Mediante la combinación de una falla en el
funcionamiento del protocolo de red SMB y usando un archivo .scf de Windows,
un investigador de seguridad ha encontrado un método único para hackear Windows.
SMB o Server Message Blocks es un protocolo
para compartir archivos en red que está implementado en Microsoft Windows.
Utilizando el protocolo SMB, una aplicación puede acceder a los archivos en un
servidor remoto y recursos como impresoras, procesadores de mensajes, entre
otros. Los ataques contra el sistema operativo Windows a través del intercambio
de archivos mediante SMB es un tema ya conocido, pero está limitado a redes de
área local. En un nuevo descubrimiento, un investigador de seguridad ha ideado un
tipo de ataque a través de Google Chrome.
Este ataque en el sistema operativo Windows
funciona explotando la función de descarga automática de archivos que Google Chrome
considera seguros. Chrome descarga los archivos en una ubicación predeterminada
y no te da elección. Supongamos que un archivo malicioso se descarga en el
sistema. En este caso, el usuario tendría que interactuar con el archivo para que
este realice las acciones maliciosas. ¿Qué pasa si hay archivos que no
necesitan ningún tipo de interacción del usuario?
Archivos .SCF + protocolo SMB + Google Chrome
Uno de estos tipos de archivos es el Shell
Command File (SCF) usados por el explorador de Windows. Sirven por ejemplo para
moverse hacia arriba o hacia abajo en un directorio o mostrar el escritorio. Si
un archivo .scf se almacena en el disco se activa cuando es usado el Explorador
de Windows.
El investigador Serbio Bosko Stankovic de DefenseCode ha combinado
estos dos conceptos de protocolo SMB y el archivo .scf para idear un nuevo tipo
de ataque para hackear Windows.
Un archivo .scf se puede utilizar para
engañar a Windows en la autenticación de un servidor SMB remoto.
Después de que un usuario descarga el archivo
en el sistema, este se activa tan pronto como se abre la carpeta de descarga
para ver el archivo. Ten en cuenta que no tienes que hacer clic o abrir este
archivo.
El resto del trabajo se realiza por el
servidor SMB remoto que está configurado para capturar el usuario y contraseña del
equipo. El servidor también puede ser
configurado para transmitir esta conexión con algún servicio externo que
necesita este tipo de credenciales.
¿Cómo contrarrestar el ataque?
El investigador de seguridad aconseja a los
usuarios desactivar las descargas automáticas de Google Chrome. Para ello, hay
que ir a la opción mostrar configuración
avanzada en Configuración. En la opción descargar debes seleccionar la casilla
“Preguntar dónde se guardará cada archivo antes de descargarlo”
Este cambio obligará a Google a pedirte permiso
antes de descargar un archivo. El investigador también espera que Google Chrome
pronto aborde esta falla.
¿Qué opinas de este novedoso método para hackear
Windows? Por favor difunde el post en las redes sociales.
Fuente: Fossbytes