摘要
最近,安全工程师博斯科.斯坦科维奇发现谷歌浏览器中存在一个漏洞,这样的漏洞可能会对大型组织造成严重的威胁。因为这个漏洞能够使黑客冒充组织成员,利用获得的特权,进一步升级访问并对其他用户实施攻击,或获得IT资源的访问权和控制权。谷歌公司已经知道了这一问题,并且网络安全行业的一些专家也对此给出了他们的建议。今日,界小编将针对在谷歌浏览器上出现的这一问题为大家做一个深入的梳理。
据DefenseCode公司的安全工程师博斯科.斯坦科维奇(Bosko Stankovic)说,他最近在谷歌浏览器中发现了的一个漏洞,可能容许犯罪分子利用恶意软件感染受害者的机器,并且盗取Windows的凭证。这个漏洞也可能容许SMB(服务器信息块)协议中继攻击被启动。
斯坦科维奇在公布的一篇博客中指出,一旦受害者被骗,点击了一个在谷歌浏览器窗口内的恶意链接,那么这可能会下载一个Windows资源管理器命令文件(或SCF文件)。谷歌浏览器自动地认定这样的文件是安全的。
在打开下载的目录窗口之前,该文件什么都不做。SCF会自动尝试检索与该文件相关联的图标,使用者的电脑会向一个远程的服务器显示他的凭证信息(用户名和密码)。反过来,这些信息会被泄露给黑客。
斯坦科维奇说:“这个远程的SMB服务器是由攻击者建立的,为获取受害者的用户名和NTLMv2密码,离线破解或将连接转发给外部可用的服务器,而该服务器接受相似的身份验证(例如微软交流群组软件)在不知道密码的情况下冒充受害者”。
斯坦科维奇指出,一名攻击者仅仅需要诱导受害者(利用完全更新的谷歌浏览器和Windows)来访问他们的网页,以能够继续并重用受害者的身份验证凭证。
他还补充说:“即便受害者不是一名特权用户(比如:管理员)这样的漏洞可能会对大型组织造成严重的威胁,因为它能够使攻击者冒充组织成员。这样的一个攻击者可以立即重用获得的特权,从而进一步升级访问并对其他用户实施攻击,或获得IT资源的访问权和控制权”。
凭证信息也可以被用于SMB中继攻击。组织允许远程访问服务器软件例如,微软交流群组软件(无处不在的Outlook)并使用NTLM作为认证方法。可能是易受到SMB中继攻击的影响,容许攻击者模拟受害者,访问数据和系统而不需要破解密码。
斯坦科维奇说:他希望谷歌针对浏览器这个漏洞进行更新,以解决这个问题。他补充说,谷歌已经知道了这个问题。
Cal Leeming,是一名曾被判有罪的黑客,现在是Lyons Leeming的首席执行官,他说这是一场有趣的攻击,针对这些攻击,我们看到的最佳的缓解方法是确保SMB流量被外部阻塞住。这可以在每个主机的基础上完成,但在网络层面上执行(比如,路由器或边缘设备)对于大多数家庭和组织来说,可能更简单一些。
SureCloud公司的安全顾问,马克.沃德洛对说:“漏洞仍然需要一定程度的用户互动,而且只会影响谷歌浏览器”。然而他说:“用一个精心制作的网页,来说服用户执行必要的操作以触发这种特定的攻击,这样的网页可能是微不足道的。组织并不能控制软件的安装或容许他们的用户群使用谷歌浏览器才是最大的风险”。
-END-
