Pengguna Google Chrome di Windows dinasihatkan supaya melumpuhkan muat turun automatik dalam penyemak imbas web untuk melindungi data pengesahan terhadap ancaman baru yang baru-baru ini ditemui.
Penyemak imbas Chrome adalah penyemak imbas paling popular sekarang pada peranti desktop. Ia dikonfigurasikan untuk memuat turun fail selamat secara automatik ke sistem pengguna tanpa diminta secara lalai.
Mana-mana fail yang memuat turun pengguna Chrome yang melepasi semakan pelayaran selamat Google akan mendarat dalam direktori muat turun lalai secara automatik. Pengguna Chrome yang ingin memilih folder muat turun bukan untuk muat turun perlu menukar tingkah laku itu dalam pilihan.
Serangan baru, diterangkan dengan terperinci pada laman web Kod Pertahanan, menggabungkan tingkah laku muat turun automatik Chrome dengan fail Fail Perintah Shell Windows Explorer yang mempunyai sambungan fail .scf.
Format penuaan adalah fail teks biasa yang merangkumi arahan, biasanya lokasi ikon dan arahan terhad. Apa yang menarik mengenai format ialah ia boleh memuatkan sumber dari pelayan jauh.
Malah lebih bermasalah adalah hakikat bahawa Windows akan memproses fail-fail ini sebaik sahaja anda membuka direktori yang disimpan, dan fail-fail ini muncul tanpa sambungan dalam Windows Explorer tanpa mengira tetapan. Ini bermakna penyerang boleh dengan mudah menyembunyikan fail di belakang nama fail tersembunyi seperti image.jpg.
Penyerang menggunakan lokasi pelayan SMB untuk ikon. Apa yang berlaku kemudian ialah permintaan pelayan pengesahan, dan sistem itu akan memberikannya. Walaupun hash kata laluan dikemukakan, para penyelidik menyedari bahawa retak kata laluan tersebut tidak boleh mengambil masa beberapa dekad lagi kecuali mereka jenis yang kompleks.
Mengenai kebocoran kata laluan kemungkinan, ini bertambah baik dalam beberapa tahun yang lalu dengan retak yang berasaskan GPU. Penanda aras hashcat NetNTLMv2 untuk satu kad Nvidia GTX 1080 tunggal adalah sekitar 1600 MH / s. Itulah 1.6 bilion hash per saat. Untuk kata laluan 8 karakter, pelantar GPU sebanyak 4 kad tersebut boleh melalui ruang utama aksara alfanumerik atas / bawah + aksara khas yang paling biasa digunakan ( # $% &) dalam masa kurang dari satu hari. Dengan beratus-ratus juta kata laluan yang bocor akibat daripada beberapa pelanggaran pada tahun-tahun yang lalu (LinkedIn, Myspace), wordlist crack berasaskan peraturan dapat menghasilkan hasil mengejutkan terhadap kata laluan yang kompleks dengan lebih banyak entropi.
Keadaan ini lebih buruk lagi bagi pengguna di Windows 8 atau 10 mesin yang mengesahkan dengan akaun Microsoft, kerana akaun itu akan menyediakan penyerang dengan akses kepada perkhidmatan dalam talian seperti Outlook, OneDrive, atau Office365 jika digunakan oleh pengguna. Terdapat juga peluang kata laluan digunakan semula di laman bukan Microsoft.
Penyelesaian antivirus tidak memasukkan fail ini sekarang.
Berikut adalah cara serangan itu berlaku
- Pengguna melawat laman web yang sama ada menolak pemacu dengan memuat turun ke sistem pengguna, atau mendapat pengguna untuk mengklik pada fail SCF yang disediakan khas supaya ia dimuat turun.
- Pengguna membuka direktori muat turun lalai.
- Windows menyemak lokasi ikon, dan menghantar data pengesahan ke pelayan SMB dalam format hashed.
- Serangan boleh menggunakan senarai kata laluan atau serangan kekerasan untuk memecahkan kata laluan.
Bagaimana untuk melindungi sistem anda daripada serangan ini
Satu pilihan yang dimiliki oleh pengguna Chrome adalah untuk menyahdayakan muat turun automatik dalam penyemak imbas web. Ini menghalang pemacu oleh muat turun, dan juga boleh menghalang muat turun fail secara tidak sengaja.
- Muatkan chrome: // settings / dalam bar alamat penyemak imbas.
- Tatal ke bawah dan klik pada pautan "tunjukkan tetapan lanjutan".
- Tatal ke bahagian Muat turun.
- Semak pilihan "Tanya di mana hendak menyimpan setiap fail sebelum dimuat turun".
Chrome akan meminta anda untuk mendapatkan lokasi muat turun setiap kali muat turun dimulakan dalam penyemak imbas.
Kaunter
Walaupun anda menambah lapisan perlindungan ke muat turun muat turun Chrome, fail SCF yang dimanipulasi mungkin mendarat dengan cara yang berbeza pada sistem sasaran.
Satu pilihan yang dimiliki oleh pengguna dan pentadbir ialah menghalang pelabuhan yang digunakan oleh trafik SMB dalam firewall. Microsoft mempunyai panduan yang boleh anda gunakan untuk itu. Syarikat itu mencadangkan untuk menyekat komunikasi dari dan ke Internet ke pelabuhan SMB 137, 138, 139 dan 445.
Menyekat pelabuhan ini mungkin menjejaskan perkhidmatan Windows lain seperti perkhidmatan Fax, spooler cetak, logon bersih, atau perkongsian fail dan cetak.
Sekarang Anda : Bagaimana anda melindungi mesin anda terhadap ancaman SMB / SCF?
