События

Продемонстрирован метод хищения учетных данных Windows с помощью Google Chrome

Продемонстрирован метод хищения учетных данных Windows с помощью Google Chrome

За последние несколько лет исследователи в области безопасности неоднократно демонстрировали атаки, предполагающие эксплуатацию сетевого протокола SMB в Windows для хищения учетных данных. Как правило, представленные методы затрагивают браузеры Internet Explorer и Edge. Эксперт компании DefenseCode Боско Станкович (Bosko Stankovic) описал метод, позволяющий похитить учетные данные, используя браузер Google Chrome.

По умолчанию Google Chrome автоматически загружает файлы, которые считает безопасными. С точки зрения безопасности такое поведение не является идеальным, но даже в случае, если браузер не заметит вредоносный контент, для выполнения вредоносных действий файл должен быть вручную открыт или запущен пользователем. Тем не менее, отмечает исследователь, злоумышленники могут использовать типы файлов, не требующих участия пользователя для выполнения вредоносных действий. Речь идет о сравнительно малоизвестном формате SCF (.scf). Файлы с таким расширением являются командными файлами оболочки Windows и используются для различных целей, например создания файла для открытия Проводника:

Продемонстрирован метод хищения учетных данных Windows с помощью Google Chrome

Проблема заключается в том, что в отличие от LNK-файлов Chrome не проводит очистку файлов с расширением .scf. По словам специалиста, SCF-файл, который может использоваться для того, чтобы заставить Windows отправить данные аутентификации на удаленный SMB-сервер, содержит всего две строки:

Продемонстрирован метод хищения учетных данных Windows с помощью Google Chrome

Таким образом, в руки атакующего попадет логин жертвы, домен и NTLMv2-хэш, как показано в примере ниже:

Продемонстрирован метод хищения учетных данных Windows с помощью Google Chrome

После того как хэш перехвачен, злоумышленник при помощи радужных таблиц (rainbow tables) хэшей предопределенных паролей может подобрать пароль жертвы.

Примечательно, что ни один из протестированных исследователем антивирусов не счел созданный им SCF-файл подозрительным.

Для того чтобы перехватить учетные данные, злоумышленнику просто потребуется заманить жертву на подконтрольный ему web-сайт. Даже если пользователь не обладает повышенными правами (например, администратора), атакующий может получить доступ к корпоративной сети под видом сотрудника компании и осуществить атаки на других пользователей, либо получить доступ к IT-ресурсам.

Источник

Автор: Сергей Куприянов
16.05.2017 (15:13)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.