Os usuários do Google Chrome no Windows devem desativar os downloads automáticos no navegador da Web para proteger os dados de autenticação contra uma nova ameaça descoberta recentemente.
O navegador Chrome é o navegador mais popular no momento em dispositivos de desktop. Ele está configurado para baixar arquivos seguros automaticamente para o sistema do usuário sem aviso por padrão.
Qualquer arquivo baixado pelos usuários do Chrome e aprovado nas verificações de navegação segura do Google será automaticamente direcionado para o diretório de download padrão. Os usuários do Chrome que desejam escolher a pasta de download para downloads precisam alterar esse comportamento nas opções.
O novo ataque, descrito em detalhes no site do Código de Defesa, combina o comportamento de download automático do Chrome com os arquivos do arquivo de comando do Windows Explorer Shell que possuem a extensão .scf.
O formato de duração é um arquivo de texto sem formatação que inclui instruções, geralmente um local para ícones e comandos limitados. O que é particularmente interessante sobre o formato é que ele pode carregar recursos de um servidor remoto.
Ainda mais problemático é o fato de o Windows processar esses arquivos assim que você abrir o diretório em que estão armazenados e de que esses arquivos apareçam sem extensão no Windows Explorer, independentemente das configurações. Isso significa que os invasores podem ocultar facilmente o arquivo atrás de um nome de arquivo disfarçado, como image.jpg.
Os atacantes usam um local do servidor SMB para o ícone. O que acontece então é que o servidor solicita autenticação e que o sistema fornecerá isso. Enquanto os hashes de senha são enviados, os pesquisadores observam que a quebra dessas senhas não deve demorar mais décadas, a menos que sejam complexas.
Com relação à viabilidade de quebra de senha, isso melhorou bastante nos últimos anos com o cracking baseado em GPU. O benchmark hashcat do NetNTLMv2 para uma única placa Nvidia GTX 1080 é de cerca de 1600 MH / s. São 1, 6 bilhões de hashes por segundo. Para uma senha de 8 caracteres, as plataformas GPU de 4 desses cartões podem percorrer todo um espaço de teclas alfanumérico superior / inferior + caracteres especiais mais comumente usados ( # $% &) em menos de um dia. Com centenas de milhões de senhas vazadas resultantes de várias violações nos últimos anos (LinkedIn, Myspace), o cracking baseado em regras da lista de palavras pode produzir resultados surpreendentes em senhas complexas com mais entropia.
A situação é ainda pior para usuários em máquinas Windows 8 ou 10 que se autenticam com uma conta da Microsoft, pois a conta fornecerá ao invasor acesso a serviços on-line, como Outlook, OneDrive ou Office365, se usados pelo usuário. Também existe a chance de a senha ser reutilizada em sites que não sejam da Microsoft.
As soluções antivírus não estão sinalizando esses arquivos no momento.
Aqui está como o ataque desce
- O usuário visita um site que envia uma unidade por download para o sistema do usuário ou faz com que o usuário clique em um arquivo SCF especialmente preparado para que seja baixado.
- Usuário abre o diretório de download padrão.
- O Windows verifica o local do ícone e envia dados de autenticação para o servidor SMB no formato hash.
- Os ataques podem usar listas de senhas ou ataques de força bruta para decifrar a senha.
Como proteger seu sistema contra esse ataque
Uma opção que os usuários do Chrome têm é desativar os downloads automáticos no navegador da web. Isso impede a movimentação por downloads e também pode impedir downloads acidentais de arquivos.
- Carregue chrome: // settings / na barra de endereços do navegador.
- Role para baixo e clique no link "mostrar configurações avançadas".
- Role para baixo até a seção Downloads.
- Marque a preferência "Pergunte onde salvar cada arquivo antes de fazer o download".
O Chrome solicitará um local de download sempre que um download for iniciado no navegador.
Ressalvas
Enquanto você adiciona uma camada de proteção ao manuseio de downloads do Chrome, os arquivos SCF manipulados podem chegar de maneiras diferentes aos sistemas de destino.
Uma opção que os usuários e administradores têm é bloquear as portas usadas pelo tráfego SMB no firewall. A Microsoft possui um guia que você pode usar para isso. A empresa sugere bloquear a comunicação de e para a Internet para as portas SMB 137, 138, 139 e 445.
No entanto, o bloqueio dessas portas pode afetar outros serviços do Windows, como o serviço de fax, spooler de impressão, logon na rede ou compartilhamento de arquivos e impressões.
Agora você : Como você protege suas máquinas contra ameaças SMB / SCF?
