A Vulnérabilité Google Chrome, qui a été découvert par l'ingénieur de sécurité de DefenceCode Bosko Stanković, est censé permettre aux pirates de télécharger des logiciels malveillants sur le PC d'une victime afin de voler les identifiants de connexion Windows et de lancer SMB (bloc de messages du serveur) des attaques par relais, selon les experts en sécurité.
Stankovic a déclaré dans un blog qu'il avait trouvé la faille dans une configuration par défaut de la dernière version de Chrome de Google fonctionnant sur n'importe quelle version du système d'exploitation Windows de Microsoft, y compris Windows 10. La faille ne devrait pas seulement inquiéter les administrateurs informatiques, car elle pose également une « menace importante » pour les grandes entreprises et même les utilisateurs réguliers. Il a également affirmé que le simple fait de visiter un site Web contenant un SCF (fichier de commande shell) fichier, pourrait permettre aux victimes de partager sans le savoir les informations de connexion de leur ordinateur avec des pirates via Chrome et le protocole SMB.
La technique d'attaque qui peut permettre le vol d'identifiants n'est pas nouvelle, mais une combinaison de deux techniques différentes, dont l'une est tirée de l'opération Stuxnet (Stuxnet — un malware puissant spécialement conçu pour détruire le programme nucléaire iranien) et l'autre d'une technique démontrée lors d'une conférence sur la sécurité Black Hat par deux chercheurs en sécurité.
Voler les informations d'identification Windows centrées sur les fichiers SCF :
Selon Stankovic, l'attaque est assez simple et implique que les victimes soient amenées à cliquer sur un lien malveillant, ce qui déclenche un téléchargement automatique du fichier SCF de l'explorateur Windows.
« SCF (Shell Command File) est un format de fichier qui prend en charge un ensemble très limité de commandes de l'Explorateur Windows qui aident à définir une icône sur votre bureau, comme Poste de travail et Corbeille. Tout comme les fichiers LNK (raccourcis), les fichiers SCF, lorsqu'ils sont stockés sur le disque, récupèrent un fichier d'icône lorsque l'utilisateur charge le fichier dans une fenêtre de l'Explorateur Windows.
Stankovic explique qu'il est très facile d'obtenir un fichier SCF sur les ordinateurs des utilisateurs. En effet, dans sa configuration par défaut, Chrome téléchargera automatiquement les fichiers qu'il juge sûrs sans demander à l'utilisateur un emplacement de téléchargement. Google considère les fichiers SCF comme sûrs, n'ayant aucune raison d'inviter l'utilisateur à agir.
Le fichier SCF reste en sommeil jusqu'à ce que la victime ouvre le dossier du répertoire de téléchargement, après quoi elle tente d'exfiltrer les données liées à une icône Windows située sur le serveur du pirate. Ceci, à son tour, fournit à l'attaquant le nom d'utilisateur et le mot de passe haché de la victime.
"Actuellement, l'attaquant a juste besoin d'inciter la victime (en utilisant Google Chrome et Windows entièrement mis à jour) à visiter son site Web pour pouvoir continuer et réutiliser les informations d'authentification de la victime", a écrit Stankovic dans un article de blog, décrivant la faille.
Vaincre le vol des identifiants de connexion Windows :
Le chercheur en sécurité conseille aux utilisateurs de désactiver les téléchargements automatiques dans Google Chrome. Pour ce faire, il faut ouvrir « Afficher les paramètres avancés » dans les paramètres. Là, cochez la case « Demander où enregistrer chaque fichier avant de le télécharger ». Ce changement obligera Google à demander votre autorisation avant de télécharger un fichier, ce qui réduirait considérablement le risque d'attaques de vol d'identifiants à l'aide de fichiers SCF.
Des mesures de protection plus avancées incluent le blocage des requêtes SMB sortantes du réseau local vers le WAN via des pare-feu, afin que les ordinateurs locaux ne puissent pas interroger les serveurs SMB distants.
