A गुगल क्रोम जोखिम, जुन DefenceCode सुरक्षा ईन्जिनियर द्वारा खोलिएको थियो बोस्को स्टानकोभिकभनिन्छ, हैकर्सले पीडितको पीसीमा मालवेयर डाउनलोड गर्नका लागि व्यक्तिको विन्डोज लगइन प्रमाणहरू चोरी गर्न र सुरूवात गर्न अनुमति दिन्छ एसएमबी (सर्वर सन्देश ब्लक) सुरक्षा विज्ञहरुका अनुसार रिले हमला।
स्टानकोभिकले एक ब्लगमा भने कि उनले गुगलको क्रोमको नयाँ संस्करणको डिफॉल्ट कन्फिगरेसनमा त्रुटि भेट्टाए जुन विन्डोज १० सहित माइक्रोसफ्टको विन्डोज अपरेटिंग सिस्टमको कुनै पनि संस्करणमा चलेको छ। दोषले आईटी प्रशासकहरूलाई चिन्तित पार्नु हुँदैन किनभने यसले पनि पोष्ट गरेको छ। ठूला कम्पनीहरू र नियमित प्रयोगकर्ताहरूको लागि "महत्वपूर्ण खतरा"। उनले यो पनि दाबी गरे कि केवल एउटा मालिसियस सहितको वेबसाइट भ्रमण गरेर एससीएफ (शेल कमाण्ड फाइल) फाइल, शिकारहरूले अनजाने क्रोम र एसएमबी प्रोटोकल मार्फत ह्याकरहरूसँग उनीहरूको कम्प्युटरको लगइन प्रमाणहरू साझा गर्न अनुमति दिन सक्दछ।
हमला प्रविधिको प्रयोग जसले क्रेडेंशियल चोरीलाई अनुमति दिन सक्छ नयाँ होइन, तर दुई बिभिन्न प्रविधिहरूको संयोजन, जुन मध्ये एउटा स्टक्सनेट अपरेसनबाट लिएको थियो (Stuxnet - एक शक्तिशाली मालवेयर जुन विशेष गरी इरानको आणविक कार्यक्रमलाई नष्ट गर्न डिजाइन गरिएको थियो) र अर्कोले एउटा प्रविधिबाट प्रदर्शन गर्यो। दुई सुरक्षा अन्वेषकहरूले कालो ह्याट सुरक्षा सम्मेलनमा।
SCF फाइलहरूको वरिपरि केन्द्रित विन्डोज प्रत्यायकहरू चोरी गर्दै:
स्टानकोभिकका अनुसार यो आक्रमण एकदम सीधा छ जसमा पीडित व्यक्तिलाई दुर्भावनापूर्ण लिंकमा क्लिक गर्न धोका दिइन्छ, जसले विन्डोज एक्सप्लोरर एससीएफ फाइलको एक स्वचालित डाउनलोड ट्रिगर गर्दछ।
“एससीएफ (शेल कमाण्ड फाइल) एक फाईल ढाँचा हो जसले विन्डोज एक्सप्लोरर कमाण्डहरूको धेरै सीमित सेटलाई समर्थन गर्दछ जसले तपाईंको डेस्कटपमा आईकन परिभाषित गर्न मद्दत गर्दछ, जस्तै मेरो कम्प्युटर र रिसायकल बिन। एलएनके फाईलहरू (सर्टकटहरू) जस्तै, एससीएफ फाईलहरू, डिस्कमा भण्डार हुँदा, प्रयोगकर्ताले विन्डोज एक्सप्लोरर विन्डोमा फाइल लोड गर्दा आईकन फाइल प्राप्त गर्दछ। "
Stankovic वर्णन गर्दछ कि प्रयोगकर्ताहरूको कम्प्युटरहरूमा एक SCF फाईल प्राप्त गर्न धेरै सजिलो छ। यो किनभने यसको पूर्वनिर्धारित कन्फिगरेसनमा, क्रोमले स्वचालित रूपमा फाइलहरू डाउनलोड गर्दछ जुन यसलाई डाउनलोड स्थानका लागि प्रोम्ट नगरीकन सुरक्षित मानिन्छ। गुगलले SCF फाईलहरू सुरक्षितको रूपमा लिन्छ, कुनै कार्यको लागि प्रयोगकर्तालाई प्रोम्ट गर्न कारण छैन।
एससीएफ फाईल सुस्त रहन्छ जबसम्म पीडितले डाउनलोड डाइरेक्टरी फोल्डर खोल्दैन, जस पछि यसले ह्याकरको सर्भरमा अवस्थित विन्डोज आइकनसँग लि data्क गरिएको डाटा एक्सफिल्ट गर्न प्रयास गर्दछ। यो बदलेमा, आक्रमणकर्ताले पीडितको प्रयोगकर्तानाम र ह्याश पासवर्डको साथ प्रदान गर्दछ।
"हाल, आक्रमणकर्ताले पीडितलाई फसाउन (पूर्ण अपडेट गरिएको गुगल क्रोम र विन्डोज प्रयोग गरेर) आफ्नो वेबसाइटको भ्रमण गर्नका लागि पीडितको प्रमाणीकरण प्रमाणिकरणहरू पुनः प्रयोग गर्न सक्षम हुन आवश्यक छ," स्टानकोभिकले एउटा ब्लग पोस्टमा त्रुटि वर्णन गर्दै लेखेका थिए।
विन्डोज लगईन प्रमाण चोरी चोरी पराजित गर्दै:
सुरक्षा अन्वेषकले प्रयोगकर्ताहरूलाई गुगल क्रोममा स्वत: डाउनलोडहरू अक्षम गर्न सल्लाह दिन्छ। त्यसो गर्न, एकले 'उन्नत सेटिंग्स देखाउनुहोस्' सेटिंग्समा खोल्न आवश्यक छ। त्यहाँ, 'प्रत्येक फाइल डाउनलोड गर्नु अघि कहाँ बचत गर्ने भनेर सोध्नुहोस्।' जाँच गर्नुहोस्। यस परिवर्तनले गुगललाई फाईल डाउनलोड गर्नु अघि तपाईंको अनुमति माग्न बाध्य पार्छ, जसले एससीएफ फाईलहरूको प्रयोग गरेर प्रमाणपत्र चोरी हमला गर्ने जोखिमलाई उल्लेखनीय रूपमा कम गर्दछ।
अधिक उन्नत सुरक्षा उपायहरूमा फायरवालहरू मार्फत WAN मा स्थानीय नेटवर्कबाट आउटबाउन्ड एसएमबी अनुरोधहरू ब्लक गर्न समावेश छ, त्यसैले स्थानीय कम्प्युटरले रिमोट एसएमबी सर्भरहरू क्वेरी गर्न सक्दैन।