Aggiornamenti recenti Settembre 10th, 2024 9:57 AM
Mag 17, 2017 Marco Schiaffino Attacchi, Intrusione, News, RSS, Vulnerabilità 0
Quanto ci vuole per rubare le credenziali di accesso di un utente Windows? Se usa Chrome, è questione di una manciata di secondi o (nel peggiore dei casi) di qualche ora. Tutto quello che serve è attirare la vittima u un sito Web confezionato ad hoc e aspettare che apra la cartella in cui memorizza i file scaricati con il browser di Google.
La tecnica, illustrata in questo documento dal ricercatore di sicurezza Bosko Stankovic, sfrutta due bug apparentemente innocui di Windows e Chrome, il cui uso combinato però consente di sottrarre con estrema facilità username e password di qualsiasi utente Windows.
La prima vulnerabilità è stata utilizzata in passato dall’NSA per diffondere il suo “virus di stato” più celebre: Stuxnet. Si tratta di un problema legato alla visualizzazione di alcuni file particolari (LNK e SCF) a cui Windows consente di visualizzare icone personalizzate.
Le icone personalizzate di questi tipi di file possono fare riferimento a un URL esterna o a un file CPL (Control Panel) che è, in definitiva, una DLL. La DLL (o l’URL) vengono quindi caricate quando l’utente visualizza il file in una finestra di Windows Explorer, senza che sia nemmeno necessario che apra il file in questione.
La National Security Agency aveva sfruttato questa falla con i file LNK (i collegamenti di Windows) per portare il suo attacco contro la centrale di arricchimento dell’uranio iraniana, collegando la DLL del payload in modo che si avviasse al momento dell’apertura della chiave USB che conteneva il malware.
In seguito alla scoperta di Stuxnet, Microsoft ha corretto la vulnerabilità per quanto riguarda i file LNK. Dalle parti di Redmond, però, non hanno pensato di fare la stessa cosa per i file SCF, che mantengono questa caratteristica.
I file SCF (Shell Command File) permettono di eseguire un set limitato di comandi collegati a Windows Explorer, come l’apertura di finestre e sono, almeno tendenzialmente, innocui. Grazie al trucchetto illustrato sopra, però, permettono di utilizzare la stessa tecnica usata dall’NSA per avviare un eseguibile potenzialmente pericoloso.
Stankovic, però, ha trovato un altro modo per sfruttarli. Al posto di collegare l’icona personalizzata a un file in locale, ha pensato di collegarla a un’URL che fa riferimento a un server SMB (Server Message Block) e che invia immediatamente al computer una richiesta di autenticazione.
Risultato: Windows pensa di collegarsi a una risorsa per cui serve autenticarsi e, diligentemente, invia username e password al server. Visto che il server è gestito dall’attaccante, questi li otterrà immediatamente.
Certo, per sfruttare questo trucchetto sarebbe necessario convincere la vittima a scaricare un file SCF sul suo computer e poi fargli per lo meno aprire la cartella in cui lo ha scaricato.
E qui entra in gioco Chrome. Stankovic, infatti, ha notato che il browser di Google considera questo tipo di file talmente innocuo da farlo rientrare in quella categoria di elementi per cui non è necessario chiedere l’autorizzazione all’utente per avviarne il download.
Questo significa, in pratica, che se la vittima visita un sito Internet che propone il download di un file SCF, questo viene scaricato automaticamente nella cartella dei download. Quando la vittima aprirà la cartella (e prima o poi lo farà di certo) il file verrà visualizzato e le credenziali saranno trasmesse grazie al meccanismo descritto in precedenza.
In attesa di una patch di Windows (e magari anche di Chrome) che risolva il problema, il consiglio del ricercatore serbo è quello di modificare le impostazioni di Chrome per fare in modo che apra una finestra di dialogo ogni volta che avvia il download di un file da Internet.
Per farlo è sufficiente aprire le Impostazioni avanzate di Chrome e attivare la voce Chiedi dove salvare il file prima di scaricarlo. In questo modo, per lo meno, avremo la possibilità di annullare l’operazione se ci accorgiamo che Chrome sta cercando di scaricare qualcosa che non vogliamo.
Ago 26, 2024 0
Ago 07, 2024 0
Lug 19, 2024 0
Lug 08, 2024 0
Set 10, 2024 0
Set 09, 2024 0
Set 09, 2024 0
Set 06, 2024 0
Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Set 02, 2024 0
Il numero di attacchi alle applicazioni e alle API è in...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 10, 2024 0
I ricercatori di ESET hanno individuato una campagna ai...Set 09, 2024 0
I ricercatori di Pathstack hanno individuato una nuova...Set 09, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...