2017/05/17

Falha no Chrome permite roubar passwords do Windows ao visitar um site malicioso


Há uma nova forma de ataque que pode roubar as credenciais do Windows aproveitando-se de um falha no Chrome e no próprio Windows.

Por muitos "buracos" que se tapem parecem surgir sempre mais alguns, e os especialistas em segurança informática definitivamente não terão falta de trabalho. Neste novo ataque que permite roubar as credenciais de um sistema Windows ao visitar uma página maliciosa, são exploradas duas falhas: uma que se aproveita do facto do Chrome descarregar automaticamente ficheiros do tipo .scf; e a outra do facto do Windows ainda não ter aplicado a correcção da falha aproveitada pelo Stuxnet a este tipo de ficheiros.

Os ficheiros .SCF referem-se a ficheiros (Shell Command File) que resistem desde os tempos do Windows 98, e que basicamente permite criar atalhos no desktop com um determinado icon, capazes de fazer um conjunto limitado de operações. Estes ficheiros não estão incluídos na lista de ficheiros perigosos do Chrome, pelo que os mesmos podem ser descarregados automaticamente para o computador do utilizador ao se clicar num link. E é aí que entra a segunda parte do sistema, aproveitando-se de uma velha falha no Windows, já explorada pelo Stuxnet.

No Stuxnet uma das vertentes de ataque consistia na utilização de ficheiros .LNK em que a localização do icon do mesmo era referenciado para um servidor externo. Isto fazia com que, sempre que o explorador do Windows passasse numa pasta com um destes ficheiros maliciosos, ao tentar apresentar o seu icon, iria tentar obter a imagem a partir desse servidor externo, recorrendo à autenticação automática via SMB, enviando as credenciais do computador, com o nome de utilizador, domínio, e hash da password.


Depois do Stuxnet a MS limitou a obtenção dos icons a recursos locais, para evitar este vector de ataque (e no Chrome esses ficheiros levam com um ".download" no final do nome, para que não haja confusões), o problema é que a mesma solução não foi aplicada aos ficheiros .SCF.


Para além do risco da password poder ser descoberta a partir da hash (especialmente se se tratar de uma password frequente ou com poucos caracteres) usando dicionários ou brute-force; o caso complica-se por haver inúmeros serviços da Microsoft onde bastam usar estes mesmos dados "oferecidos" pelo Windows para que um atacante se autentique e tenha acesso a coisas como o OneDrive, Outlook.com, Xbox Live, Skype, etc.

A solução será simples, aplicar o mesmo tratamento dado aos ficheiros LNK a estes ficheiros SCF... mas até que tal seja feito, a solução passa por configurar o Chrome de modo a que pergunte sempre onde se quer guardar um ficheiro antes de o descarregar - assim será fácil detectar se alguma página está a tentar descarregar um ficheiro .SCF antes deles chegar ao sistema, momento em que já será tarde demais. Mesmo que se apressassem a ir apagá-lo, só o acto de o verem numa janela já despoletaria a sua acção maliciosa.

2 comentários: