“看一眼就懷孕”只是個段子,而“看一眼就中招”的漏洞則真的存在。
最近有安全研究人員發現了一種很奇葩的攻擊方式,利用穀歌的 Chrome 流覽器能竊取任何版本的 Windows 系統登錄密碼(包括最新的 Windows 10)。雷鋒網發現,
這種攻擊手法就借鑒了曾被評為“史上最危險的漏洞之一”的“快捷方式漏洞”。該漏洞是史上影響範圍最廣的微軟漏洞之一,號稱“看一眼就中招”。2010年轟動全球的“震網病毒事件”(美國當年利用病毒破壞伊朗核計畫),正是依靠這種攻擊手法。
為什麼看一眼就能中招
2010 年8月,微軟緊急修復了一個高危漏洞,人們和現在一樣喜歡抱怨補丁太多,也並不瞭解這個漏洞的威力,以及美國正是軍方利用這個漏洞,破壞了伊朗核彈計畫。
雷鋒網瞭解到,當年伊朗建設核設施時,採用的監控和資料獲取系統都是自成體系運行,完全不連接任何外部網路,所有操作都嚴格“物理隔離”,幾乎沒有從外網攻進去的可能性。然而, Windows 系統裡的一個快捷方式漏洞説明美國打開了局面。
快捷方式漏洞的原理是這樣的:我們的桌面上通常有一些快捷方式檔,它們的格式是 LNK。
▲使用Windows系統幾乎離不開各種快捷方式
之所以它們能顯示出各式各樣的圖示,是因為檔引用了不同的圖示檔,圖示檔決定它們顯示的樣子。比如,我可以把穀歌流覽器快捷方式的圖示改成一個關機鍵。
▲快捷方式圖示可自訂
簡而言之,Windows 系統顯示快捷方式時,會根據檔中圖示路徑,自動去尋找並引用圖示檔,然後圖示展示給使用者。而攻擊者利用的正是這一個細節。
攻擊者可以構建一個惡意快捷方式,將它的圖示引用目錄指向了一個惡意程式碼檔。受害者看到這個快捷方式的瞬間,它就把惡意程式碼檔當作圖示拉取了過來。更可怕的是,它不僅可以引用本地檔,還可以拉取遠端伺服器上的檔。
這種攻擊方式最厲害之處在於,快捷方式檔的顯示圖示是系統自動執行的,就算受害者不點開這個快捷方式檔,只要看一眼,就已經中招!換句話說:
攻擊者把一個惡意檔發送給你,不管你打不打開,
只要接受就立刻中招!
攻擊者把一個惡意檔掛在網上,不管你打不打開,
只要下載到你電腦上就中招!
攻擊者把文件放在U盤裡,不管你打不打開,
插上就中招!
這就是快捷方式漏洞,人送綽號“看一眼就中招”的由來。
回到美軍破壞伊朗核設施事件上。當時伊朗的核設施採用了嚴格的物理隔離,工作人員也絕不會輕易打開任何可疑文件。
於是美國想了一個迂回招數,先感染一些比較好得手的外部機器(比如工作人員家裡的電腦,或者辦公區域的電腦),將病毒感染到工作人員的 U盤裡,然後靜靜等待工作人員有一天把U盤插到核心核設施離心機的控制設備上。
工作人員把U盤插到核設施監控系統的主機上時, 並沒有運行U盤裡的任何可疑檔,但病毒已神不知鬼不覺地潛入內部主機,成功利用U盤完成突破物理隔絕的“擺渡”
。之後繼續搭配另外幾個漏洞,迅速蔓延到核設施的整個內網。
於是就出現了下面這一幕:時任伊朗總統內賈德參觀核設施,清晰地顯示出了當時在“震網病毒”的作用下,兩個離心機發生未知故障,所有人當時都被蒙在鼓裡,沒有人知道病毒究竟是怎麼進來的,甚至他們根本不知道這是電腦病毒搞的鬼。
▲紅圈標注的是發生故障的兩個離心機
快捷方式漏洞被公開披露後,整個互聯網陷入了瘋狂,那情形大概和最近發生的全球勒索事件差不多。這是當時的新聞是這樣的:
▲ 圖片引用自百度新聞搜索結果
