Вам слід вимкнути автоматичне завантаження в Chrome прямо зараз

Користувачам Google Chrome у Windows рекомендується відключити автоматичне завантаження у веб-браузері, щоб захистити дані аутентифікації від нової загрози, виявленої недавно.

Браузер Chrome - це найпопулярніший зараз браузер на настільних пристроях. Він налаштований автоматично завантажувати безпечні файли в систему користувача без запиту за замовчуванням.

Будь-який файл, завантажений користувачами Chrome, який проходить перевірку безпечного перегляду Google, автоматично потрапить у каталог завантажень за замовчуванням. Користувачі Chrome, які хочуть вибрати папку для завантаження замість завантаження, повинні змінити цю поведінку в параметрах.

Нова атака, детально описана на веб-сайті оборонного кодексу, поєднує поведінку автоматичного завантаження Chrome з файлами командного файлу оболонки Windows Explorer, які мають розширення .scf.

Формат старіння - це звичайний текстовий файл, який включає в себе інструкції, як правило, розташування піктограм та обмежені команди. Що особливо цікаво у форматі, це те, що він може завантажувати ресурси з віддаленого сервера.

Ще більш проблематичним є той факт, що Windows обробляє ці файли, як тільки ви відкриєте каталог, в якому вони зберігаються, і що ці файли з’являються без розширення в Провіднику Windows незалежно від налаштувань. Це означає, що зловмисники могли легко приховати файл за замаскованим іменем файлу, таким як image.jpg.

Зловмисники використовують місце розташування сервера SMB для піктограми. Потім відбувається те, що сервер вимагає аутентифікації, і система це забезпечить. Поки подаються хеши паролів, дослідники відзначають, що розгортання цих паролів більше не повинно зайняти десятиліття, якщо вони не є складними.

Що стосується можливості зламування пароля, то це значно покращилося за останні кілька років завдяки взлому на основі GPU. Орієнтовний хеш-код NetNTLMv2 для однієї карти Nvidia GTX 1080 становить близько 1600 МГц / с. Це 1, 6 мільярда хешів за секунду. Для 8-символьного пароля, графічні установки 4 таких карт можуть пройти через цілий простір клавіш верхнього / нижнього буквено-цифрових + найчастіше використовуваних спеціальних символів ( # $% &) менше ніж за добу. Через сотні мільйонів просочених паролів внаслідок декількох порушень за останні роки (LinkedIn, Myspace), крекінг на основі правил списку може призвести до дивовижних результатів щодо складних паролів з більшою ентропією.

Ситуація ще гірша для користувачів на машинах Windows 8 або 10, які підтверджують автентифікацію за допомогою облікового запису Microsoft, оскільки обліковий запис надасть зловмиснику доступ до онлайн-сервісів, таких як Outlook, OneDrive або Office365, якщо користувач користується ним. Також є ймовірність повторного використання пароля на сайтах, що не належать Microsoft.

Антивірусні рішення наразі не позначають ці файли.

Ось як атака знижується

  1. Користувач відвідує веб-сайт, який або натискає диск із завантаженням у систему користувача, або змушує користувача натиснути на спеціально підготовлений файл SCF, щоб він завантажився.
  2. Користувач відкриває каталог завантажень за замовчуванням.
  3. Windows перевіряє розташування піктограм та надсилає дані аутентифікації на сервер SMB у хешованому форматі.
  4. Атаки можуть використовувати списки паролів або жорстокі атаки, щоб зламати пароль.

Як захистити вашу систему від цієї атаки

Один із варіантів, який мають користувачі Chrome, - це відключити автоматичне завантаження у веб-браузері. Це запобігає завантаженню диска, а також може запобігти випадкові завантаження файлів.

  1. Завантажте chrome: // settings / в адресний рядок браузера.
  2. Прокрутіть униз і натисніть посилання "показати розширені налаштування".
  3. Прокрутіть униз до розділу Завантаження.
  4. Перевірте налаштування "Запитати, куди зберегти кожен файл перед завантаженням".

Chrome підкаже вам про місце завантаження щоразу, коли завантаження розпочнеться у веб-переглядачі.

Коваджі

Хоча ви додаєте шар захисту до обробки завантажень Chrome, керовані файли SCF можуть по-різному розміщуватися на цільових системах.

Один із варіантів, який мають користувачі та адміністратори, - це блокувати порти, які використовуються для SMB-трафіку в брандмауері. Microsoft має керівництво, яке ви можете використовувати для цього. Компанія пропонує заблокувати зв'язок із портами SMB до Інтернету та до Інтернету 137, 138, 139 та 445.

Блокування цих портів може вплинути на інші служби Windows, однак, наприклад, служба факсу, макет друку, чисте вхід у систему, обмін файлами та друком.

Тепер ви : Як захистити свої машини від загроз SMB / SCF?