www.anti-virus.by  / пресс-центр / новости иб ENGНа главнуюНаписать письмоПоискКарта сайта
 ВирусБлокАда 
ПОИСК ПО САЙТУ
Перейти к просмотру корзины В корзине:
0 прод.
 
 
 

НОВОСТИ ИБ

 

19 мая 2017

Логины и пароли от Windows можно украсть с помощью функции «свернуть все окна»

Разработчики Google Chrome работают над исправлением серьезной ошибки в браузере, которая позволяет красть логины и пароли. Проблема заключается в обработке файлов с расширением .SCF самим браузером и операционной системой Windows.

Опасность антикварного файла .SCF

Компания Defense Code опубликовала исследование уязвимости, затрагивающей одновременно браузер Chrome и операционную систему Windows. Эта уязвимость в теории позволяет красть пользовательские логины и пароли к самой системе и связанным с ней ресурсам: Office 365, Office Online, Skype, Xbox Live и другими.

Источником проблемы является способ обработки Chrome и Windows файлов антикварного формата Shell Command File (.SCF).

Формат SCF впервые был реализован в Windows 98. Наиболее известным примером применения этого формата была команда «Свернуть все окна» (во всех системах вплоть до Windows XP). В целом, .SCF - это текстовый файл с командами на сворачивание всех окон или запуск «Проводника» Windows. Он также содержит отсылку к местоположению соответствующей иконки (параметр IconFile).

Как и в случае с печально известными файлами Windows LNK, уязвимость в которых использовал Stuxnet, когда папка с файлом .SCF открывается в «Проводнике», операционная система автоматически пытается вызвать иконку, где бы та ни располагалась. Местом, где расположена иконка, может быть как локальный ресурс, так и удаленный SMB-сервер, контролируемый злоумышленниками.

Для успешной атаки злоумышленнику необходимо будет заставить потенциальную жертву скачать файл с расширением .SCF на свой компьютер. Необходимо отметить, что Windows всегда показывает файлы .SCF без расширения, вне зависимости от настроек Проводника. То есть, файл вида picture.jpg.scf в «Проводнике» Windows в любом случае будет виден как picture.jpg. Это дает злоумышленникам дополнительные козыри.


Иконка .SCF-файла, в данном случае расположенная на рабочем столе Windows

По умолчанию все скачиваемые через Chrome файлы попадают в папку /Downloads. Пользователю будет достаточно открыть ее в «Проводнике», чтобы находящийся там файл .SCF попытался обратиться к ресурсу, указанному в его параметре IconFile.

«Указание в качестве места размещения иконки удаленный SMB-сервер - это известный вектор атаки, который эксплуатирует функции автоматической авторизации Windows при обращении к таким сервисам, как удаленные файлообменные ресурсы. В чем же разница между LNK И SCF, с точки зрения злоумышленника? Chrome со времен Stuxnet "очищает" LNK-файлы, принудительно добавляя к ним расширение .download, однако с SCF-файлами ничего подобного не происходит», - говорится в описании проблемы.

Как пишут исследователи, злоумышленники могут настроить удаленный SMB-сервер так, что он будет перехватывать имя пользователя Windows и хэш пароля (в формате NTLMv2).

Этот хэш затем можно либо попытаться взломать брутфорсом, либо перенаправить на другой сервис, поддерживающий аналогичную авторизацию, например Microsoft Exchange. Это позволит злоумышленнику выдавать себя за жертву, даже не зная пароля.

Вред ограничен, но не сильно

Как указывают исследователи, захэшированные пароли, конечно, еще потребуется взламывать, однако все большее распространение сегодня получает метод брутфорса с использованием графических карт, таких как Nvidia GTX 1080. Такая карта может перебирать до 1,6 млрд хэшей в секунду. Связка четырех таких карт может перебрать все возможные комбинации (то есть все буквы, цифры и специальные символы) менее чем за день, - говорится в публикации Defense Code.

Там же указывается, что для атаки на Windows XP и сети, в которых активирована обратная совместимость с NTLMv1, взлом паролей вообще не нужен, достаточно только перехватить хэш.

