|
“看一眼就懷孕”只是個(gè)段子���,而“看一眼就中招”的漏洞則真的存在��。 最近有安全研究人員發(fā)現(xiàn)了一種很奇葩的攻擊方式�,利用谷歌的 Chrome 瀏覽器能竊取任何版本的 Windows 系統(tǒng)登錄密碼(包括最新的 Windows 10)�����。雷鋒網(wǎng)發(fā)現(xiàn),這種攻擊手法就借鑒了曾被評(píng)為“史上最危險(xiǎn)的漏洞之一”的“快捷方式漏洞”����。該漏洞是史上影響范圍最廣的微軟漏洞之一,號(hào)稱“看一眼就中招”�����。2010年轟動(dòng)全球的“震網(wǎng)病毒事件”(美國(guó)當(dāng)年利用病毒破壞伊朗核計(jì)劃)����,正是依靠這種攻擊手法。 為什么看一眼就能中招2010 年8月�����,微軟緊急修復(fù)了一個(gè)高危漏洞�,人們和現(xiàn)在一樣喜歡抱怨補(bǔ)丁太多,也并不了解這個(gè)漏洞的威力��,以及美國(guó)正是軍方利用這個(gè)漏洞���,破壞了伊朗核彈計(jì)劃����。 雷鋒網(wǎng)了解到,當(dāng)年伊朗建設(shè)核設(shè)施時(shí)����,采用的監(jiān)控和數(shù)據(jù)采集系統(tǒng)都是自成體系運(yùn)行,完全不連接任何外部網(wǎng)絡(luò)�,所有操作都嚴(yán)格“物理隔離”��,幾乎沒(méi)有從外網(wǎng)攻進(jìn)去的可能性���。然而�, Windows 系統(tǒng)里的一個(gè)快捷方式漏洞幫助美國(guó)打開(kāi)了局面����。 快捷方式漏洞的原理是這樣的:我們的桌面上通常有一些快捷方式文件,它們的格式是 LNK���。 
使用Windows系統(tǒng)幾乎離不開(kāi)各種快捷方式 之所以它們能顯示出各式各樣的圖標(biāo)�����,是因?yàn)槲募昧瞬煌膱D標(biāo)文件,圖標(biāo)文件決定它們顯示的樣子�。比如,我可以把谷歌瀏覽器快捷方式的圖標(biāo)改成一個(gè)關(guān)機(jī)鍵���。 
快捷方式圖標(biāo)可自定義 簡(jiǎn)而言之����,Windows 系統(tǒng)顯示快捷方式時(shí)�����,會(huì)根據(jù)文件中圖標(biāo)路徑���,自動(dòng)去尋找并引用圖標(biāo)文件����,然后圖標(biāo)展示給用戶�����。而攻擊者利用的正是這一個(gè)細(xì)節(jié)。 攻擊者可以構(gòu)建一個(gè)惡意快捷方式����,將它的圖標(biāo)引用目錄指向了一個(gè)惡意代碼文件。受害者看到這個(gè)快捷方式的瞬間��,它就把惡意代碼文件當(dāng)作圖標(biāo)拉取了過(guò)來(lái)�����。更可怕的是��,它不僅可以引用本地文件�����,還可以拉取遠(yuǎn)程服務(wù)器上的文件����。 
這種攻擊方式最厲害之處在于,快捷方式文件的顯示圖標(biāo)是系統(tǒng)自動(dòng)執(zhí)行的�,就算受害者不點(diǎn)開(kāi)這個(gè)快捷方式文件,只要看一眼���,就已經(jīng)中招��!換句話說(shuō): 攻擊者把一個(gè)惡意文件發(fā)送給你����,不管你打不打開(kāi),只要接受就立刻中招�! 攻擊者把一個(gè)惡意文件掛在網(wǎng)上,不管你打不打開(kāi)�����,只要下載到你電腦上就中招���! 攻擊者把文件放在U盤(pán)里����,不管你打不打開(kāi)���,插上就中招��!
