Логины и пароли от Windows можно украсть с помощью функции «свернуть все окна»

Безопасность Стратегия безопасности Пользователю Интернет Интернет-ПО
мобильная версия
, Текст: Роман Георгиев
Разработчики Google Chrome работают над исправлением серьезной ошибки в браузере, которая позволяет красть логины и пароли. Проблема заключается в обработке файлов с расширением .SCF самим браузером и операционной системой Windows.

Опасность антикварного файла .SCF

Компания Defense Code опубликовала исследование уязвимости, затрагивающей одновременно браузер Chrome и операционную систему Windows. Эта уязвимость в теории позволяет красть пользовательские логины и пароли к самой системе и связанным с ней ресурсам: Office 365, Office Online, Skype, Xbox Live и другими.

Источником проблемы является способ обработки Chrome и Windows файлов антикварного формата Shell Command File (.SCF).

Формат SCF впервые был реализован в Windows 98. Наиболее известным примером применения этого формата была команда «Свернуть все окна» (во всех системах вплоть до Windows XP). В целом, .SCF - это текстовый файл с командами на сворачивание всех окон или запуск «Проводника» Windows. Он также содержит отсылку к местоположению соответствующей иконки (параметр IconFile).

Как и в случае с печально известными файлами Windows LNK, уязвимость в которых использовал Stuxnet, когда папка с файлом .SCF открывается в «Проводнике», операционная система автоматически пытается вызвать иконку, где бы та ни располагалась. Местом, где расположена иконка, может быть как локальный ресурс, так и удаленный SMB-сервер, контролируемый злоумышленниками.

Для успешной атаки злоумышленнику необходимо будет заставить потенциальную жертву скачать файл с расширением .SCF на свой компьютер. Необходимо отметить, что Windows всегда показывает файлы .SCF без расширения, вне зависимости от настроек Проводника. То есть, файл вида picture.jpg.scf в «Проводнике» Windows в любом случае будет виден как picture.jpg. Это дает злоумышленникам дополнительные козыри.

Иконка .SCF-файла, в данном случае расположенная на рабочем столе Windows

По умолчанию все скачиваемые через Chrome файлы попадают в папку /Downloads. Пользователю будет достаточно открыть ее в «Проводнике», чтобы находящийся там файл .SCF попытался обратиться к ресурсу, указанному в его параметре IconFile.

«Указание в качестве места размещения иконки удаленный SMB-сервер - это известный вектор атаки, который эксплуатирует функции автоматической авторизации Windows при обращении к таким сервисам, как удаленные файлообменные ресурсы. В чем же разница между LNK И SCF, с точки зрения злоумышленника? Chrome со времен Stuxnet "очищает" LNK-файлы, принудительно добавляя к ним расширение .download, однако с SCF-файлами ничего подобного не происходит», - говорится в описании проблемы.

Как пишут исследователи, злоумышленники могут настроить удаленный SMB-сервер так, что он будет перехватывать имя пользователя Windows и хэш пароля (в формате NTLMv2).

Этот хэш затем можно либо попытаться взломать брутфорсом, либо перенаправить на другой сервис, поддерживающий аналогичную авторизацию, например Microsoft Exchange. Это позволит злоумышленнику выдавать себя за жертву, даже не зная пароля.

Вред ограничен, но не сильно

Как указывают исследователи, захэшированные пароли, конечно, еще потребуется взламывать, однако все большее распространение сегодня получает метод брутфорса с использованием графических карт, таких как Nvidia GTX 1080. Такая карта может перебирать до 1,6 млрд хэшей в секунду. Связка четырех таких карт может перебрать все возможные комбинации (то есть все буквы, цифры и специальные символы) менее чем за день, - говорится в публикации Defense Code.

Там же указывается, что для атаки на Windows XP и сети, в которых активирована обратная совместимость с NTLMv1, взлом паролей вообще не нужен, достаточно только перехватить хэш.

Исследователи также отметили, что они проверили, как на вредоносные .SCF-файлы реагируют несколько «ведущих» антивирусных решений. Ответ оказался прост: никак.

«Ни одно из испробованных решений не отметили ничего подозрительного; мы надеемся, что это скоро измеится. Анализ файла SCF на вредоносность реализовать легко: достаточно проверять параметр IconFile, поскольку, в конечном счете, не существует случаев, когда обращение к удаленному ресурсу со стороны SCF-файла может быть легитимным», - указывают исследователи.

Представители Google подтвердили наличие проблемы и заявили, что работают над ее решением.

«Еще один случай, когда файлы устаревших системных форматов Windows оказываются источником проблем, - говорит Ксения Шилак, директор по продажам компании «SEC-Consult Рус». – На мой взгляд, описанная проблема с файлами .SCF – это больше проблема самой операционной системы Windows и «избыточной» обратной совместимости, нежели браузера Chrome. В конечном счете, подсунуть пользователю файл со скрытым по умолчанию расширением можно не только через браузер, но и через почтовый клиент.

Другие браузеры - Microsoft Internet Explorer, Edge, Mozilla Firefox и Apple Safari - не позволяют автоматически скачивать файлы .SCF.