Sie sollten das automatische Herunterladen jetzt in Chrome deaktivieren

Nutzern von Google Chrome unter Windows wird empfohlen, die automatischen Downloads im Webbrowser zu deaktivieren, um Authentifizierungsdaten vor einer neuen Bedrohung zu schützen, die kürzlich entdeckt wurde.

Der Chrome-Browser ist derzeit der beliebteste Browser auf Desktop-Geräten. Es ist so konfiguriert, dass sichere Dateien standardmäßig ohne Aufforderung automatisch auf das Benutzersystem heruntergeladen werden.

Alle Dateien, die Chrome-Nutzer herunterladen und die die Sicherheitsprüfungen von Google bestehen, werden automatisch im Standard-Download-Verzeichnis abgelegt. Chrome-Nutzer, die stattdessen den Download-Ordner für Downloads auswählen möchten, müssen dieses Verhalten in den Optionen ändern.

Der neue Angriff, der ausführlich auf der Defense Code-Website beschrieben wird, kombiniert das automatische Downloadverhalten von Chrome mit Windows Explorer-Shell-Befehlsdatei-Dateien mit der Dateierweiterung .scf.

Das Alterungsformat ist eine reine Textdatei, die Anweisungen, normalerweise einen Symbolspeicherort und eingeschränkte Befehle enthält. Das Besondere an diesem Format ist, dass möglicherweise Ressourcen von einem Remoteserver geladen werden.

Noch problematischer ist die Tatsache, dass Windows diese Dateien verarbeitet, sobald Sie das Verzeichnis öffnen, in dem sie gespeichert sind, und dass diese Dateien im Windows Explorer unabhängig von den Einstellungen ohne Erweiterung angezeigt werden. Das bedeutet, dass Angreifer die Datei leicht hinter einem versteckten Dateinamen wie image.jpg verstecken können.

Die Angreifer verwenden einen SMB-Serverstandort für das Symbol. Was dann passiert, ist, dass der Server die Authentifizierung anfordert und dass das System dies bereitstellt. Während Passwort-Hashes eingereicht werden, stellen die Forscher fest, dass das Knacken dieser Passwörter nicht mehr Jahrzehnte dauern sollte, es sei denn, es handelt sich um komplexe Passwörter.

In Bezug auf die Durchführbarkeit des Kennwort-Knackens hat sich dies in den letzten Jahren durch das GPU-basierte Knacken erheblich verbessert. Der NetNTLMv2-Hashcat-Benchmark für eine einzelne Nvidia GTX 1080-Karte liegt bei 1600 MHz / s. Das sind 1, 6 Milliarden Hashes pro Sekunde. Bei einem 8-stelligen Kennwort können GPU-Rigs mit 4 solchen Karten in weniger als einem Tag einen gesamten Schlüsselbereich aus oberen / unteren alphanumerischen Zeichen und den am häufigsten verwendeten Sonderzeichen ( # $% &) durchlaufen. Mit Hunderten von Millionen durchgesickerten Passwörtern, die aus mehreren Verstößen in den letzten Jahren resultierten (LinkedIn, Myspace), kann das regelbasierte Knacken von Wortlisten überraschende Ergebnisse gegenüber komplexen Passwörtern mit mehr Entropie hervorbringen.

Für Benutzer von Windows 8- oder Windows 10-Computern, die sich mit einem Microsoft-Konto authentifizieren, ist die Situation noch schlimmer, da das Konto dem Angreifer den Zugriff auf Onlinedienste wie Outlook, OneDrive oder Office365 ermöglicht, sofern dieser vom Benutzer verwendet wird. Es besteht auch die Möglichkeit, dass das Kennwort auf Websites verwendet wird, die nicht von Microsoft stammen.

Antivirus-Lösungen kennzeichnen diese Dateien derzeit nicht.

So geht der Angriff vonstatten

  1. Der Benutzer besucht eine Website, die entweder ein Laufwerk per Download auf das Benutzersystem überträgt oder den Benutzer auf eine speziell vorbereitete SCF-Datei klickt, damit diese heruntergeladen wird.
  2. Der Benutzer öffnet das Standard-Download-Verzeichnis.
  3. Windows überprüft den Symbolspeicherort und sendet Authentifizierungsdaten im Hash-Format an den SMB-Server.
  4. Angriffe können Kennwortlisten oder Brute-Force-Angriffe verwenden, um das Kennwort zu knacken.

So schützen Sie Ihr System vor diesem Angriff

Eine Möglichkeit für Chrome-Nutzer besteht darin, das automatische Herunterladen im Webbrowser zu deaktivieren. Dies verhindert Drive-by-Downloads und möglicherweise auch das versehentliche Herunterladen von Dateien.

  1. Laden Sie chrome: // settings / in die Adressleiste des Browsers.
  2. Scrollen Sie nach unten und klicken Sie auf den Link "Erweiterte Einstellungen anzeigen".
  3. Scrollen Sie nach unten zum Bereich Downloads.
  4. Aktivieren Sie die Einstellung "Vor dem Herunterladen nach dem Speicherort der einzelnen Dateien fragen".

Chrome fordert Sie bei jedem Download im Browser auf, einen Download-Speicherort anzugeben.

Vorbehalte

Während Sie die Handhabung von Downloads in Chrome schützen, werden manipulierte SCF-Dateien auf Zielsystemen möglicherweise auf unterschiedliche Weise abgelegt.

Eine Möglichkeit für Benutzer und Administratoren besteht darin, die vom SMB-Datenverkehr in der Firewall verwendeten Ports zu blockieren. Microsoft hat eine Anleitung, die Sie dafür verwenden können. Das Unternehmen schlägt vor, die Kommunikation von und zum Internet zu den SMB-Ports 137, 138, 139 und 445 zu blockieren.

Das Blockieren dieser Ports kann sich jedoch auf andere Windows-Dienste auswirken, z. B. den Faxdienst, den Druckerspooler, die Netzwerkanmeldung oder die Datei- und Druckerfreigabe.

Now You : Wie schützen Sie Ihre Computer vor SMB / SCF-Bedrohungen?