Vous devez désactiver les téléchargements automatiques dans Chrome dès maintenant

Il est conseillé aux utilisateurs de Google Chrome sous Windows de désactiver les téléchargements automatiques dans le navigateur Web afin de protéger les données d'authentification contre une nouvelle menace récemment découverte.

Le navigateur Chrome est le navigateur le plus populaire actuellement sur les appareils de bureau. Il est configuré pour télécharger automatiquement des fichiers sécurisés sur le système utilisateur sans invite par défaut.

Tout fichier téléchargé par les utilisateurs de Chrome et soumis aux vérifications de navigation sécurisées de Google sera automatiquement placé dans le répertoire de téléchargement par défaut. Les utilisateurs de Chrome qui souhaitent choisir le dossier de téléchargement à la place pour les téléchargements doivent modifier ce comportement dans les options.

La nouvelle attaque, décrite en détail sur le site Web du code de défense, associe le comportement de téléchargement automatique de Chrome aux fichiers de fichier de commande Shell de l'explorateur Windows portant l'extension .scf.

Le format de vieillissement est un fichier texte contenant des instructions, généralement un emplacement d'icône et des commandes limitées. Le format est particulièrement intéressant car il peut charger des ressources d’un serveur distant.

Encore plus problématique est le fait que Windows traitera ces fichiers dès que vous ouvrirez le répertoire dans lequel ils sont stockés et que ces fichiers apparaîtront sans extension dans l'Explorateur Windows, quels que soient les paramètres. Cela signifie que les attaquants pourraient facilement cacher le fichier derrière un nom de fichier déguisé tel que image.jpg.

Les attaquants utilisent un emplacement de serveur SMB pour l'icône. Ce qui se passe alors, c’est que le serveur demande l’authentification et que le système le fournira. Alors que les hachages de mots de passe sont soumis, les chercheurs notent que la suppression de ces mots de passe ne devrait plus prendre des décennies, à moins qu’ils ne soient du type complexe.

En ce qui concerne la faisabilité de la résolution des problèmes de mots de passe, celle-ci s’est considérablement améliorée ces dernières années grâce à la fissuration basée sur GPU. La référence hashcat de NetNTLMv2 pour une seule carte Nvidia GTX 1080 est d’environ 1600 MH / s. C'est 1, 6 milliard de hachages par seconde. Pour un mot de passe de 8 caractères, les cartes graphiques de 4 cartes de ce type peuvent traverser tout un espace de touches alphanumériques supérieur / inférieur + caractères spéciaux les plus utilisés ( # $% &) en moins d'une journée. Avec des centaines de millions de mots de passe perdus à la suite de plusieurs violations au cours des dernières années (LinkedIn, Myspace), la fissuration basée sur des règles de liste de mots peut produire des résultats surprenants contre des mots de passe complexes avec plus d'entropie.

La situation est encore pire pour les utilisateurs de machines Windows 8 ou 10 qui s’authentifient auprès d’un compte Microsoft, ce dernier fournissant à l’attaquant un accès à des services en ligne tels que Outlook, OneDrive ou Office365 s’ils sont utilisés par l’utilisateur. Il est également possible que le mot de passe soit réutilisé sur des sites autres que Microsoft.

Les solutions antivirus ne signalent pas ces fichiers pour le moment.

Voici comment l'attaque se passe

  1. L'utilisateur visite un site Web qui pousse un lecteur par téléchargement vers le système utilisateur ou le force à cliquer sur un fichier SCF spécialement préparé pour le télécharger.
  2. L'utilisateur ouvre le répertoire de téléchargement par défaut.
  3. Windows vérifie l'emplacement de l'icône et envoie les données d'authentification au serveur SMB au format haché.
  4. Les attaques peuvent utiliser des listes de mots de passe ou des attaques par force brute pour déchiffrer le mot de passe.

Comment protéger votre système contre cette attaque

Les utilisateurs de Chrome ont la possibilité de désactiver les téléchargements automatiques dans le navigateur Web. Cela empêche les téléchargements par lecteur et peut également empêcher les téléchargements accidentels de fichiers.

  1. Chargez chrome: // settings / dans la barre d'adresse du navigateur.
  2. Faites défiler la liste et cliquez sur le lien "Afficher les paramètres avancés".
  3. Faites défiler jusqu'à la section Téléchargements.
  4. Cochez la préférence "Demander où enregistrer chaque fichier avant de télécharger".

Chrome vous invite à indiquer un emplacement de téléchargement chaque fois qu'un téléchargement est lancé dans le navigateur.

Mises en garde

Lorsque vous ajoutez une couche de protection à la gestion des téléchargements dans Chrome, les fichiers SCF manipulés peuvent atterrir de différentes manières sur les systèmes cibles.

Une option proposée aux utilisateurs et aux administrateurs consiste à bloquer les ports utilisés par le trafic SMB dans le pare-feu. Microsoft a un guide que vous pouvez utiliser pour cela. La société suggère de bloquer la communication depuis et vers Internet vers les ports 137, 138, 139 et 445 de la SMB.

Le blocage de ces ports peut affecter d'autres services Windows, tels que le service de télécopie, le spouleur d'impression, la connexion Internet ou le partage de fichiers et d'impression.

Now You : Comment protégez-vous vos machines contre les menaces SMB / SCF?