Simplemente accediendo a una carpeta que contiene un archivo malicioso SCF un usuario compartirá sin darse cuenta las credenciales de acceso de su equipo, con un atacante a través de Google Chrome y el protocolo SMB.
Esta técnica no es nueva, sino una combinación de dos técnicas diferentes, uno tomado de la operación Stuxnet, y que se detalla por un investigador de seguridad en la conferencia de seguridad Sombrero Negro.SCF archivos como portador de malas noticias
Este ataque recogida por el investigador de seguridad de Serbia Bosko Stankovic de DefenseCode se centra en los archivos de SCF.SCF significa Shell Archivo de comandos y es un formato de archivo que soporta un conjunto muy limitado de comandos de Windows Explorer, como abrir una ventana del Explorador de Windows o mostrar el escritorio. El acceso directo "Mostrar escritorio" todos usamos a diario es un archivo de SCF.
Al igual que los archivos LNK (accesos directos), archivos de SCF, cuando se almacena en el disco, va a recuperar un archivo de icono cuando el usuario carga el archivo en una ventana del Explorador de Windows.
A los archivos .LNK se les permitía almacenar la ubicación de su archivo de icono dentro de una DLL o en una URL. Después de que el Grupo Ecuación (tos, NSA, tos) utiliza la capacidad de cargar código malicioso a través de archivos LNK en los ataques de Stuxnet.
El ataque SMB de retransmisión se utiliza para recoger las credenciales
Usando el conocimiento de una presentación 2015 Sombrero Negro, Stankovic creado un archivo de SCF que carga su imagen de icono de una URL, en la que es extremo se mantiene un servidor SMB.Esto significa que cada vez que el equipo del usuario intentará cargar el icono de este servidor SMB, el servidor va a pedir y recibir las credenciales de inicio de sesión del usuario, el ordenador del usuario piensa que necesita para autenticar.
El problema es que estas peticiones SMB se llevan a cabo incluso si los usuarios quieren o no. El sistema operativo Windows está diseñado para cargar los íconos de archivos cada vez que el usuario navega a una carpeta, sin preguntas, sin interacción con el usuario necesita.
Cuando el usuario ha navegado a una carpeta que contiene un archivo SCF malicioso, en milisegundos, el sistema operativo leerá el archivo de SCF, hacer una petición al servidor SMB remoto y regalar las credenciales del usuario en forma de un NTLMv2, NTLMv1, o LM hash de la contraseña, dependiendo de la versión del sistema operativo del usuario.
Esto es un problema porque hay muchas herramientas de código abierto que pueden descifrar estos tipos de hashes de contraseñas, con LM, y NTLMv2.
Por otra parte, en Windows 8 y después, si el usuario utiliza su cuenta de Microsoft para iniciar sesión en su equipo, el atacante no sólo se apodera de contraseñas locales del PC de un usuario, sino también el hash para otros servicios, como onedrive, Outlook. com, Office 365, Office Online, Skype, Xbox Live y otros.
Pero esto no sería un problema si los usuarios no tendrían archivos maliciosos SCF en sus equipos. Aquí es donde entra en juego Google Chrome, el navegador más popular en el mercado hoy en día.
Stankovic explica que es muy fácil de conseguir un archivo de SCF en los ordenadores de los usuarios. Esto se debe a que, en su configuración predeterminada, Chrome se descargará automáticamente archivos que se consideran segura sin preguntar al usuario una ubicación de descarga. Google considera segura archivos como SCF, que no tiene razón para pedir al usuario para la acción.
Por otra parte, el atacante no necesita necesariamente ingeniero social en la descarga de archivos de SCF en sus equipos. Hay un montón de sitios web vulnerables a descargas de archivos "reflejados" que permite a los atacantes descargar archivos en los ordenadores de los usuarios. En la configuración por defecto de Chrome, que utilizan muchos usuarios, este archivo se descargará en la carpeta Descargas del usuario.
Los usuarios que notan la descarga deben ir a la carpeta de descargas para inspeccionar este archivo sospechoso pondrá en marcha las credenciales compartiendo ataque sin su conocimiento, tan pronto como se abra el directorio.
Como mantenerse a salvo de esta amenaza
Como una forma de mitigar este tipo de ataques, Stankovic informa que los usuarios puedem configurar su navegador Chrome para preguntar dónde guardar cada archivo individualmente. Los usuarios pueden hacerlo visitando:Settings/Show advanced settings/Ask where to save each file before downloading
Más medidas de protección avanzada incluyen el bloqueo de solicitudes SMB de salida a través de servidores de seguridad, por lo que los equipos locales no pueden consultar los servidores SMB remotos.