這就是快捷方式漏洞����,人送綽號(hào)“看一眼就中招”的由來(lái)。 回到美軍破壞伊朗核設(shè)施事件上�����。當(dāng)時(shí)伊朗的核設(shè)施采用了嚴(yán)格的物理隔離��,工作人員也絕不會(huì)輕易打開(kāi)任何可疑文件�����。 于是美國(guó)想了一個(gè)迂回招數(shù)��,先感染一些比較好得手的外部機(jī)器(比如工作人員家里的電腦�����,或者辦公區(qū)域的電腦)���,將病毒感染到工作人員的 U盤(pán)里,然后靜靜等待工作人員有一天把U盤(pán)插到核心核設(shè)施離心機(jī)的控制設(shè)備上��。 工作人員把U盤(pán)插到核設(shè)施監(jiān)控系統(tǒng)的主機(jī)上時(shí)���, 并沒(méi)有運(yùn)行U盤(pán)里的任何可疑文件���,但病毒已神不知鬼不覺(jué)地潛入內(nèi)部主機(jī)����,成功利用U盤(pán)完成突破物理隔絕的“擺渡”����。之后繼續(xù)搭配另外幾個(gè)漏洞,迅速蔓延到核設(shè)施的整個(gè)內(nèi)網(wǎng)��。 于是就出現(xiàn)了下面這一幕:時(shí)任伊朗總統(tǒng)內(nèi)賈德參觀核設(shè)施���,清晰地顯示出了當(dāng)時(shí)在“震網(wǎng)病毒”的作用下�,兩個(gè)離心機(jī)發(fā)生未知故障�,所有人當(dāng)時(shí)都被蒙在鼓里,沒(méi)有人知道病毒究竟是怎么進(jìn)來(lái)的�,甚至他們根本不知道這是電腦病毒搞的鬼。 
紅圈標(biāo)注的是發(fā)生故障的兩個(gè)離心機(jī) 快捷方式漏洞被公開(kāi)披露后����,整個(gè)互聯(lián)網(wǎng)陷入了瘋狂��,那情形大概和最近發(fā)生的全球勒索事件差不多。這是當(dāng)時(shí)的新聞是這樣的: 
圖片引用自百度新聞搜索結(jié)果 微軟很快對(duì) LNK 格式的快捷方式文件進(jìn)行了限制�,不允許引用外部服務(wù)器的文件,只允許引用本機(jī)資源����,并且對(duì)引用圖標(biāo)文件的格式做了嚴(yán)格的限制,斷絕了利用LNK快捷方式的圖標(biāo)文件來(lái)傳播惡意代碼的可能性�。該漏洞便從此銷(xiāo)聲匿跡,成為黑客江湖的一個(gè)傳說(shuō)�����。 漏洞改頭換面“重出江湖”然而���,微軟還是百密一疏��。他們對(duì)LNK格式的快捷方式文件進(jìn)行了限制�����,卻忘記了 Windows 下還有另一種快捷方式文件格式:SCF。 什么是 SCF 文件�?官方的解釋是這樣: SCF(文件是“WINDOWS資源管理器命令”文件����,它也是一種可執(zhí)行文件����,該類型文件由 Windows Explorer Command 解釋,標(biāo)準(zhǔn)安裝�����。
看不懂沒(méi)關(guān)系���,我們只要知道����,它的工作原理類似于普通的 LNK 格式快捷方式�,一般都在桌面放置一個(gè)圖標(biāo),幫我們快速打開(kāi)一個(gè)資源���。常見(jiàn)的“我的電腦”�����、“回收站”就是 SCF 格式的快捷方式�����。 Windows 修復(fù) LNK 快捷方式漏洞時(shí)����,忘記了處理 SCF 文件,也就成了攻擊者利用 Chrome 竊取 Windows 密碼的關(guān)鍵��。 整個(gè)攻擊流程是這樣的: 攻擊者先創(chuàng)建一個(gè)惡意的SCF文件���,放在自己的網(wǎng)站��。
