當心黑客可以使用Chrome遠程竊取你的Windows密碼
但為什么你的Windows PC會自動將你的憑據移交給服務器?
DefenseCode的研究員博斯科·斯坦科維奇(Bosko Stankovic)發現,只要訪問一個包含惡意SCF文件的網站,受害者就可以在不知不覺中通過Chrome和SMB協議與黑客共享其計算機的登錄憑據。
這項技術并不是新技術,而是由樹樁網— 一個專門設計用來摧毀伊朗核計劃的強大惡意軟件,使用Windows快捷方式LNK文件破壞系統。
與其他攻擊不同的是,這種SMB身份驗證相關的攻擊是繼IE和Edge之后首次在Google Chrome上公開展示的。
Chrome+SCF+SMB=竊取Windows憑據
SCF(Shell Command File)快捷方式文件格式的工作原理與LNK文件類似,旨在支持一組有限的Windows資源管理器命令,幫助定義桌面上的圖標,例如“我的電腦”和“回收站”。
斯坦科維奇在一篇描述該漏洞的博客文章中寫道:“目前,攻擊者只需誘使受害者(使用完全更新的谷歌Chrome和Windows)訪問他的網站,就可以繼續使用受害者的身份驗證憑據”。
基本上,桌面上的快捷鏈接是一個文本文件,具有特定的shell代碼語法,用于定義圖標/縮略圖的位置、應用程序的名稱及其位置。
由于Chrome信任Windows SCF文件,攻擊者可以誘使受害者訪問其網站,其中包含惡意創建的快捷方式文件,該文件會自動下載到目標系統上,而無需提示用戶確認。
一旦用戶打開包含下載文件的文件夾,無論是立即打開還是稍后打開,該文件都會自動運行以檢索圖標,而無需用戶單擊它。
但是,攻擊者創建的惡意SCF文件沒有設置圖標圖像的位置,而是包含遠程SMB服務器的位置(由攻擊者控制)。
因此,一旦SCF文件試圖檢索圖標圖像,它就會通過SMB協議與攻擊者控制的遠程服務器進行自動身份驗證,交出受害者的用戶名和哈希密碼版本,允許攻擊者使用您的憑據對您的個人計算機或網絡資源進行身份驗證。
斯坦科維奇說:“在遠程SMB服務器上設置圖標位置是一個已知的攻擊向量,它在訪問遠程文件共享之類的服務時濫用Windows自動認證功能。
但在Stuxnet攻擊之后,微軟強迫LNK文件僅從本地資源加載圖標,這樣它們就不會再容易受到此類攻擊的攻擊,從而從外部服務器加載惡意代碼。
然而,SCF文件被單獨留下。
通過SCF文件利用LM/NTLM哈希身份驗證
圖片來源:SANS
如果您不知道,這就是通過服務器消息塊(SMB)協議與NTLM質詢/響應身份驗證機制結合使用的方式。
簡而言之,LM/NTLM身份驗證分為4個步驟:
- Windows用戶(客戶端)嘗試登錄到服務器。
- 服務器用質詢值進行響應,要求用戶使用其哈希密碼加密質詢值并將其發送回。
- Windows通過向服務器發送客戶端的用戶名和密碼的哈希版本來處理SCF請求。
- 然后,如果客戶端的哈希密碼正確,服務器將捕獲該響應并批準身份驗證。
現在,在Stankovic詳細闡述的SCF攻擊場景中,Windows將嘗試通過向服務器提供受害者的用戶名和NTLMv2密碼哈希(個人計算機或網絡資源),自動向惡意SMB服務器進行身份驗證,如上述步驟3所述。
如果用戶是公司網絡的一部分,則其公司的系統管理員分配給該用戶的網絡憑據將發送給攻擊者。
如果受害者是家庭用戶,受害者的Windows用戶名和密碼將被發送給攻擊者。
[*] SMB Captured - 2017-05-15 13:10:44 +0200
從173.203.29.182:62521-173.203.29.182捕獲的NTLMv2響應
用戶:Bosko域:主操作系統:LM:
LMHASH:禁用
LM_客戶端_挑戰:已禁用
NTHASH:98daf39c3a253bbe4a289e7a746d4b24
NT_客戶_挑戰:010100000000000E5F83E06FCDD201CCF26D91CD9E326E000000000200000000000
00000000000
Bosko::Master:112233455667788:98daf39c3a253bbe4a289e7a746d4b24:010100000000000E5F83E06FCDD201CCF26D91CD9E326E0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
毫無疑問,這些憑證是加密的,但可以在以后“強制”以明文形式檢索原始登錄密碼。
“值得一提的是,無論文件和文件夾設置如何,SCF文件都將在Windows資源管理器中顯示為無擴展文件,”研究人員說。“因此,名為picture.jpg.scf的文件將在Windows資源管理器中顯示為picture.jpg。這增加了使用scf文件進行攻擊的不明顯性。”
有時不需要解密密碼
由于許多Microsoft服務接受哈希形式的密碼,攻擊者甚至可以使用加密密碼登錄到OneDrive Outlook.com、Office 365、Office Online、Skype、Xbox Live和其他Microsoft服務,因此不需要解密。
據研究人員稱,此類漏洞還可能對大型組織構成嚴重威脅,因為它們使攻擊者能夠模擬其成員之一,使攻擊者能夠立即重用獲得的特權,進一步升級訪問權限,獲得對其IT資源的訪問和控制,并對其他成員進行攻擊。
如何防止此類SMB身份驗證相關攻擊
簡單地說,通過防火墻阻止從本地網絡到WAN的出站SMB連接(TCP端口139和445),這樣本地計算機就無法查詢遠程SMB服務器。
斯坦科維奇還建議用戶考慮通過谷歌瀏覽器來禁用自動下載。設置→顯示高級設置→然后檢查“下載前詢問每個文件的保存位置”選項
此更改將允許您手動批準每次下載嘗試,這將顯著降低使用SCF文件進行憑據盜竊攻擊的風險。
谷歌已經意識到了這個漏洞,據說正在開發一個補丁,但沒有給出何時向用戶提供補丁的時間表。
