Aggiornamenti recenti Aprile 10th, 2026 3:23 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CPUID compromesso: malware nei download ufficiali di CPU-Z e HWMonitor
- Claude Mythos: secretato perché troppo bravo a scovare vulnerabilità
- APT28 colpisce i router per dirottare il DNS e rubare credenziali
- Strategia cybersecurity USA verso un modello più assertivo e industriale
- Proxy residenziali: quando la reputazione degli IP smette di funzionare
Rubare le credenziali di Windows? Ti aiuta Chrome
La tecnica sfrutta un trucchetto già usato dall’NSA per diffondere Stuxnet e alcune “leggerezze” nelle impostazioni del browser di Google.
Quanto ci vuole per rubare le credenziali di accesso di un utente Windows? Se usa Chrome, è questione di una manciata di secondi o (nel peggiore dei casi) di qualche ora. Tutto quello che serve è attirare la vittima u un sito Web confezionato ad hoc e aspettare che apra la cartella in cui memorizza i file scaricati con il browser di Google.
La tecnica, illustrata in questo documento dal ricercatore di sicurezza Bosko Stankovic, sfrutta due bug apparentemente innocui di Windows e Chrome, il cui uso combinato però consente di sottrarre con estrema facilità username e password di qualsiasi utente Windows.
La prima vulnerabilità è stata utilizzata in passato dall’NSA per diffondere il suo “virus di stato” più celebre: Stuxnet. Si tratta di un problema legato alla visualizzazione di alcuni file particolari (LNK e SCF) a cui Windows consente di visualizzare icone personalizzate.
Le icone personalizzate di questi tipi di file possono fare riferimento a un URL esterna o a un file CPL (Control Panel) che è, in definitiva, una DLL. La DLL (o l’URL) vengono quindi caricate quando l’utente visualizza il file in una finestra di Windows Explorer, senza che sia nemmeno necessario che apra il file in questione.
La National Security Agency aveva sfruttato questa falla con i file LNK (i collegamenti di Windows) per portare il suo attacco contro la centrale di arricchimento dell’uranio iraniana, collegando la DLL del payload in modo che si avviasse al momento dell’apertura della chiave USB che conteneva il malware.
In queste settimane sembra che le vulnerabilità sfruttate all’NSA nelle sua azioni finiscano sempre per dare un gran da fare ai ricercatori di sicurezza.
In seguito alla scoperta di Stuxnet, Microsoft ha corretto la vulnerabilità per quanto riguarda i file LNK. Dalle parti di Redmond, però, non hanno pensato di fare la stessa cosa per i file SCF, che mantengono questa caratteristica.
I file SCF (Shell Command File) permettono di eseguire un set limitato di comandi collegati a Windows Explorer, come l’apertura di finestre e sono, almeno tendenzialmente, innocui. Grazie al trucchetto illustrato sopra, però, permettono di utilizzare la stessa tecnica usata dall’NSA per avviare un eseguibile potenzialmente pericoloso.
Stankovic, però, ha trovato un altro modo per sfruttarli. Al posto di collegare l’icona personalizzata a un file in locale, ha pensato di collegarla a un’URL che fa riferimento a un server SMB (Server Message Block) e che invia immediatamente al computer una richiesta di autenticazione.
Risultato: Windows pensa di collegarsi a una risorsa per cui serve autenticarsi e, diligentemente, invia username e password al server. Visto che il server è gestito dall’attaccante, questi li otterrà immediatamente.
Certo, per sfruttare questo trucchetto sarebbe necessario convincere la vittima a scaricare un file SCF sul suo computer e poi fargli per lo meno aprire la cartella in cui lo ha scaricato.
E qui entra in gioco Chrome. Stankovic, infatti, ha notato che il browser di Google considera questo tipo di file talmente innocuo da farlo rientrare in quella categoria di elementi per cui non è necessario chiedere l’autorizzazione all’utente per avviarne il download.
Questo significa, in pratica, che se la vittima visita un sito Internet che propone il download di un file SCF, questo viene scaricato automaticamente nella cartella dei download. Quando la vittima aprirà la cartella (e prima o poi lo farà di certo) il file verrà visualizzato e le credenziali saranno trasmesse grazie al meccanismo descritto in precedenza.
In attesa di una patch di Windows (e magari anche di Chrome) che risolva il problema, il consiglio del ricercatore serbo è quello di modificare le impostazioni di Chrome per fare in modo che apra una finestra di dialogo ogni volta che avvia il download di un file da Internet.
Per farlo è sufficiente aprire le Impostazioni avanzate di Chrome e attivare la voce Chiedi dove salvare il file prima di scaricarlo. In questo modo, per lo meno, avremo la possibilità di annullare l’operazione se ci accorgiamo che Chrome sta cercando di scaricare qualcosa che non vogliamo.
Condividi l'articolo
Siti Joomla a rischio SQL Injection. Disponibile la patch
WannaCry è stato “contenuto” da un’altra botnet
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un... -
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su... -
Vertex AI e il rischio dei “double agent” AI Un recente studio della Unit 42 di Palo Alto ha messo in... -
Vibecoding: l’AI accelera lo sviluppo ma moltiplica i... Il concetto di vibecoding – ovvero la generazione di... -
AWS Bedrock: otto vettori che trasformano l’AI in un... Man mano che il tempo passa, i ricercatori di sicurezza...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CPUID compromesso: malware nei download ufficiali di CPU-Z... Un attacco alla catena di distribuzione ha colpito il... -
Claude Mythos: secretato perché troppo bravo a scovare... L’annuncio di Anthropic sembrerebbe una trovata di... -
APT28 colpisce i router per dirottare il DNS e rubare... Secondo un’analisi pubblicata dal National Cyber Security... -
Strategia cybersecurity USA verso un modello più assertivo... Nel mese scorso, il governo degli USA ha rilasciato un...
-
Proxy residenziali: quando la reputazione degli IP smette... Secondo un’analisi pubblicata da GreyNoise, basata su...
Ransomware: la serie
No posts found.