标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-498]   作者: kur 发表于: [2017-08-29]

本文共 [302] 位读者顶过


[出自:jiwo.org]

Windows平台的Chrome浏览器爆出了一个漏洞,黑客可以通过该漏洞盗取Windows登入密码并发起服务器消息块(SMB)中继攻击。这种攻击将两种黑客技术相结合,一种是震网攻击病毒,另一个技术是由两位安全专家在一场黑客大赛上展示过。

该漏洞是由DefenceCode安全工程师Bosko Stankovic发现的,出现在Windows 10 操作系统上安装的Chrome浏览器。

浏览器在默认设置下,如果浏览了该网站后就会被盗取用户的系统登陆密码。而且不管用户是使用系统管理员还是普通用户,都会被盗取密码。这样在企业用户使用时,会危及到企业的信息安全。一旦黑客获取了企业用户的账号和密码,就可以获取企业内部的信息。虽然目前该公司还未向Google通报该漏洞,Google已经开始采取“必要的措施”。

该攻击非常简单,只需要诱使用户点击恶意链接,便会自动下载Windows资源管理器外壳命令文件(SCF)。当用户打开“下载”文件夹后,该文件被激活,自动连接到黑客的服务器并发送用户电脑使用的用户名和哈希密码。

一些安全研究人员认为,这个漏洞不光牵涉到Chrome浏览器,还和Windows系统本身处理SCF文件有关。企业如果使用像Outlook Anywhere远程接入服务,通过NTLM认证方式进行认证,那么很容易受到服务器消息块中继攻击。黑客可以在不需要用户密码的情况下,冒充用户入侵系统。

Windows资源管理器外壳命令文件(SCF),它允许运行一些Windows资源管理器外壳命令,像显示桌面或打开资源管理器窗口。.scf文件保存在磁盘后,如果在Windows资源管理器里运行会变成一个图标文件。它会使Windows操作系统信任远程的SMB服务器。所以一旦下载后,不需要点击打开文件,该文件就会自动加载图标。剩下的工作由远程SMB服务器来完成。这些服务器会抓取用户的用户名和哈希密码数据,然后线下进行破解;还可以连接到那些需要这些用户名和密码的服务。

评论

暂无
发表评论
 返回顶部 
热度(302)
 关注微信