Продемонстрирован метод хищения учетных данных Windows с помощью Google Chrome

image

Теги: Windows, учетные данные, Google Chrome

Злоумышленники могут использовать SCF-файлы, чтобы заставить Windows отправить данные аутентификации на удаленный SMB-сервер.

За последние несколько лет исследователи в области безопасности неоднократно демонстрировали атаки, предполагающие эксплуатацию сетевого протокола SMB в Windows для хищения учетных данных. Как правило, представленные методы затрагивают браузеры Internet Explorer и Edge. Эксперт компании DefenseCode Боско Станкович (Bosko Stankovic) описал метод, позволяющий похитить учетные данные, используя браузер Google Chrome.

По умолчанию Google Chrome автоматически загружает файлы, которые считает безопасными. С точки зрения безопасности такое поведение не является идеальным, но даже в случае, если браузер не заметит вредоносный контент, для выполнения вредоносных действий файл должен быть вручную открыт или запущен пользователем. Тем не менее, отмечает исследователь, злоумышленники могут использовать типы файлов, не требующих участия пользователя для выполнения вредоносных действий. Речь идет о сравнительно малоизвестном формате SCF (.scf). Файлы с таким расширением являются командными файлами оболочки Windows и используются для различных целей, например создания файла для открытия Проводника:


Проблема заключается в том, что в отличие от LNK-файлов Chrome не проводит очистку файлов с расширением .scf. По словам специалиста, SCF-файл, который может использоваться для того, чтобы заставить Windows отправить данные аутентификации на удаленный SMB-сервер, содержит всего две строки:


Таким образом, в руки атакующего попадет логин жертвы, домен и NTLMv2-хэш, как показано в примере ниже:


После того как хэш перехвачен, злоумышленник при помощи радужных таблиц (rainbow tables) хэшей предопределенных паролей может подобрать пароль жертвы.

Примечательно, что ни один из протестированных исследователем антивирусов не счел созданный им SCF-файл подозрительным.

Для того чтобы перехватить учетные данные, злоумышленнику просто потребуется заманить жертву на подконтрольный ему web-сайт. Даже если пользователь не обладает повышенными правами (например, администратора), атакующий может получить доступ к корпоративной сети под видом сотрудника компании и осуществить атаки на других пользователей, либо получить доступ к IT-ресурсам.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.