黑基网 首页 资讯 安全圈 查看内容

Windows+Chrome曝出凭证外泄漏洞

2017-5-19 10:06| 投稿: heilong916 |来自: 互联网

摘要: 近日,安全工程师Stankovic披露,攻击者利用Windows及Chrome的安全漏洞将能够窃取Windows用户的凭证。Windows+Chrome曝出凭证外泄漏洞据悉,这两个漏洞都与Windows及Chrome浏览器处理SCF档案的方式有关。SCF为内核命 ...

近日,安全工程师Stankovic披露,攻击者利用Windows及Chrome的安全漏洞将能够窃取Windows用户的凭证。

Windows+Chrome曝出凭证外泄漏洞

据悉,这两个漏洞都与Windows及Chrome浏览器处理SCF档案的方式有关。SCF为内核命令文件(Shell Command File),主要用来开启Windows资源管理器或是显示桌面,由于它也会存取图示文件,所以当有心人士建立一个恶意的SCF档,并将图示文件置放在由攻击者代管的远端SMB服务器上时,SMB服务器就能借由Windows的自动认证机制取得使用者的登入密码。

Stankovic指出,若Windows 8或Windows 10用户以微软帐号(Microsoft Account)作为系统的登入凭证,那么该SMB服务器等于一次就取得了登入OneDrive、Outlook.com、Office 365、Skype或Xbox Live的密码。即使这些密码是加密的,但攻击者也能利用开放源码工具加以解密。

而Chrome浏览器则是恶意SCF文件进入Windows的管道,因为SCF被Chrome视为安全的文件,不需任何使用者互动即会自动下载,再加上有不少网站都存在反射文件下载(Reflected File Download)漏洞,在Chrome用户访问网站并不小心触发该漏洞时,Chrome便会默默自动下载SCF文件了。

其实之前Windows中的快捷方式文件(LNK)也曾出现类似的安全漏洞,还成为Stuxnet蠕虫的攻击途径,微软修补LNK漏洞的方式即是限制LNK只能自本地端载入图示文件,只是此一修补并未涉及到SCF。

此外,除了Chrome之外,不论是IE、Edge、Firefox或Safari等浏览器都不会在未提醒使用者的状况下直接下载SCF文件,该漏洞影响所有的Windows版本以及最新的Chrome浏览器。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/a6421588456775401730/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部