Un ricercatore, Bosko Stankovic di DefenseCode, ha scoperto preoccupanti vulnerabilità nella configurazione di default nell’ultima versione del browser Chrome scaricato su qualsiasi sistema operativo Windows, compreso Windows 10. Questa falla permette agli hacker di rubare da remoto le credenziali di login dell’utente.
Secondo il ricercatore, è sufficiente che l’utente visiti un sito web contenente un file SCF malevolo perché il suo PC inizi a condividere le credenziali di login con gli hacker tramite Chrome e protocollo SMB. Il tutto senza che l’utente se ne renda conto. Non è certo una nuova tecnica: è già stata utilizzata dal malware Stuxnet, una potente minaccia creata per destabilizzare il programma nucleare iraniano. Il nuovo attacco si differenzia dal passato perché, per la prima volta, utilizza Chrome per colpire.
Come spiega in un post:
Attualmente, l’hacker deve solo spingere la vittima (che utilizza Chrome e Windows aggiornati) a visitare il proprio sito web per procedere e riutilizzare le credenziali di autenticazione dell’utente.
Il file SCF sul sito malevolo viene automaticamente scaricato sul PC dell’utente senza che ne venga richiesta la conferma. Appena viene aperta la cartella in cui si trova il file, quest’ultimo si avvia automaticamente senza dovervi cliccare sopra. Dentro questo file troviamo la localizzazione di un server SMB remoto controllato dall’hacker che riesce a simulare un’autenticazione automatica, ottenendo username e una versione crittografata della password. Quest’ultima può essere “forzata” per ottenerla in chiaro.
Decriptarla non è sempre necessario: molti servizi Microsoft come OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live e simili accettano anche la password in versione crittografata. Questo tipo di vulnerabilità rappresenta una vera e propria minaccia per le grandi aziende, oltre che per il normale utente, perché rende estremamente semplice prendere il controllo delle risorse IT. Google è al lavoro su una patch.
Come prevenire un attacco SMB
Per difendersi da simili pericoli è possibile bloccare le connessioni SMB in uscita (porte TCP 139 e 445) dalla rete locale alla WAN tramite firewall. Più semplicemente possiamo bloccare i download automatici di Chrome andando in Chrome > Preferenze > Mostra Impostazioni Avanzate > mettete la spunta sull’opzione Chiedi dove salvare il file prima di scaricarlo. Così facendo dovrete approvare ogni download, evitando i file SCF che possono infettarvi.