最近有安全研究人員發現了一種很奇葩的攻擊方式,利用谷歌的 Chrome 瀏覽器能竊取任何版本的 Windows 系統登錄密碼(包括最新的 Windows 10)。這種攻擊手法就借鑒了曾被評為“史上最危險的漏洞之一”的“快捷方式漏洞”。該漏洞是史上影響范圍最廣的微軟漏洞之一,號稱“看一眼就中招”。2010年轟動全球的“震網病毒事件”(美國當年利用病毒破壞伊朗核計劃),正是依靠這種攻擊手法。
為什么看一眼就能中招
2010 年8月,微軟緊急修復了一個高危漏洞,人們和現在一樣喜歡抱怨補丁太多,也并不了解這個漏洞的威力,以及美國正是軍方利用這個漏洞,破壞了伊朗核彈計劃。
了解到,當年伊朗建設核設施時,采用的監控和數據采集系統都是自成體系運行,完全不連接任何外部網絡,所有操作都嚴格“物理隔離”,幾乎沒有從外網攻進去的可能性。然而, Windows 系統里的一個快捷方式漏洞幫助美國打開了局面。
快捷方式漏洞的原理是這樣的:我們的桌面上通常有一些快捷方式文件,它們的格式是 LNK。
之所以它們能顯示出各式各樣的圖標,是因為文件引用了不同的圖標文件,圖標文件決定它們顯示的樣子。比如,我可以把谷歌瀏覽器快捷方式的圖標改成一個關機鍵。
簡而言之,Windows 系統顯示快捷方式時,會根據文件中圖標路徑,自動去尋找并引用圖標文件,然后圖標展示給用戶。而攻擊者利用的正是這一個細節。
攻擊者可以構建一個惡意快捷方式,將它的圖標引用目錄指向了一個惡意代碼文件。受害者看到這個快捷方式的瞬間,它就把惡意代碼文件當作圖標拉取了過來。更可怕的是,它不僅可以引用本地文件,還可以拉取遠程服務器上的文件。
這種攻擊方式最厲害之處在于,快捷方式文件的顯示圖標是系統自動執行的,就算受害者不點開這個快捷方式文件,只要看一眼,就已經中招!換句話說:
攻擊者把一個惡意文件發送給你,不管你打不打開,只要接受就立刻中招!
攻擊者把一個惡意文件掛在網上,不管你打不打開,只要下載到你電腦上就中招!
攻擊者把文件放在U盤里,不管你打不打開,插上就中招!
這就是快捷方式漏洞,人送綽號“看一眼就中招”的由來。
回到美軍破壞伊朗核設施事件上。當時伊朗的核設施采用了嚴格的物理隔離,工作人員也絕不會輕易打開任何可疑文件。
于是美國想了一個迂回招數,先感染一些比較好得手的外部機器(比如工作人員家里的電腦,或者辦公區域的電腦),將病毒感染到工作人員的 U盤里,然后靜靜等待工作人員有一天把U盤插到核心核設施離心機的控制設備上。
工作人員把U盤插到核設施監控系統的主機上時, 并沒有運行U盤里的任何可疑文件,但病毒已神不知鬼不覺地潛入內部主機,成功利用U盤完成突破物理隔絕的“擺渡”。之后繼續搭配另外幾個漏洞,迅速蔓延到核設施的整個內網。
于是就出現了下面這一幕:時任伊朗總統內賈德參觀核設施,清晰地顯示出了當時在“震網病毒”的作用下,兩個離心機發生未知故障,所有人當時都被蒙在鼓里,沒有人知道病毒究竟是怎么進來的,甚至他們根本不知道這是電腦病毒搞的鬼。
快捷方式漏洞被公開披露后,整個互聯網陷入了瘋狂,那情形大概和最近發生的全球勒索事件差不多。這是當時的新聞是這樣的:
微軟很快對 LNK 格式的快捷方式文件進行了限制,不允許引用外部服務器的文件,只允許引用本機資源,并且對引用圖標文件的格式做了嚴格的限制,斷絕了利用LNK快捷方式的圖標文件來傳播惡意代碼的可能性。該漏洞便從此銷聲匿跡,成為黑客江湖的一個傳說。
漏洞改頭換面“重出江湖”
然而,微軟還是百密一疏。他們對LNK格式的快捷方式文件進行了限制,卻忘記了 Windows 下還有另一種快捷方式文件格式:SCF。
什么是 SCF 文件?官方的解釋是這樣:
SCF(文件是“WINDOWS資源管理器命令”文件,它也是一種可執行文件,該類型文件由 Windows Explorer Command 解釋,標準安裝。
看不懂沒關系,我們只要知道,它的工作原理類似于普通的 LNK 格式快捷方式,一般都在桌面放置一個圖標,幫我們快速打開一個資源。常見的“我的電腦”、“回收站”就是 SCF 格式的快捷方式。
Windows 修復 LNK 快捷方式漏洞時,忘記了處理 SCF 文件,也就成了攻擊者利用 Chrome 竊取 Windows 密碼的關鍵。
整個攻擊流程是這樣的:
攻擊者先創建一個惡意的SCF文件,放在自己的網站。
誘騙受害者進入該網站,然后神奇的一幕就出現了, Chrome 瀏覽器會自動下載這個SCF文件到受害者的電腦中,不需要用戶確認下載。(可能是默認 Windows SCF 文件是安全的,這算是Chrome 瀏覽器的一個安全漏洞)。
當用戶進入包含惡意快捷方式文件的文件夾,即使不點擊,該文件也會自動檢索圖標,而圖片路徑早已被攻擊者設置到了一臺遠程服務器上,因此受害者電腦會自動遠程鏈接的攻擊者的服務器。
根據 Windows 系統訪問遠程服務器的 LM/NTLM 身份認證機制,受害者的電腦連接攻擊者的遠程服務器時,會自動把電腦的系統用戶名和密碼哈希值傳輸過去,用來驗證自己的身份。于是攻擊者便得手了。
據了解,雖然這些密碼被加密了,但依然可以通過暴力破解,獲取原始登錄密碼。而且微軟有許多在線服務只需要驗證哈希散列加密密碼,攻擊者甚至可以使用加密的密碼直接登錄到受害者的 OneDrive 、 Outlook、Office365、網上辦公、Skype、Xbox Live 等微軟的其他服務,而不需要解密后的密碼。
甚至,攻擊者也可以冒充受害者對企業內部的其他成員產生威脅,獲取訪問企業IT資源權限等等。
值得一提的是,由于這種攻擊手法需要將 SCF 文件文件下載到電腦,一般攻擊者會把文件名設置“圖片.jpg.scf”或者“文本.txt.scf,那樣它 Winodws 資源管理器里會顯示成 “圖片.jpg”或者“文本.txt” ,這樣看起來像是一張jpg格式的圖片或是txt文本文件,很難被察覺。
如何防止這種攻擊?
