Du skal deaktivere automatiske downloads i Chrome lige nu

Prøv Vores Instrument Til At Fjerne Problemer

Google Chrome-brugere på Windows er rådgivet at deaktivere automatiske downloads i webbrowseren for at beskytte godkendelsesdata mod en ny trussel, der for nylig blev opdaget.

Chrome-browseren er den mest populære browser lige nu på stationære enheder. Det er konfigureret til automatisk at downloade sikre filer til brugersystemet uden prompt.

Enhver fil, som Chrome-brugere downloader, og som passerer Googles sikre browsingchecks, lander automatisk i standardoverførselsbiblioteket. Chrome-brugere, der i stedet vil vælge downloadmappen til downloads, skal ændre denne opførsel under indstillingerne.

Det nye angreb, der er beskrevet detaljeret på webstedet om forsvarskode, kombinerer Chrome's automatiske downloadadfærd med Windows Explorer Shell Command File-filer, der har filtypenavnet .scf.

Aldringsformatet er en almindelig tekstfil, der indeholder instruktioner, normalt en ikonplacering og begrænsede kommandoer. Det, der er specielt interessant ved formatet, er, at det muligvis indlæser ressourcer fra en ekstern server.

Endnu mere problematisk er det faktum, at Windows behandler disse filer, så snart du åbner det bibliotek, de er gemt i, og at disse filer vises uden udvidelse i Windows Stifinder uanset indstillinger. Dette betyder, at angribere let kunne skjule filen bag et skjult filnavn, såsom image.jpg.

Angriberen bruger en SMB-serverplacering til ikonet. Hvad der derefter sker, er, at serveren anmoder om godkendelse, og at systemet leverer det. Mens adgangskodehastigheder indsendes, bemærker forskerne, at cracking af disse adgangskoder ikke bør tage årtier mere, medmindre de er af den komplekse art.

Med hensyn til muligheden for at revne adgangskode forbedrede dette sig meget i de sidste par år med GPU-baseret cracking. NetNTLMv2-hashcat-benchmark for et enkelt Nvidia GTX 1080-kort er ca. 1600 MH / s. Det er 1,6 milliarder hash pr. Sekund. For en adgangskode på 8 tegn kan GPU-rigge på 4 sådanne kort gå gennem et helt nøgleområde med øverste / nederste alfanumeriske + mest almindeligt anvendte specialtegn (! @ # $% &) På mindre end en dag. Med hundreder af millioner lækkede adgangskoder resultatet af flere overtrædelser i de seneste år (LinkedIn, Myspace), kan ordlistebaseret cracking give overraskende resultater mod komplekse adgangskoder med mere entropi.

Situationen er endnu værre for brugere på Windows 8 eller 10 maskiner, der autentificerer med en Microsoft-konto, da kontoen giver angriberen adgang til onlinetjenester som Outlook, OneDrive eller Office365, hvis de bruges af brugeren. Der er også en chance for, at adgangskoden genbruges på ikke-Microsoft-websteder.

Antivirusløsninger markerer ikke disse filer lige nu.

Sådan går angrebet ned

  1. Bruger besøger et websted, som enten skubber et drev ved at downloade til brugersystemet, eller får brugeren til at klikke på en specielt forberedt SCF-fil, så den bliver downloadet.
  2. Bruger åbner standardoverførselsbiblioteket.
  3. Windows kontrollerer ikonens placering og sender godkendelsesdata til SMB-serveren i hashformat.
  4. Angreb kan bruge adgangskodelister eller brute force-angreb til at knække adgangskoden.

Sådan beskytter du dit system mod dette angreb

chrome disable automatic downloads

En mulighed, som Chrome-brugere har, er at deaktivere automatiske downloads i webbrowseren. Dette forhindrer drev ved downloads og kan også forhindre utilsigtet download af filer.

  1. Indlæs krom: // indstillinger / i browserens adresselinje.
  2. Rul ned og klik på linket 'Vis avancerede indstillinger'.
  3. Rul ned til sektionen Downloads.
  4. Kontroller præferensen 'Spørg, hvor du skal gemme hver fil, inden du downloader'.

Chrome beder dig om en downloadplacering, hver gang en download startes i browseren.

forbehold

Mens du tilføjer et lag beskyttelse til Chromes håndtering af downloads, kan manipulerede SCF-filer muligvis lande på forskellige måder på målsystemer.

En mulighed, som brugere og administratorer har, er at blokere porte, der bruges af SMB-trafik i firewall. Microsoft har en guide op, som du kan bruge til det. Virksomheden foreslår at blokere kommunikation fra og til Internettet til SMB-porte 137, 138, 139 og 445.

Blokering af disse porte kan dog have indflydelse på andre Windows-tjenester, f.eks. Faxtjeneste, print-spooler, netlogon eller deling af filer og udskrivning.

Din tur : Hvordan beskytter du dine maskiner mod SMB / SCF-trusler?