suosituin selain työpöytälaitteissa. Se on määritetty lataamaan turvalliset tiedostot automaattisesti käyttöjärjestelmään ilman oletusarvoista kehotusta.
Kaikki Chromen käyttäjien lataamat tiedostot, jotka läpäisevät Googlen turvalliset selaustarkistukset, laskeutuvat automaattisesti oletuslataushakemistoon. Chromen käyttäjien, jotka haluavat valita latauskansion lataamisen sijaan, on muutettava tämä käyttäytyminen vaihtoehdoissa.
Uusi hyökkäys, joka on kuvattu yksityiskohtaisesti Defense Code -sivustolla, yhdistää Chromen automaattisen latauskäyttäytymisen Windows Explorer -sovelluksen komentotiedostotiedostoihin, joilla on .scf-tiedostotunniste.
Vanhenemismuoto on tavallinen tekstitiedosto, joka sisältää ohjeita, yleensä kuvakkeen sijainnin ja rajoitetut komennot. Erityisen mielenkiintoista muodossa on, että se saattaa ladata resursseja etäpalvelimelta.
Vielä ongelmallisempaa on se, että Windows käsittelee nämä tiedostot heti, kun avaat hakemiston, johon ne on tallennettu, ja että nämä tiedostot näkyvät ilman laajennusta Windows Explorerissa asetuksista riippumatta. Tämä tarkoittaa, että hyökkääjät voivat helposti piilottaa tiedoston piilotetun tiedostonimen, kuten image.jpg, taakse.
Hyökkääjät käyttävät SMB-palvelimen sijaintia kuvakkeessa. Sitten tapahtuu, että palvelin pyytää todennusta ja että järjestelmä toimittaa sen. Vaikka salasanan tiivisteitä toimitetaan, tutkijat huomauttavat, että näiden salasanojen murtamiseen ei saisi enää kulua vuosikymmeniä, elleivät ne ole monimutkaisia.
Salasanan murtamisen toteutettavuudessa tämä parani huomattavasti viime vuosina GPU-pohjaisen krakkauksen avulla. NetNTLMv2-hashcat-vertailuarvo yhdelle Nvidia GTX 1080 -kortille on noin 1600 MH / s. Se on 1, 6 miljardia hashia sekunnissa. Jos kyseessä on 8-merkkinen salasana, 4 tällaisen kortin GPU-ohjelmat voivat käydä läpi ylemmän / alemman aakkosnumeerisen + yleisimmin käytettyjen erikoismerkkien ( # $% &) koko avaintyylin alle päivässä. Satojen miljoonien vuotaneiden salasanojen seurauksena useista viime vuosien rikkomuksista (LinkedIn, Myspace), sanalistan sääntöpohjainen hakkerointi voi tuottaa yllättäviä tuloksia monimutkaisissa salasanoissa, joissa on enemmän entropiaa.
Tilanne on vielä huonompi Windows 8- tai 10-koneiden käyttäjille, jotka todentavat käyttäjän Microsoft-tilillä, koska tili antaa hyökkääjälle pääsyn verkkopalveluihin, kuten Outlook, OneDrive tai Office365, jos käyttäjä käyttää niitä. On myös mahdollista, että salasanaa käytetään uudelleen muissa kuin Microsoftin sivustoissa.
Virustentorjuntaratkaisut eivät merkitse näitä tiedostoja tällä hetkellä.
Näin hyökkäys vähenee
- Käyttäjä vierailee verkkosivustolla, joka joko ajaa aseman lataamalla käyttöjärjestelmään, tai saa käyttäjän napsauttamaan erityisesti valmisteltua SCF-tiedostoa, jotta se ladataan.
- Käyttäjä avaa oletuslataushakemiston.
- Windows tarkistaa kuvakkeen sijainnin ja lähettää todennustiedot SMB-palvelimelle hajautetussa muodossa.
- Hyökkäykset voivat käyttää salasanaluetteloita tai raakoja voimahyökkäyksiä salasanan murtamiseen.
Kuinka suojata järjestelmäsi tältä hyökkäykseltä
Yksi Chromen käyttäjien vaihtoehto on estää automaattiset lataukset verkkoselaimessa. Tämä estää tiedostojen lataamisen ja voi myös estää tiedostojen vahingossa tapahtuvan lataamisen.
- Lataa kromi: // asetukset / selaimen osoiteriville.
- Vieritä alas ja napsauta "Näytä lisäasetukset" -linkkiä.
- Vieritä alas Lataukset-osioon.
- Tarkista asetus "Kysy, mihin tiedostot tallennetaan ennen lataamista".
Chrome kysyy latauspaikkaa joka kerta, kun lataus aloitetaan selaimessa.
varoitukset
Vaikka lisäät suojakerroksen Chromen latausten käsittelyyn, manipuloidut SCF-tiedostot voivat laskeutua eri tavoin kohdejärjestelmiin.
Yksi käyttäjien ja järjestelmänvalvojien vaihtoehto on estää SMB-liikenteen käyttämät portit palomuurissa. Microsoftilla on opas, jota voit käyttää siihen. Yhtiö ehdottaa viestinnän estämistä Internetistä SMB-portteihin 137, 138, 139 ja 445 ja Internetiin.
Näiden porttien estäminen voi vaikuttaa muihin Windows-palveluihin, kuten faksipalvelu, tulostustulostin, verkkoon kirjautuminen tai tiedostojen ja tulosteiden jakaminen.
Nyt sinä : Kuinka suojaat koneesi SMB / SCF-uhilta?
