يُنصح مستخدمو Google Chrome على Windows بتعطيل التنزيلات التلقائية في متصفح الويب لحماية بيانات المصادقة من تهديد جديد تم اكتشافه مؤخرًا.
يعد متصفح Chrome هو المتصفح الأكثر شعبية في الوقت الحالي على أجهزة سطح المكتب. تم تكوينه لتنزيل الملفات الآمنة تلقائيًا إلى نظام المستخدم دون المطالبة افتراضيًا.
أي ملف يقوم مستخدمو Chrome بتنزيله والذي يجتاز اختبارات التصفح الآمن من Google سيهبط في دليل التنزيل الافتراضي تلقائيًا. يحتاج مستخدمو Chrome الذين يريدون اختيار مجلد التنزيل بدلاً من التنزيلات إلى تغيير هذا السلوك في الخيارات.
يجمع الهجوم الجديد ، الموضح بالتفصيل على موقع Defense Code ، بين سلوك التنزيل التلقائي لـ Chrome وملفات Windows Command Shell File التي لها امتداد الملف .scf.
تنسيق الشيخوخة هو ملف نصي عادي يتضمن إرشادات ، عادةً ما يكون موقع رمز وأوامر محدودة. ما يثير الاهتمام بشكل خاص حول التنسيق هو أنه قد يتم تحميل الموارد من خادم بعيد.
الأمر الأكثر إثارة للمشاكل هو حقيقة أن Windows سيقوم بمعالجة هذه الملفات بمجرد فتح الدليل المخزن فيه ، وأن هذه الملفات تظهر بدون امتداد في مستكشف Windows بصرف النظر عن الإعدادات. هذا يعني أن المهاجمين يمكنهم إخفاء الملف بسهولة خلف اسم ملف متنكر مثل image.jpg.
يستخدم المهاجمون موقع خادم SMB للرمز. ما يحدث إذن هو أن الخادم يطلب المصادقة ، وأن النظام سيوفر ذلك. بينما يتم إرسال تجزئات كلمات المرور ، يلاحظ الباحثون أن تكسير كلمات المرور هذه لا ينبغي أن يستغرق عقودا بعد الآن إلا إذا كانت من النوع المعقد.
فيما يتعلق بجدوى تكسير كلمة المرور ، فقد تحسن هذا الأمر إلى حد كبير في السنوات القليلة الماضية من خلال تكسير يستند إلى GPU. يبلغ معيار NetNTLMv2 hashcat لبطاقة Nvidia GTX 1080 المفردة حوالي 1600 MH / s. هذا هو 1.6 مليار التجزئة في الثانية الواحدة. للحصول على كلمة مرور مكونة من 8 أحرف ، يمكن لجرافيك GPU المكون من 4 بطاقات من هذا القبيل المرور عبر مساحة مفاتيح كاملة من الأحرف الأبجدية العليا / السفلية + الأكثر استخدامًا الخاصة ( # $٪ &) في أقل من يوم. مع وجود مئات الملايين من كلمات المرور المسربة الناتجة عن العديد من الانتهاكات في السنوات الماضية (LinkedIn و Myspace) ، يمكن أن يؤدي التشقق القائم على قواعد الكلمات إلى نتائج مفاجئة ضد كلمات المرور المعقدة مع المزيد من الانتروبيا.
يكون الموقف أكثر سوءًا بالنسبة للمستخدمين على أجهزة Windows 8 أو 10 الذين يقومون بالمصادقة باستخدام حساب Microsoft ، لأن الحساب سيوفر للمهاجم إمكانية الوصول إلى الخدمات عبر الإنترنت مثل Outlook أو OneDrive أو Office365 إذا تم استخدامه من قبل المستخدم. هناك أيضًا فرصة لإعادة استخدام كلمة المرور على المواقع غير التابعة لشركة Microsoft.
لا تقوم حلول مكافحة الفيروسات بوضع علامات على هذه الملفات في الوقت الحالي.
إليكم كيف ينهار الهجوم
- يقوم المستخدم بزيارة موقع ويب يقوم إما بدفع محرك أقراص عن طريق التنزيل إلى نظام المستخدم ، أو يطلب من المستخدم النقر فوق ملف SCF المعد خصيصًا بحيث يتم تنزيله.
- يفتح المستخدم دليل التنزيل الافتراضي.
- يتحقق Windows من موقع الرمز ، ويرسل بيانات المصادقة إلى خادم SMB بتنسيق مجزأ.
- قد تستخدم الهجمات قوائم كلمات المرور أو هجمات القوة الغاشمة للقضاء على كلمة المرور.
كيف تحمي جهازك من هذا الهجوم
أحد الخيارات التي لدى مستخدمي Chrome هو تعطيل التنزيلات التلقائية في متصفح الويب. هذا يمنع محرك الأقراص عن طريق التنزيلات ، وقد يمنع أيضًا التنزيلات غير المقصودة للملفات.
- قم بتحميل chrome: // settings / في شريط عنوان المتصفح.
- مرر لأسفل وانقر على رابط "إظهار الإعدادات المتقدمة".
- قم بالتمرير لأسفل إلى قسم التنزيلات.
- تحقق من التفضيل "اسأل عن مكان حفظ كل ملف قبل التنزيل".
سيطالبك Chrome بموقع التنزيل في كل مرة يتم فيها بدء التنزيل في المتصفح.
المحاذير
بينما تضيف طبقة من الحماية إلى معالجة Chrome للتنزيلات ، فإن ملفات SCF التي يتم معالجتها قد تهبط بطرق مختلفة على الأنظمة المستهدفة.
يتمثل أحد الخيارات التي لدى المستخدمين والمسؤولين في حظر المنافذ التي تستخدمها حركة مرور SMB في جدار الحماية. لدى Microsoft دليل إرشادي يمكنك استخدامه لذلك. تقترح الشركة منع الاتصال من وإلى الإنترنت إلى منافذ SMB 137 و 138 و 139 و 445.
قد يؤثر حظر هذه المنافذ على خدمات Windows الأخرى ، مثل خدمة الفاكس أو التخزين المؤقت للطباعة أو تسجيل الدخول إلى الشبكة أو مشاركة الملفات والطباعة.
أنت الآن : كيف تحمي أجهزتك من تهديدات SMB / SCF؟
