کشف روشی برای سرقت گواهی‌نامه‌های ورود به ویندوز از طریق مرورگر کروم

کمیته رکن چهارم – یک محقق امنیتی روشی را برای سرقت گذرواژه‌های ویندوز با استفاده از مرورگر کروم و پروتکل SMB کشف کرد که عملکرد مؤثری دارد. هرچند این نوع از حملات و بهره‌برداری‌ها جدید نیستند ولی تنها در شبکه‌های محلی قابل انجام هستند. نکته‌ی دیگری که این حمله را قابل توجه می‌کند این است که در یک دهه‌ی گذشته، به‌جز در اینترنت اکسپلورر و اِج، حمله‌ای علیه احراز هویت SMB به‌طور عملی انجام نشده است.

به گزارش کمیته رکن چهارم،این محقق صربستانی، در حمله‌ی خود از ترکیب ۲ روش استفاده کرده است. یکی از این حملات مربوط به عملیات استاکس‌نت بوده و دیگری به سال ۲۰۱۵ میلادی برمی‌گردد که در کنفرانس کلاه سیا‌ه‌ها تشریح شده بود. این محقق با استفاده از پرونده‌های دستور شِل (SCF) این دو حمله را با یکدیگر ترکیب می‌کند. این نوع پرونده‌ها تنها از یک سری دستورات محدود مربوط به اینترنت اکسپلورر پشتیبانی می‌کند.

این پرونده‌ها مشابه پرونده‌های LNK هستند که بر روی دیسک ذخیره شده و پرونده‌های آیکون را بازیابی می‌کنند. مایکروسافت در حال حاضر کاری کرده که پرونده‌های LNK تنها آیکون‌های این شرکت را از منابع محلی بازیابی می‌کند و دیگر نمی‌توان از آن‌ها برای بارگذاری کدهای مخرب استفاده کرد. هرچند پرونده‌های SCF هنوز ممکن است با این هدف مورد سوءاستفاده قرار بگیرند.

این محقق امنیتی باتوجه به اطلاعاتی که از پرونده‌های SCF دریافت کرد، پرونده‌ای ایجاد کرده که آیکون مورد نظر را از یک آدرس URL بارگذاری می‌کند. در انتهای این آدرس URL یک کارگزار SMB قرار داده شده است. زمانی‌که رایانه سعی دارد آیکون را از روی این کارگزار بارگذاری کند، کارگزار به مشابه حالتی که قرار است احراز هویت صورت گیرد، از کاربر گواهی‌نامه‌های ویندوز را سؤال می‌کند.

این محقق توضیح داد: «بخاطر نویسه‌ی غیرقابل چاپ  %۰B کروم پاسخ به این درخواست را در قالب پرونده‌ای با نام iwantyourhash.scf بارگیری خواهد کرد. وقتی دایرکتوری که این پرونده در آن قرار گرفته، باز می‌شود، ویندوز سعی دارد بر روی کارگزار SMB احراز هویت انجام دهد که باعث می‌شود مقادیر درهم‌سازیِ احراز هویت قربانی افشاء شود.»

محققان امنیتی توصیه کرده‌اند کاربران بر روی گوگل کروم، قابلیت بارگیری خودکار را با رفتن به بخش تنظیمات، مشاهده‌ی تنظیمات پیشرفته و انتخاب گزینه‌ی «هنگام بارگیری یک پرونده ابتدا سؤال کن» غیرفعال کنند. این محقق امنیتی اعلام کرد تنها چیزی که مهاجم در حال حاضر نیاز دارد این است که کاربر را متقاعد کند تا از وب‌گاه مخرب او بازدید کند.

حتی اگر کاربری که هدف قرار گرفته، دارای امتیازات سطح بالایی نیز نباشد، این حمله می‌تواند تهدید بزرگی برای یک سازمان محسوب شود چرا که می‌تواند خود را به‌جای یکی از اعضای آن سازمان جا بزند. پس از انجامِ موفقیت‌آمیز این حمله، مهاجم به سرعت می‌تواند امتیازات خود را ارتقاء داده و به منابع فناوری اطلاعات در سطح شبکه دست یابد.

منبع:softpedia

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.