目前谷歌似乎也意識到了這個漏洞,正在制作相應的補丁,不過在新的補丁更新之前,所有使用Chome瀏覽器或者Chromium 內核瀏覽器(比如QQ瀏覽器、百度瀏覽器、360極速瀏覽器等等)的用戶都不排除類似風險。
在此給出的建議是,關掉訪問外網的SMB連接端口(TCP端口號139和445),使得本地計算機不能再查詢遠程SMB服務器。或者禁用谷歌Chrome瀏覽器的自動下載設置,在設置——顯示高級設置——勾選。 這樣每次瀏覽器下載文件都會詢問,從而避免瀏覽器自動下載惡意SCF文件。
近些年上市的新車,不少都配備了Keyless無鑰匙進入系統,只要車輛系統偵測到車鑰匙,駕駛者進入車內按一下按鈕就能啟動引擎。早前英國媒體就曝光了一個監控視頻,兩名偷車賊在不足60秒內,利用高科技設備,將一臺價值5萬英鎊(近44萬人民幣)的新BMW偷走。
專家表示,偷車賊利用汽車的無鑰匙進入系統,不用插鎖匙就能啟動引擎的漏洞,暗地購買能夠把鑰匙信號放大的設備,然后嘗試尋找車主擺放車鑰匙的位置,在利用設備將信號放大,傳送至汽車所在的范圍,就能將車門打開和繼而啟動引擎。
參考來源:
cnbeta
日前,360互聯網安全中心通過對網民網絡安全意識調研,對外發布《中國網民網絡安全意識調研報告》,并針對網民的上網安全感,安全知識的關注與學習,上網安全意識與習慣,網絡詐騙防范意識,網絡詐騙心理影響,網絡詐騙受害者的個體因素等方面進行了深入探討和研究。與嚴峻的反詐騙環境形成鮮明對比的是,約九成網民認為當前網絡環境是安全的。
參考來源:
華盟網
近日有消息稱,有黑客攻破了倫敦一家知名整容醫院并從中偷走了大量照片和來自名人甚至還有皇室成員的敏感信息。而一個叫做Dark Overlord宣稱為倫敦橋整形(LBPS)的網絡攻擊負責。Dark Overlord最早是在去年出現在大眾面前,當時它從一些學校、醫療中心甚至一家跟Netflix合作的制片廠那里盜取了信息并以此勒索他人或機構。
參考來源:
cnbeta
微軟修復了一個嚴重的漏洞,這個漏洞能允許攻擊者竊取Windows NTLM密碼哈希值,無需任何用戶交互。
技術巨頭只針對最新版本的Windows(Windows 10和Server 2016)修補了這些問題,觸發攻擊者只需將特制的Shell命令文件(SCF文件)放在可公開訪問的Windows文件夾中即可。
參考來源:
securityaffairs
網絡安全公司 IBM 研究團隊 X-Force 近期發現黑客正通過新型技術肆意分發銀行木馬 Ursnif,旨在感染日本金融行業、竊取目標用戶敏感信息。據稱,黑客主要通過網頁注入攻擊和頁面重定向等操作展開網絡釣魚活動。
參考來源:
hackernews
pfSense是一個基于FreeBSD、專為防火墻和路由器定制的開源系統,以可靠性著稱,經常提供往往只存在于昂貴商業防火墻才具有的高級特性。針對近日曝出的WPA2 KRACK Wi-Fi漏洞,Netgate宣布,pfSense 2.4.1最新版已經發布,在此前pfSense 2.4.0的基礎上打補丁,完全封堵了這一漏洞,同時還修復了其他一些已知問題。
參考來源:
cnbeta
來自賓夕法尼亞大學和約翰霍普金斯大學的研究員發現了一種名為 DUHK(Don’t Use Hard-code Keys) 的加密攻擊,影響到飛塔、思科、 TechGuard 等多家應用 ANSI X9.31 RNG 標準的廠商產品。漏洞的主要成因在于該標準下的種子密鑰是硬編碼在設備中的。
參考來源:
ankki
本文資訊內容來源于互聯網,版權歸作者所有,如有侵權,請留言告知,我們將盡快處理。