微軟很快對 LNK 格式的快捷方式檔進行了限制,不允許引用外部伺服器的檔,只允許引用本機資源,並且對引用圖示檔的格式做了嚴格的限制,斷絕了利用LNK快捷方式的圖示檔來傳播惡意程式碼的可能性。該漏洞便從此銷聲匿跡,成為駭客江湖的一個傳說。
漏洞改頭換面“重出江湖”
然而,微軟還是百密一疏。
他們對LNK格式的快捷方式檔進行了限制,卻忘記了 Windows 下還有另一種快捷方式檔案格式:SCF。
什麼是 SCF 檔?官方的解釋是這樣:
SCF(文件是“WINDOWS資源管理器命令”文件,它也是一種可執行檔,該類型檔由 Windows Explorer Command 解釋,標準安裝。
看不懂沒關係,我們只要知道,
它的工作原理類似于普通的 LNK 格式快捷方式,
一般都在桌面放置一個圖示,幫我們快速打開一個資源。常見的“我的電腦”、“回收站”就是 SCF 格式的快捷方式。
Windows 修復 LNK 快捷方式漏洞時,忘記了處理 SCF 檔,也就成了攻擊者利用 Chrome 竊取 Windows 密碼的關鍵。
整個攻擊流程是這樣的:
攻擊者先創建一個惡意的SCF檔,放在自己的網站。
誘騙受害者進入該網站,然後神奇的一幕就出現了,
Chrome 流覽器會自動下載這個SCF檔到受害者的電腦中,不需要使用者確認下載。(可能是默認 Windows SCF 檔是安全的,這算是Chrome 流覽器的一個安全性漏洞)。
當使用者進入包含惡意快捷方式檔的資料夾,即使不點擊,該檔也會自動檢索圖示,而圖片路徑早已被攻擊者設置到了一台遠端伺服器上,因此受害者電腦會自動遠端連結的攻擊者的伺服器。
根據 Windows 系統訪問遠端伺服器的 LM/NTLM 身份認證機制,受害者的電腦連接攻擊者的遠端伺服器時,會自動把電腦的系統用戶名和密碼雜湊值傳輸過去,用來驗證自己的身份。於是攻擊者便得手了
。
據雷鋒網瞭解,雖然這些密碼被加密了,但依然可以通過暴力破解,獲取原始登錄密碼。而且微軟有許多線上服務只需要驗證雜湊散列加密密碼,攻擊者甚至可以使用加密的密碼直接登錄到受害者的 OneDrive 、 Outlook、Office365、網上辦公、Skype、Xbox Live 等微軟的其他服務,而不需要解密後的密碼。
甚至,攻擊者也可以冒充受害者對企業內部的其他成員產生威脅,獲取訪問企業IT資源許可權等等。
值得一提的是,由於這種攻擊手法需要將 SCF 檔檔下載到電腦,一般攻擊者會把檔案名設置“圖片.jpg.scf”或者“文本.txt.scf,那樣它 Winodws 資源管理器裡會顯示成 “圖片.jpg”或者“文本.txt” ,這樣看起來像是一張jpg格式的圖片或是txt文字檔,很難被察覺。
▲scf 文件尾碼將被隱藏,不易被發現
如何防止這種攻擊?
目前穀歌似乎也意識到了這個漏洞,正在製作相應的補丁,不過在新的補丁更新之前,所有使用Chome流覽器或者Chromium 內核流覽器(比如QQ流覽器、百度流覽器、360極速流覽器等等)的用戶都不排除類似風險。
雷鋒網在此給出的建議是,關掉訪問外網的SMB連接埠(TCP埠號139和445),使得本地電腦不能再查詢遠端SMB伺服器。或者禁用穀歌Chrome流覽器的自動下載設置,在設置——顯示高級設置——勾選。 這樣每次流覽器下載檔案都會詢問,從而避免流覽器自動下載惡意SCF檔。
文 | 謝么 (dexter0),雷鋒網網路安全作者,公眾號:宅客頻道
參考內容:
攻擊手法發現者 Bosko Stankovic 的博文
The Hacker News