Se aconseja a los usuarios de Google Chrome en Windows que inhabiliten las descargas automáticas en el navegador web para proteger los datos de autenticación contra una nueva amenaza descubierta recientemente.
El navegador Chrome es el más popular en este momento en los dispositivos de escritorio. Está configurado para descargar archivos seguros automáticamente al sistema del usuario sin necesidad de un aviso por defecto.
Cualquier archivo descargado por los usuarios de Chrome que supere las comprobaciones de navegación segura de Google aterrizará automáticamente en el directorio de descarga predeterminado. Los usuarios de Chrome que deseen elegir la carpeta de descargas en lugar de las descargas deben cambiar ese comportamiento en las opciones.
El nuevo ataque, descrito en detalle en el sitio web del Código de Defensa, combina el comportamiento de descarga automática de Chrome con los archivos de comandos de Shell del Explorador de Windows que tienen la extensión de archivo .scf.
El formato de envejecimiento es un archivo de texto plano que incluye instrucciones, normalmente una ubicación de icono y comandos limitados. Lo que es particularmente interesante sobre el formato es que puede cargar recursos de un servidor remoto.
Aún más problemático es el hecho de que Windows procesará estos archivos tan pronto como abra el directorio en el que están almacenados, y que estos archivos aparecen sin extensión en el Explorador de Windows independientemente de la configuración. Esto significa que los atacantes podrían ocultar fácilmente el archivo detrás de un nombre de archivo disfrazado como image.jpg.
Los atacantes utilizan una ubicación de servidor SMB para el icono. Lo que sucede entonces es que el servidor solicita la autenticación, y que el sistema la proporcionará. Mientras se envían los hash de las contraseñas, los investigadores señalan que descifrar esas contraseñas no debería llevar décadas a menos que sean del tipo complejo.
En cuanto a la viabilidad del descifrado de contraseñas, esto mejoró mucho en los últimos años con el descifrado basado en la GPU. La referencia de hashcat NetNTLMv2 para una sola tarjeta Nvidia GTX 1080 es de alrededor de 1600 MH/s. Eso es 1.600 millones de hash por segundo. Para una contraseña de 8 caracteres, los equipos de GPU de 4 de estas tarjetas pueden atravesar un espacio de claves completo de caracteres alfanuméricos superiores/inferiores + caracteres especiales más comúnmente usados (!@#$%&) en menos de un día. Con cientos de millones de contraseñas filtradas como resultado de varias infracciones en los últimos años (LinkedIn, Myspace), el cracking basado en reglas de listas de palabras puede producir resultados sorprendentes contra contraseñas complejas con más entropía.
La situación es aún peor para los usuarios de máquinas con Windows 8 o 10 que se autentican con una cuenta de Microsoft, ya que la cuenta proporcionará al atacante acceso a servicios en línea como Outlook, OneDrive u Office365 si el usuario los utiliza. También existe la posibilidad de que la contraseña se reutilice en sitios que no sean de Microsoft.
Las soluciones antivirus no están marcando estos archivos ahora mismo.
Así es como el ataque baja
- El usuario visita un sitio web que o bien empuja un disco por descarga al sistema del usuario, o bien hace que el usuario haga clic en un archivo SCF especialmente preparado para que se descargue.
- El usuario abre el directorio de descargas predeterminado.
- Windows comprueba la ubicación del icono y envía los datos de autenticación al servidor SMB en formato hash.
- Los ataques pueden utilizar listas de contraseñas o ataques de fuerza bruta para descifrar la contraseña.
Índice de contenido
Cómo proteger su sistema contra este ataque
Una opción que tienen los usuarios de Chrome es deshabilitar las descargas automáticas en el navegador web. Esto evita las descargas por unidad, y también puede evitar las descargas accidentales de archivos.
- Cargar chrome://configuración/ en la barra de direcciones del navegador.
- Desplácese hacia abajo y haga clic en el enlace “mostrar configuración avanzada”.
- Desplácese hacia abajo a la sección de descargas.
- Marque la preferencia “Pregunte dónde guardar cada archivo antes de descargarlo”.
Chrome le pedirá una ubicación de descarga cada vez que se inicie una descarga en el navegador.
Caveats
Mientras que se añade una capa de protección al manejo de descargas de Chrome, los archivos SCF manipulados pueden aterrizar de diferentes maneras en los sistemas de destino.
Una opción que tienen los usuarios y administradores es bloquear los puertos usados por el tráfico SMB en el firewall. Microsoft tiene una guía que puedes usar para eso. La compañía sugiere bloquear la comunicación desde y hacia Internet a los puertos de las PYMES 137, 138, 139 y 445.
Sin embargo, el bloqueo de estos puertos puede afectar a otros servicios de Windows, como el servicio de fax, el spooler de impresión, el inicio de sesión en red o el uso compartido de archivos e impresiones.
Ahora Tú : ¿Cómo proteges tus máquinas contra las amenazas SMB / SCF?