کمیته رکن چهارم – یک محقق امنیتی روشی را برای سرقت گذرواژههای ویندوز با استفاده از مرورگر کروم و پروتکل SMB کشف کرد که عملکرد مؤثری دارد. هرچند این نوع از حملات و بهرهبرداریها جدید نیستند ولی تنها در شبکههای محلی قابل انجام هستند. نکتهی دیگری که این حمله را قابل توجه میکند این است که در یک دههی گذشته، بهجز در اینترنت اکسپلورر و اِج، حملهای علیه احراز هویت SMB بهطور عملی انجام نشده است.
به گزارش کمیته رکن چهارم،این محقق صربستانی، در حملهی خود از ترکیب ۲ روش استفاده کرده است. یکی از این حملات مربوط به عملیات استاکسنت بوده و دیگری به سال ۲۰۱۵ میلادی برمیگردد که در کنفرانس کلاه سیاهها تشریح شده بود. این محقق با استفاده از پروندههای دستور شِل (SCF) این دو حمله را با یکدیگر ترکیب میکند. این نوع پروندهها تنها از یک سری دستورات محدود مربوط به اینترنت اکسپلورر پشتیبانی میکند.
این پروندهها مشابه پروندههای LNK هستند که بر روی دیسک ذخیره شده و پروندههای آیکون را بازیابی میکنند. مایکروسافت در حال حاضر کاری کرده که پروندههای LNK تنها آیکونهای این شرکت را از منابع محلی بازیابی میکند و دیگر نمیتوان از آنها برای بارگذاری کدهای مخرب استفاده کرد. هرچند پروندههای SCF هنوز ممکن است با این هدف مورد سوءاستفاده قرار بگیرند.
این محقق امنیتی باتوجه به اطلاعاتی که از پروندههای SCF دریافت کرد، پروندهای ایجاد کرده که آیکون مورد نظر را از یک آدرس URL بارگذاری میکند. در انتهای این آدرس URL یک کارگزار SMB قرار داده شده است. زمانیکه رایانه سعی دارد آیکون را از روی این کارگزار بارگذاری کند، کارگزار به مشابه حالتی که قرار است احراز هویت صورت گیرد، از کاربر گواهینامههای ویندوز را سؤال میکند.
این محقق توضیح داد: «بخاطر نویسهی غیرقابل چاپ %۰B کروم پاسخ به این درخواست را در قالب پروندهای با نام iwantyourhash.scf بارگیری خواهد کرد. وقتی دایرکتوری که این پرونده در آن قرار گرفته، باز میشود، ویندوز سعی دارد بر روی کارگزار SMB احراز هویت انجام دهد که باعث میشود مقادیر درهمسازیِ احراز هویت قربانی افشاء شود.»
محققان امنیتی توصیه کردهاند کاربران بر روی گوگل کروم، قابلیت بارگیری خودکار را با رفتن به بخش تنظیمات، مشاهدهی تنظیمات پیشرفته و انتخاب گزینهی «هنگام بارگیری یک پرونده ابتدا سؤال کن» غیرفعال کنند. این محقق امنیتی اعلام کرد تنها چیزی که مهاجم در حال حاضر نیاز دارد این است که کاربر را متقاعد کند تا از وبگاه مخرب او بازدید کند.
حتی اگر کاربری که هدف قرار گرفته، دارای امتیازات سطح بالایی نیز نباشد، این حمله میتواند تهدید بزرگی برای یک سازمان محسوب شود چرا که میتواند خود را بهجای یکی از اعضای آن سازمان جا بزند. پس از انجامِ موفقیتآمیز این حمله، مهاجم به سرعت میتواند امتیازات خود را ارتقاء داده و به منابع فناوری اطلاعات در سطح شبکه دست یابد.
منبع:softpedia
