Розробники Google Chrome працюють над виправленням серйозної помилки в браузері. Вона дозволяє викрасти збережені у веб-навігаторі та ОС паролі простим згортанням вікна. Проблема полягає в обробці файлів з розширенням .SCF самим браузером і операційною системою Windows.
SCF – це розширення командних файлів графічної оболонки Windows. Подібні файли використовуються для різних цілей, наприклад, можна створити файл, який буде згортати всі вікна. Уперше цей формат реалізували у Windows 98. У цілому SCF – це текстовий файл з командами на згортання всіх вікон або запуск «Провідника» Windows. Він також містить посилання до місця розташування відповідної іконки файлу.
Вразливість стосовно SCF опублікувала антивірусна компанія Defense Code. Ця діра зачіпає Chrome й операційну систему Windows і дозволяє красти логіни і паролі як до самої системи, так і до пов’язаних з нею ресурсів: Office 365, Office Online, Skype, Xbox Live тощо.
Джерелом проблеми є спосіб обробки у Chrome і Windows файлів формату Shell Command File (.SCF). Коли папку з файлом SCF відкрити в «Провіднику», операційна система автоматично намагається викликати його іконку. Місцем, де розташована іконка, може бути як локальний ресурс, так і віддалений SMB-сервер, контрольований зловмисниками.
Для успішної атаки зловмисникові необхідно буде змусити потенційну жертву завантажити файл з розширенням SCF на свій комп’ютер. При цьому Windows завжди показує файли SCF без розширення, навіть якщо в «Провіднику» налаштовано інакше. Тому файл image.gif.scf в «Провіднику» Windows завжди виглядатиме як image.gif.
Щоб заразитися, користувачеві досить відкрити завантажений файл у «Провіднику». Документ SCF спробує звернутися до ресурсу, який контролюють зловмисники. Останні можуть налаштувати віддалений SMB-сервер так, що він буде перехоплювати ім’я користувача Windows і хеш пароля (в форматі NTLMv2).
Цей хеш потім можна або зламати, щоб отримати пароль, або відразу використати на відповідному сервісі, на якому входили через нього. Останнє дозволяє зловмиснику отримати доступ, не знаючи пароля.
У Defense Code кажуть, що зв’язка з чотирьох відеокарт Nvidia GTX 1080 здатна перебрати всі можливі комбінації (тобто всі букви, цифри і спеціальні символи) менш ніж за день. При цьому дослідники перевірили реакцію антивірусів на шкідливі SCF-файли – ті не зреагували.
Представники Google підтвердили наявність проблеми і заявили, що працюють над її вирішенням. Інші браузери – Microsoft Internet Explorer, Edge, Mozilla Firefox і Apple Safari – не дозволяють автоматично завантажувати файли SCF.
