Người dùng Google Chrome trên Windows được khuyên nên vô hiệu hóa tải xuống tự động trong trình duyệt web để bảo vệ dữ liệu xác thực trước mối đe dọa mới được phát hiện gần đây.
Trình duyệt Chrome là trình duyệt phổ biến nhất hiện nay trên các thiết bị máy tính để bàn. Nó được cấu hình để tự động tải các tệp an toàn về hệ thống người dùng mà không cần nhắc theo mặc định.
Mọi tệp mà người dùng Chrome tải xuống vượt qua kiểm tra duyệt web an toàn của Google sẽ tự động nằm trong thư mục tải xuống mặc định. Người dùng Chrome muốn chọn thư mục tải xuống thay vì tải xuống cần thay đổi hành vi đó trong các tùy chọn.
Cuộc tấn công mới, được mô tả chi tiết trên trang web của Bộ luật Quốc phòng, kết hợp hành vi tải xuống tự động của Chrome với các tệp Tệp lệnh Windows Explorer Shell có phần mở rộng tệp .scf.
Định dạng lão hóa là một tệp văn bản đơn giản bao gồm các hướng dẫn, thường là vị trí biểu tượng và các lệnh giới hạn. Điều đặc biệt thú vị về định dạng là nó có thể tải tài nguyên từ một máy chủ từ xa.
Vấn đề hơn nữa là Windows sẽ xử lý các tệp này ngay khi bạn mở thư mục chúng được lưu trữ và các tệp này xuất hiện mà không có phần mở rộng trong Windows Explorer bất kể cài đặt. Điều này có nghĩa là những kẻ tấn công có thể dễ dàng ẩn tập tin đằng sau một tên tệp được ngụy trang như image.jpg.
Những kẻ tấn công sử dụng vị trí máy chủ SMB cho biểu tượng. Điều xảy ra sau đó là máy chủ yêu cầu xác thực và hệ thống sẽ cung cấp điều đó. Trong khi băm mật khẩu được gửi, các nhà nghiên cứu lưu ý rằng việc bẻ khóa những mật khẩu đó sẽ không mất nhiều thập kỷ nữa trừ khi chúng thuộc loại phức tạp.
Về tính khả thi của việc bẻ khóa mật khẩu, điều này đã cải thiện rất nhiều trong vài năm qua với việc bẻ khóa dựa trên GPU. Điểm chuẩn hashcat NetNTLMv2 cho một thẻ Nvidia GTX 1080 là khoảng 1600 MH / s. Đó là 1, 6 tỷ băm mỗi giây. Đối với mật khẩu 8 ký tự, các giàn GPU gồm 4 thẻ như vậy có thể đi qua toàn bộ không gian phím gồm chữ và số + ký tự đặc biệt được sử dụng phổ biến nhất ( # $% &) trong vòng chưa đầy một ngày. Với hàng trăm triệu mật khẩu bị rò rỉ do một số vi phạm trong những năm qua (LinkedIn, Myspace), việc bẻ khóa dựa trên quy tắc danh sách từ có thể tạo ra kết quả đáng ngạc nhiên đối với các mật khẩu phức tạp với nhiều entropy hơn.
Tình hình thậm chí còn tồi tệ hơn đối với người dùng trên các máy Windows 8 hoặc 10 xác thực bằng tài khoản Microsoft, vì tài khoản sẽ cung cấp cho kẻ tấn công quyền truy cập vào các dịch vụ trực tuyến như Outlook, OneDrive hoặc Office365 nếu người dùng sử dụng. Cũng có khả năng mật khẩu được sử dụng lại trên các trang web không phải của Microsoft.
Các giải pháp chống vi-rút hiện không gắn cờ các tệp này.
Đây là cách cuộc tấn công đi xuống
- Người dùng truy cập trang web đẩy ổ đĩa bằng cách tải xuống hệ thống người dùng hoặc khiến người dùng nhấp vào tệp SCF được chuẩn bị đặc biệt để tải xuống.
- Người dùng mở thư mục tải xuống mặc định.
- Windows kiểm tra vị trí biểu tượng và gửi dữ liệu xác thực đến máy chủ SMB ở định dạng băm.
- Tấn công có thể sử dụng danh sách mật khẩu hoặc tấn công vũ phu để bẻ khóa mật khẩu.
Làm thế nào để bảo vệ hệ thống của bạn chống lại cuộc tấn công này
Một tùy chọn mà người dùng Chrome có là vô hiệu hóa tải xuống tự động trong trình duyệt web. Điều này ngăn chặn ổ đĩa bằng cách tải xuống và cũng có thể ngăn chặn các tệp tải xuống vô tình.
- Tải chrome: // settings / trong thanh địa chỉ của trình duyệt.
- Cuộn xuống và nhấp vào liên kết "hiển thị cài đặt nâng cao".
- Cuộn xuống phần Tải xuống.
- Kiểm tra tùy chọn "Hỏi nơi lưu từng tệp trước khi tải xuống".
Chrome sẽ nhắc bạn về vị trí tải xuống mỗi lần tải xuống được bắt đầu trong trình duyệt.
Hãy cẩn thận
Trong khi bạn thêm một lớp bảo vệ cho việc xử lý tải xuống của Chrome, các tệp SCF bị thao túng có thể hạ cánh theo các cách khác nhau trên các hệ thống đích.
Một tùy chọn mà người dùng và quản trị viên có là chặn các cổng được sử dụng bởi lưu lượng SMB trong tường lửa. Microsoft có một hướng dẫn mà bạn có thể sử dụng cho việc đó. Công ty đề nghị chặn truyền thông từ và tới Internet tới các cổng SMB 137, 138, 139 và 445.
Chặn các cổng này có thể ảnh hưởng đến các dịch vụ Windows khác, tuy nhiên, chẳng hạn như dịch vụ Fax, bộ đệm in, đăng nhập mạng hoặc chia sẻ tệp và in.
Bây giờ bạn : Làm thế nào để bạn bảo vệ máy của bạn chống lại các mối đe dọa SMB / SCF?
