Трябва да деактивирате автоматичните изтегляния в Chrome веднага

На потребителите на Google Chrome в Windows се препоръчва да деактивират автоматично изтегляне в уеб браузъра, за да защитят данните за удостоверяване от нова открита наскоро заплаха.

Браузърът Chrome е най-популярният браузър в момента на настолни устройства. Той е конфигуриран да изтегля автоматично безопасни файлове в системата на потребителя без подкана по подразбиране.

Всеки файл, който потребителите на Chrome изтеглят, който премине проверките за безопасно сърфиране на Google, ще се приземява автоматично в директорията за изтегляне по подразбиране. Потребителите на Chrome, които искат да изберат папката за изтегляне вместо изтегляния, трябва да променят това поведение в опциите.

Новата атака, описана подробно на уебсайта на защитния код, комбинира поведението на автоматичното изтегляне на Chrome с файловете на командния файл на Windows Explorer Shell с разширение на файла .scf.

Форматът за стареене е обикновен текстов файл, който включва инструкции, обикновено местоположение на иконата и ограничени команди. Особено интересното във формата е, че той може да зарежда ресурси от отдалечен сървър.

Още по-проблематичен е фактът, че Windows ще обработи тези файлове веднага след като отворите директорията, в която се съхраняват, и че тези файлове се появяват без разширение в Windows Explorer, независимо от настройките. Това означава, че нападателите могат лесно да скрият файла зад прикрито име на файл, като image.jpg.

Нападателите използват SMB сървър местоположение за иконата. Това, което се случва тогава, е, че сървърът изисква удостоверяване и системата ще го предостави. Докато се представят хешовете за пароли, изследователите отбелязват, че пропускането на тези пароли не трябва да отнема десетилетия, освен ако те не са от сложния вид.

Що се отнася до осъществимостта на крекинг с парола, това се подобри значително през последните няколко години с крекинг на базата на GPU. NetNTLMv2 хешката еталон за една карта Nvidia GTX 1080 е около 1600 MH / s. Това е 1, 6 милиарда хеша в секунда. За 8-символна парола, GPU платформата от 4 такива карти може да премине през цялото пространство от клавиши на горната / долната буквено-цифрови + най-често използваните специални символи ( # $% &) за по-малко от ден. Със стотици милиони изтекли пароли в резултат на няколко нарушения през последните години (LinkedIn, Myspace), крекинг на базата на думи може да доведе до изненадващи резултати срещу сложни пароли с повече ентропия.

Ситуацията е още по-лоша за потребителите на Windows 8 или 10 машини, които се удостоверяват с акаунт в Microsoft, тъй като акаунтът ще предостави на нападателя достъп до онлайн услуги като Outlook, OneDrive или Office365, ако се използва от потребителя. Съществува и вероятността паролата да се използва повторно в сайтове, които не са Microsoft.

Антивирусните решения не маркират тези файлове в момента.

Ето как атаката намалява

  1. Потребителят посещава уебсайт, който или натиска диск чрез изтегляне в системата на потребителя, или кара потребителя да кликне върху специално подготвен SCF файл, така че да бъде изтеглен.
  2. Потребителят отваря директорията за изтегляне по подразбиране.
  3. Windows проверява местоположението на иконата и изпраща данни за удостоверяване на SMB сървъра в хеширан формат.
  4. Атаките могат да използват списъци с пароли или груби атаки, за да напукат паролата.

Как да защитите системата си от тази атака

Една от възможностите на потребителите на Chrome е да деактивират автоматично изтегляне в уеб браузъра. Това предотвратява устройството чрез изтегляне и може също така да предотврати случайно изтегляне на файлове.

  1. Заредете chrome: // settings / в адресната лента на браузъра.
  2. Превъртете надолу и кликнете върху връзката „показване на разширени настройки“.
  3. Превъртете надолу до секцията за изтегляния.
  4. Проверете предпочитанието „Попитайте къде да запишете всеки файл преди изтеглянето“.

Chrome ще ви подкани за място за изтегляне всеки път, когато изтеглянето се стартира в браузъра.

Уговорки

Докато добавяте слой защита към обработката на изтегляния от Chrome, манипулираните SCF файлове могат да се приземят по различни начини на целевите системи.

Една от възможностите, които потребителите и администраторите имат, е да блокират портове, използвани от SMB трафик в защитната стена. Microsoft има ръководство, което можете да използвате за това. Компанията предлага да блокира комуникацията от и към Интернет до SMB портове 137, 138, 139 и 445.

Блокирането на тези портове може да повлияе на други услуги на Windows, но например факс услуга, печат на макари, нето влизане или споделяне на файлове и печат.

Сега вие : Как да защитите вашите машини от SMB / SCF заплахи?