Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Mag 17, 2017 Marco Schiaffino Attacchi, Intrusione, News, RSS, Vulnerabilità 0
Quanto ci vuole per rubare le credenziali di accesso di un utente Windows? Se usa Chrome, è questione di una manciata di secondi o (nel peggiore dei casi) di qualche ora. Tutto quello che serve è attirare la vittima u un sito Web confezionato ad hoc e aspettare che apra la cartella in cui memorizza i file scaricati con il browser di Google.
La tecnica, illustrata in questo documento dal ricercatore di sicurezza Bosko Stankovic, sfrutta due bug apparentemente innocui di Windows e Chrome, il cui uso combinato però consente di sottrarre con estrema facilità username e password di qualsiasi utente Windows.
La prima vulnerabilità è stata utilizzata in passato dall’NSA per diffondere il suo “virus di stato” più celebre: Stuxnet. Si tratta di un problema legato alla visualizzazione di alcuni file particolari (LNK e SCF) a cui Windows consente di visualizzare icone personalizzate.
Le icone personalizzate di questi tipi di file possono fare riferimento a un URL esterna o a un file CPL (Control Panel) che è, in definitiva, una DLL. La DLL (o l’URL) vengono quindi caricate quando l’utente visualizza il file in una finestra di Windows Explorer, senza che sia nemmeno necessario che apra il file in questione.
La National Security Agency aveva sfruttato questa falla con i file LNK (i collegamenti di Windows) per portare il suo attacco contro la centrale di arricchimento dell’uranio iraniana, collegando la DLL del payload in modo che si avviasse al momento dell’apertura della chiave USB che conteneva il malware.
In seguito alla scoperta di Stuxnet, Microsoft ha corretto la vulnerabilità per quanto riguarda i file LNK. Dalle parti di Redmond, però, non hanno pensato di fare la stessa cosa per i file SCF, che mantengono questa caratteristica.
I file SCF (Shell Command File) permettono di eseguire un set limitato di comandi collegati a Windows Explorer, come l’apertura di finestre e sono, almeno tendenzialmente, innocui. Grazie al trucchetto illustrato sopra, però, permettono di utilizzare la stessa tecnica usata dall’NSA per avviare un eseguibile potenzialmente pericoloso.
Stankovic, però, ha trovato un altro modo per sfruttarli. Al posto di collegare l’icona personalizzata a un file in locale, ha pensato di collegarla a un’URL che fa riferimento a un server SMB (Server Message Block) e che invia immediatamente al computer una richiesta di autenticazione.
Risultato: Windows pensa di collegarsi a una risorsa per cui serve autenticarsi e, diligentemente, invia username e password al server. Visto che il server è gestito dall’attaccante, questi li otterrà immediatamente.
Certo, per sfruttare questo trucchetto sarebbe necessario convincere la vittima a scaricare un file SCF sul suo computer e poi fargli per lo meno aprire la cartella in cui lo ha scaricato.
E qui entra in gioco Chrome. Stankovic, infatti, ha notato che il browser di Google considera questo tipo di file talmente innocuo da farlo rientrare in quella categoria di elementi per cui non è necessario chiedere l’autorizzazione all’utente per avviarne il download.
Questo significa, in pratica, che se la vittima visita un sito Internet che propone il download di un file SCF, questo viene scaricato automaticamente nella cartella dei download. Quando la vittima aprirà la cartella (e prima o poi lo farà di certo) il file verrà visualizzato e le credenziali saranno trasmesse grazie al meccanismo descritto in precedenza.
In attesa di una patch di Windows (e magari anche di Chrome) che risolva il problema, il consiglio del ricercatore serbo è quello di modificare le impostazioni di Chrome per fare in modo che apra una finestra di dialogo ogni volta che avvia il download di un file da Internet.
Per farlo è sufficiente aprire le Impostazioni avanzate di Chrome e attivare la voce Chiedi dove salvare il file prima di scaricarlo. In questo modo, per lo meno, avremo la possibilità di annullare l’operazione se ci accorgiamo che Chrome sta cercando di scaricare qualcosa che non vogliamo.
Apr 04, 2024 0
Mar 15, 2024 0
Mar 07, 2024 0
Mar 06, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...