„Google Chrome“ vartotojams „Windows“ patariama išjungti automatinius atsisiuntimus žiniatinklio naršyklėje, kad būtų apsaugoti autentifikavimo duomenys nuo naujos, neseniai aptiktos grėsmės.
„Chrome“ naršyklė šiuo metu yra pati populiariausia naršyklė staliniuose įrenginiuose. Jis sukonfigūruotas taip, kad pagal numatytuosius nustatymus automatiškai atsiųstų saugius failus į vartotojo sistemą be raginimo.
Bet kuris failas, kurį „Chrome“ vartotojai atsisiunčia ir kuris patikrina „Google“ saugaus naršymo patikrinimus, automatiškai patenka į numatytąjį atsisiuntimo katalogą. „Chrome“ vartotojams, kurie nori pasirinkti atsisiuntimo aplanką, o ne atsisiųsti, reikia pakeisti tokį elgesį pasirenkant.
Nauja ataka, išsamiai aprašyta Gynybos kodo svetainėje, sujungia „Chrome“ automatinio atsisiuntimo elgseną su „Windows Explorer“ „Shell“ komandos failų failais, turinčiais .scf failo plėtinį.
Senėjimo formatas yra paprasto teksto failas, kuriame yra instrukcijos, paprastai piktogramos vieta ir ribotos komandos. Ypač įdomu formatas yra tai, kad jis gali įkelti išteklius iš nuotolinio serverio.
Dar problemiškiau yra tai, kad „Windows“ apdoros šiuos failus, kai tik atidarysite katalogą, kuriame jie yra saugomi, ir kad šie failai „Windows Explorer“ rodomi be plėtinių, nepaisant nustatymų. Tai reiškia, kad užpuolikai galėjo lengvai paslėpti failą užmaskuotu failo pavadinimu, pavyzdžiui, image.jpg.
Užpuolikai piktogramai naudoja SMB serverio vietą. Tada atsitinka, kad serveris prašo autentifikavimo, ir kad sistema tai pateiks. Kol pateikiami slaptažodžių maišos, tyrėjai pažymi, kad tų slaptažodžių nulaužimas neturėtų užtrukti dešimtmečių, nebent jie būtų sudėtingo pobūdžio.
Kalbant apie slaptažodžių krekingo galimybes, tai pastaraisiais metais labai pagerėjo, naudojant krekingą GPU pagrindu. „NetNTLMv2“ maišos etalonas vienai „Nvidia GTX 1080“ kortelei yra maždaug 1600 MH / s. Tai 1, 6 milijardo maišos per sekundę. Jei norite naudoti 8 ženklų slaptažodį, 4 tokių kortelių GPU įrenginiai per mažiau nei dieną gali peržengti visą viršutinės / apatinės raidinių ir skaitmeninių klavišų erdvę + dažniausiai naudojamus specialiuosius simbolius ( # $% &). Su šimtais milijonų nutekėjusių slaptažodžių, atsirandančių dėl kelių pažeidimų per pastaruosius metus („LinkedIn“, „Myspace“), žodžių sąrašų taisyklėmis paremtas nulaužimas gali duoti stebėtinų rezultatų prieš sudėtingesnius slaptažodžius, turinčius daugiau entropijos.
Padėtis dar blogesnė vartotojams, turintiems „Windows 8“ ar 10 kompiuterių, kurie autentifikuoja „Microsoft“ paskyrą, nes sąskaita suteiks užpuolikui prieigą prie internetinių paslaugų, tokių kaip „Outlook“, „OneDrive“ ar „Office365“, jei vartotojas ja naudojasi. Taip pat yra tikimybė, kad slaptažodis bus pakartotinai naudojamas ne „Microsoft“ svetainėse.
Antivirusiniai sprendimai šių failų nepažymėjo.
Štai kaip ataka mažėja
- Vartotojas apsilanko svetainėje, kuri arba nuspaudžia diską, atsisiųsdama į vartotojo sistemą, arba priverčia vartotoją spustelėti specialiai parengtą SCF failą, kad jis būtų atsiųstas.
- Vartotojas atidaro numatytąjį atsisiuntimo katalogą.
- „Windows“ patikrina piktogramos vietą ir persiunčiamu forma siunčia į SMB serverį autentifikavimo duomenis.
- Išpuoliams slaptažodžiui nulaužti gali būti naudojami slaptažodžių sąrašai arba žiaurios jėgos išpuoliai.
Kaip apsaugoti savo sistemą nuo šios atakos
Viena iš „Chrome“ vartotojų galimybių yra išjungti automatinius atsisiuntimus žiniatinklio naršyklėje. Tai neleidžia atsisiųsti failų, taip pat gali neleisti atsitiktinai atsisiųsti failus.
- Įkelkite „chrome“: // nustatymai / į naršyklės adreso juostą.
- Slinkite žemyn ir spustelėkite nuorodą „rodyti išplėstinius nustatymus“.
- Slinkite žemyn iki skilties Siuntiniai.
- Patikrinkite nuostatą „Klauskite, kur išsaugoti kiekvieną failą prieš atsisiųsdami“.
„Chrome“ paprašys jūsų atsisiųsti vietą kiekvieną kartą, kai naršyklėje pradedamas atsisiuntimas.
Įspėjimai
Kol pridedate apsaugą „Chrome“ tvarkydami atsisiuntimus, manipuliuojami SCF failai gali skirtingai nusileisti tikslinėse sistemose.
Viena iš galimybių, kurią turi vartotojai ir administratoriai, yra blokuoti prievadus, kuriuos naudoja SMB srautas ugniasienėje. „Microsoft“ turi vadovą, kurį galite naudoti tam. Bendrovė siūlo blokuoti ryšį iš ir į internetą į SMB prievadus 137, 138, 139 ir 445.
Šių prievadų blokavimas gali turėti įtakos kitoms „Windows“ paslaugoms, tokioms kaip fakso paslauga, spausdinimo rutulys, prisijungimas prie tinklo arba failų ir spausdinimo bendrinimas.
Dabar jūs : kaip apsaugote savo mašinas nuo SMB / SCF grėsmių?
