圖片來源: 

DefenseCode

來自DefenseCode的資安工程師Stankovic本周披露,結合微軟Windows及Chrome的安全漏洞將允許駭客竊取Windows用戶的憑證。

這兩個漏洞皆與Windows及Chrome瀏覽器處理SCF檔案的方式有關。SCF為介殼命令檔(Shell Command File),主要用來開啟檔案總管或是顯示桌面,由於它也會存取圖示檔案,所以當有心人士建立一個惡意的SCF檔,並將圖示檔案置放在由駭客代管的遠端SMB伺服器上時,SMB伺服器即可藉由Windows的自動認證機制取得使用者的登入密碼。

Stankovic指出,若Windows 8或Windows 10用戶以微軟帳號(Microsoft Account )作為系統的登入憑證,那麼該SMB伺服器等於一次就取得了登入OneDrive、Outlook.com、Office 365、Skype或Xbox Live的密碼。即使這些密碼是加密的,但駭客也能利用開放源碼工具加以解密。

至於惡意SCF檔案進入Windows的管道則是Chrome瀏覽器,因為SCF被Chrome視為安全的檔案,不需任何使用者互動即會自動下載,再加上有不少網站都含有反射性檔案下載(Reflected File Download)漏洞,在Chrome用戶造訪網站並不小心觸發該漏洞時,Chrome就會默默且自動地下載SCF檔案。

其實之前Windows中的捷徑檔(LNK)也曾出現類似的安全漏洞,還成為Stuxnet蠕蟲的攻擊途徑,微軟修補LNK漏洞的方式即是限制LNK只能自本地端載入圖示檔案,只是此一修補並未擴及SCF。

此外,除了Chrome之外,不論是IE、Edge、Firefox或Safari等瀏覽器都不會在未提醒使用者的狀況下直接下載SCF檔案,該漏洞影響所有的Windows版本以及最新的Chrome瀏覽器。


Advertisement

更多 iThome相關內容