Chrome для Windows позволяет украсть пароли сворачиванием окна

Эта дыра затрагивает Chrome и операционную систему Windows и позволяет воровать логины и пароли как до самой системы, так и связанных с ней ресурсов

Разработчики Google Chrome работают над исправлением серьезной ошибки в браузере. Она позволяет похитить сохраненные в веб-браузере и ОС пароли простым сворачиванием окна. Проблема заключается в обработке файлов с расширением .SCF самим браузером и операционной системой Windows.

пароли

SCF – это расширение командных файлов графической оболочки Windows. Подобные файлы используются для разных целей, например, можно создать файл, который будет сворачивать все окна. Впервые этот формат реализовали в Windows 98. В целом SCF – это текстовый файл с командами на сворачивание всех окон или запуск «Проводника» Windows. Он также содержит ссылки к месту расположения соответствующей иконки файла.

Уязвимость в отношении SCF опубликовала антивирусная компания Defense Code. Эта дыра затрагивает Chrome и операционную систему Windows и позволяет воровать логины и пароли как до самой системы, так и связанных с ней ресурсов: Office 365, Office Online, Skype, Xbox Live и тому подобное.

Источником проблемы является способ обработки в Chrome и Windows файлов формата Shell Command File (.SCF). Когда папку с файлом SCF открыть в «Проводнике», операционная система автоматически пытается вызвать его иконку. Местом, где расположена иконка, может быть как локальный ресурс, так и удаленный SMB-сервер, контролируемый злоумышленниками.

Для успешной атаки злоумышленнику необходимо вынудить потенциальную жертву скачать файл с расширением SCF на свой компьютер. При этом Windows всегда показывает файлы SCF без расширения, даже если в «Проводнике» настроен иначе. Поэтому файл image.gif.scf в «Проводнике» Windows всегда будет выглядеть как image.gif.

Чтобы заразиться, пользователю достаточно открыть скачанный файл в «Проводнике». Документ SCF попытается обратиться к ресурсу, который контролируют злоумышленники. Последние могут настроить удаленный SMB-сервер так, что он будет перехватывать ваше имя пользователя и хэш пароля (в формате NTLMv2).

Этот хэш потом можно или сломать, чтобы получить пароль, или сразу использовать на соответствующем сервисе, на котором входили через него. Последнее позволяет злоумышленнику получить доступ, не зная пароля.

В Defense Code говорят, что связка из четырех видеокарт Nvidia GTX 1080 способна перебрать все возможные комбинации (то есть все буквы, цифры и специальные символы) менее чем за день. При этом исследователи проверили реакцию антивирусов на вредоносные SCF-файлы – те не среагировали.

Представители Google подтвердили наличие проблемы и заявили, что работают над ее решением. Другие браузеры – Microsoft Internet Explorer, Edge, Mozilla Firefox и Apple Safari – не позволяют автоматически загружать файлы SCF.

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я