Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Rubare le credenziali di Windows? Ti aiuta Chrome
La tecnica sfrutta un trucchetto già usato dall’NSA per diffondere Stuxnet e alcune “leggerezze” nelle impostazioni del browser di Google.
Quanto ci vuole per rubare le credenziali di accesso di un utente Windows? Se usa Chrome, è questione di una manciata di secondi o (nel peggiore dei casi) di qualche ora. Tutto quello che serve è attirare la vittima u un sito Web confezionato ad hoc e aspettare che apra la cartella in cui memorizza i file scaricati con il browser di Google.
La tecnica, illustrata in questo documento dal ricercatore di sicurezza Bosko Stankovic, sfrutta due bug apparentemente innocui di Windows e Chrome, il cui uso combinato però consente di sottrarre con estrema facilità username e password di qualsiasi utente Windows.
La prima vulnerabilità è stata utilizzata in passato dall’NSA per diffondere il suo “virus di stato” più celebre: Stuxnet. Si tratta di un problema legato alla visualizzazione di alcuni file particolari (LNK e SCF) a cui Windows consente di visualizzare icone personalizzate.
Le icone personalizzate di questi tipi di file possono fare riferimento a un URL esterna o a un file CPL (Control Panel) che è, in definitiva, una DLL. La DLL (o l’URL) vengono quindi caricate quando l’utente visualizza il file in una finestra di Windows Explorer, senza che sia nemmeno necessario che apra il file in questione.
La National Security Agency aveva sfruttato questa falla con i file LNK (i collegamenti di Windows) per portare il suo attacco contro la centrale di arricchimento dell’uranio iraniana, collegando la DLL del payload in modo che si avviasse al momento dell’apertura della chiave USB che conteneva il malware.
In queste settimane sembra che le vulnerabilità sfruttate all’NSA nelle sua azioni finiscano sempre per dare un gran da fare ai ricercatori di sicurezza.
In seguito alla scoperta di Stuxnet, Microsoft ha corretto la vulnerabilità per quanto riguarda i file LNK. Dalle parti di Redmond, però, non hanno pensato di fare la stessa cosa per i file SCF, che mantengono questa caratteristica.
I file SCF (Shell Command File) permettono di eseguire un set limitato di comandi collegati a Windows Explorer, come l’apertura di finestre e sono, almeno tendenzialmente, innocui. Grazie al trucchetto illustrato sopra, però, permettono di utilizzare la stessa tecnica usata dall’NSA per avviare un eseguibile potenzialmente pericoloso.
Stankovic, però, ha trovato un altro modo per sfruttarli. Al posto di collegare l’icona personalizzata a un file in locale, ha pensato di collegarla a un’URL che fa riferimento a un server SMB (Server Message Block) e che invia immediatamente al computer una richiesta di autenticazione.
Risultato: Windows pensa di collegarsi a una risorsa per cui serve autenticarsi e, diligentemente, invia username e password al server. Visto che il server è gestito dall’attaccante, questi li otterrà immediatamente.
Certo, per sfruttare questo trucchetto sarebbe necessario convincere la vittima a scaricare un file SCF sul suo computer e poi fargli per lo meno aprire la cartella in cui lo ha scaricato.
E qui entra in gioco Chrome. Stankovic, infatti, ha notato che il browser di Google considera questo tipo di file talmente innocuo da farlo rientrare in quella categoria di elementi per cui non è necessario chiedere l’autorizzazione all’utente per avviarne il download.
Questo significa, in pratica, che se la vittima visita un sito Internet che propone il download di un file SCF, questo viene scaricato automaticamente nella cartella dei download. Quando la vittima aprirà la cartella (e prima o poi lo farà di certo) il file verrà visualizzato e le credenziali saranno trasmesse grazie al meccanismo descritto in precedenza.
In attesa di una patch di Windows (e magari anche di Chrome) che risolva il problema, il consiglio del ricercatore serbo è quello di modificare le impostazioni di Chrome per fare in modo che apra una finestra di dialogo ogni volta che avvia il download di un file da Internet.
Per farlo è sufficiente aprire le Impostazioni avanzate di Chrome e attivare la voce Chiedi dove salvare il file prima di scaricarlo. In questo modo, per lo meno, avremo la possibilità di annullare l’operazione se ci accorgiamo che Chrome sta cercando di scaricare qualcosa che non vogliamo.
Condividi l'articolo
Siti Joomla a rischio SQL Injection. Disponibile la patch
WannaCry è stato “contenuto” da un’altra botnet
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