Исследователи также отметили, что они проверили, как на вредоносные .SCF-файлы реагируют несколько «ведущих» антивирусных решений. Ответ оказался прост: никак.

«Ни одно из испробованных решений не отметили ничего подозрительного; мы надеемся, что это скоро измеится. Анализ файла SCF на вредоносность реализовать легко: достаточно проверять параметр IconFile, поскольку, в конечном счете, не существует случаев, когда обращение к удаленному ресурсу со стороны SCF-файла может быть легитимным», - указывают исследователи.

Представители Google подтвердили наличие проблемы и заявили, что работают над ее решением.

Источник


Все новости | Ноябрь 2017 | Октябрь 2017 | Сентябрь 2017 | Август 2017 | Июль 2017 | Июнь 2017 | Май 2017 | Апрель 2017 | Март 2017 | Февраль 2017 | Август 2014 | Март 2014 | Февраль 2014 | Январь 2014 | Декабрь 2013 | Ноябрь 2013 | Октябрь 2013 | Сентябрь 2013 | Январь 2013 | Декабрь 2012 | Ноябрь 2012 | Октябрь 2012 | Сентябрь 2012 | Август 2012 | Июль 2012 | Июнь 2012 | Май 2012 | Апрель 2012 | Март 2012 | Февраль 2012 | Январь 2012 | Декабрь 2011 | Ноябрь 2011 | Октябрь 2011 | Сентябрь 2011 | Август 2011 | Июль 2011 | Июнь 2011 | Май 2011 | Сентябрь 2010 | Август 2010 | Июль 2010 | Июнь 2010 | Май 2010 | Апрель 2010 | Март 2010 | Февраль 2010 | Январь 2010 | Декабрь 2009 | Ноябрь 2009 | Октябрь 2009 | Сентябрь 2009 | Август 2009 | Июль 2009 | Июнь 2009 | Май 2009 | Апрель 2009 | Март 2009 | Февраль 2009 | Январь 2009 | Декабрь 2008 | Ноябрь 2008 | Октябрь 2008 | Сентябрь 2008 | Август 2008 | Июль 2008 | Июнь 2008 | Май 2008 | Апрель 2008 | Март 2008 | Февраль 2008 | Январь 2008 | Декабрь 2007 | Ноябрь 2007 | Октябрь 2007 | Сентябрь 2007 | Август 2007 | Июль 2007 | Июнь 2007 | Май 2007 | Апрель 2007 | Март 2007 | Февраль 2007 | Январь 2007 | Ноябрь 2006 | Октябрь 2006 | Сентябрь 2006 | Август 2006 | Июль 2006 | Июнь 2006 | Май 2006 | Апрель 2006 | Март 2006 | Февраль 2006 | Январь 2006 | Декабрь 2005 | Ноябрь 2005 | Октябрь 2005 | Сентябрь 2005 | Август 2005 | Июль 2005 | Июнь 2005 | Май 2005 | Апрель 2005 | Март 2005 | Апрель 2004 | Март 2004 | Февраль 2004
 
КОНТАКТЫ
220088, РБ, Минск, ул. Смоленская, 15 — 803б
телефон: (+375 17) 294-84-29 (коммерческий отдел)
телефон: (+375 17) 290-59-29 (технический отдел)
E-mail: info@anti-virus.by
Прислать вирус: feedback@anti-virus.by
Для персонального компьютераДля рабочей станции в сетиСредство программное КАНОЭКонсольный сканерДля файловых серверовАвтоматизированное управление и обновлениеЗащита почтовых системЗащита интернет-шлюзовПрограммное средство АркитУтилитыКорзинаКупить
Антивирус
Антивирус на месяцИмпортозамещениеПоддержка образованияПоддержка медициныДисконтная система «Клубная карта ХК «Динамо-Минск»
Основные сведенияБлогЛицензии и сертификатыКлиентыПартнерыУслугиВакансии
Новости компанииПродукты и обновленияНовости ИБПресс-китПодписка на рассылку
БеларусьУкраинаБолгарияВеликобританияГонконгИранКитайЛатвияПольшаРумынияЯпонияПриглашение к сотрудничеству