Global Preloader
Vulnerabilidad
(17/May/2017) Hack para el navegador Chrome permite el robo de credenciales

Hack para el navegador Chrome permite el robo de credenciales

Una vulnerabilidad en el navegador Chrome de Google permite a los piratas informáticos descargar automáticamente un archivo malicioso en la PC de la víctima que podría ser utilizado para robar credenciales y lanzar ataques SMB. Bosko Stankovic, ingeniero de seguridad de la información en DefenseCode, encontró la falla en la configuración por defecto de la última versión de Chrome que se ejecuta en una versión actualizada del sistema operativo Windows 10 de Microsoft. “En la actualidad, el atacante sólo necesita incitar a la víctima a visitar su sitio web para poder proceder y volver a utilizar las credenciales de autenticación de la víctima”, escribió en una descripción de la vulnerabilidad.

La técnica permite a un atacante obtener acceso al nombre de usuario de la víctima y al hash de la contraseña de Microsoft LAN Manager (NTLMv2). Eso deja a las víctimas abiertos a una variedad de ataques, incluyendo un ataque de retransmisión del bloque de mensajes del servidor (SMB). Un ataque de retransmisión SMB permite que se utilicen las credenciales de una víctima para autenticar a un recurso de PC o una red como el correo electrónico o un servidor remoto. Los ataques también podrían usar esta vulnerabilidad para intentar descifrar la contraseña hash del objetivo.

DefenseCode dijo que no notificó a Google de la vulnerabilidad. Cuando Threatpost pidió a Google publicar un comunicado, Google dijo: “Somos conscientes de ello y tomaremos las acciones necesarias.

De acuerdo con Stankovic el ataque al navegador es simple. En primer lugar, la víctima es incitada a dar clic en un vínculo especialmente diseñado que desencadena una descarga automática de un archivo de Windows Explorer Shell Command o archivo SCF (.scf) en la PC de la víctima. El archivo se descarga automáticamente en el disco duro del objetivo: C:\Users\%Username%\Downloads Folder.

Una vez que el archivo .scf se descarga en la carpeta permanece inactivo. Sin embargo, una vez que el usuario abre la carpeta de descarga en Windows, el archivo de SCF intenta recuperar datos asociados con un icono de Windows que se encuentra en el servidor del atacante.

Cuando el archivo SCF intenta recuperar los datos de archivo de icono a distancia, le muestra al servidor del atacante el nombre de usuario y el hash de la contraseña de la versión de la víctima. Si la víctima es parte de una red corporativa, el nombre de usuario y la contraseña es el nombre de usuario y contraseña de red asignada por el administrador del sistema de la empresa. Si la víctima es un usuario doméstico, el archivo SCF solicitará los datos asociados con el nombre de usuario y contraseña de Windows del usuario doméstico.

Los investigadores independientes de DefenseCode señalan que la vulnerabilidad no está ligada exclusivamente a la forma en que el navegador Chrome maneja los archivos de SCF, sino también la forma en que Windows se encarga de ellos también.

De acuerdo con Stankovic, los archivos SCF son tipos de archivo poco conocidos presentes desde Windows 98 en la que se utiliza principalmente como un acceso directo “Mostrar escritorio”. “Es esencialmente un archivo de texto con secciones que determinan el comando a ejecutar (limitado a correr en Explorer) y una ubicación del icono del archivo”, dijo Stankovic.

Los investigadores dicen que este tipo de ataque podría ser utilizado maliciosamente para intentar romper la clave hash. El atacante también podría utilizar la solicitud de credenciales en un ataque de retransmisión SMB. Bajo ese escenario un atacante podría enviar la solicitud de credenciales NTLM para tratar de habilitar los servicios de acceso en una red corporativa - como el correo electrónico o el acceso a la red.

“Las organizaciones que permiten el acceso remoto a los servicios como Microsoft Exchange y el uso de NTLM como método de autenticación, pueden ser vulnerables a los ataques de relé SMB, permitiendo al atacante hacerse pasar por la víctima, el acceso a datos y sistemas sin tener que descifrar la clave”dijo Stankovic.

Para protegerse contra el ataque en Google Chrome, DefenseCode recomienda entrar a "Configuración> Mostrar opciones avanzadas> comprobación Pedir ubicación antes de la descarga”.

Stankovic dijo que navegadores como Microsoft Internet Explorer, Edge, Mozilla Firefox y Apple Safari cada uno no permiten la descarga automática de archivos SCF.