誘騙受害者進(jìn)入該網(wǎng)站���,然后神奇的一幕就出現(xiàn)了, Chrome 瀏覽器會(huì)自動(dòng)下載這個(gè)SCF文件到受害者的電腦中�����,不需要用戶確認(rèn)下載���。(可能是默認(rèn) Windows SCF 文件是安全的�,這算是Chrome 瀏覽器的一個(gè)安全漏洞)����。
當(dāng)用戶進(jìn)入包含惡意快捷方式文件的文件夾,即使不點(diǎn)擊����,該文件也會(huì)自動(dòng)檢索圖標(biāo),而圖片路徑早已被攻擊者設(shè)置到了一臺(tái)遠(yuǎn)程服務(wù)器上�����,因此受害者電腦會(huì)自動(dòng)遠(yuǎn)程鏈接的攻擊者的服務(wù)器����。
根據(jù) Windows 系統(tǒng)訪問(wèn)遠(yuǎn)程服務(wù)器的 LM/NTLM 身份認(rèn)證機(jī)制,受害者的電腦連接攻擊者的遠(yuǎn)程服務(wù)器時(shí)�����,會(huì)自動(dòng)把電腦的系統(tǒng)用戶名和密碼哈希值傳輸過(guò)去����,用來(lái)驗(yàn)證自己的身份。于是攻擊者便得手了�。
據(jù)雷鋒網(wǎng)了解,雖然這些密碼被加密了�,但依然可以通過(guò)暴力破解����,獲取原始登錄密碼���。而且微軟有許多在線服務(wù)只需要驗(yàn)證哈希散列加密密碼��,攻擊者甚至可以使用加密的密碼直接登錄到受害者的 OneDrive ��、 Outlook����、Office365�、網(wǎng)上辦公、Skype�����、Xbox Live 等微軟的其他服務(wù)����,而不需要解密后的密碼。 甚至��,攻擊者也可以冒充受害者對(duì)企業(yè)內(nèi)部的其他成員產(chǎn)生威脅,獲取訪問(wèn)企業(yè)IT資源權(quán)限等等�。 值得一提的是,由于這種攻擊手法需要將 SCF 文件文件下載到電腦��,一般攻擊者會(huì)把文件名設(shè)置“圖片.jpg.scf”或者“文本.txt.scf�,那樣它 Winodws 資源管理器里會(huì)顯示成 “圖片.jpg”或者“文本.txt” �,這樣看起來(lái)像是一張jpg格式的圖片或是txt文本文件,很難被察覺(jué)��。 scf 文件后綴將被隱藏�����,不易被發(fā)現(xiàn) 如何防止這種攻擊�?目前谷歌似乎也意識(shí)到了這個(gè)漏洞,正在制作相應(yīng)的補(bǔ)丁�,不過(guò)在新的補(bǔ)丁更新之前,所有使用Chome瀏覽器或者Chromium 內(nèi)核瀏覽器(比如QQ瀏覽器�����、百度瀏覽器���、360極速瀏覽器等等)的用戶都不排除類似風(fēng)險(xiǎn)�。 雷鋒網(wǎng)在此給出的建議是,關(guān)掉訪問(wèn)外網(wǎng)的SMB連接端口(TCP端口號(hào)139和445),使得本地計(jì)算機(jī)不能再查詢遠(yuǎn)程SMB服務(wù)器�。或者禁用谷歌Chrome瀏覽器的自動(dòng)下載設(shè)置���,在設(shè)置——顯示高級(jí)設(shè)置——勾選���。 這樣每次瀏覽器下載文件都會(huì)詢問(wèn),從而避免瀏覽器自動(dòng)下載惡意SCF文件�。 
文 | 謝幺 (dexter0),雷鋒網(wǎng)網(wǎng)絡(luò)安全作者�����,公眾號(hào):宅客頻道 參考內(nèi)容: 攻擊手法發(fā)現(xiàn)者 Bosko Stankovic 的博文 The Hacker News
|
