Используете Chrome для Windows? Ваше предприятие может быть уязвимо
Рост использования браузера Chrome в компаниях бесспорен. Несмотря на то, что как отметил аналитик Gartner Дэвид М. Смит, «Microsoft сохраняет очень хорошие отношения» с IT-департаментами предприятий, Chrome все же является «наиболее часто используемым браузером» в компаниях. Согласно данным консалтинговой фирмы Net Applications, доля Chrome на рынке составляет 59%, в то время как общая доля двух браузеров Microsoft (Edge и Internet Explorer) составляет всего 24%.
Несмотря на растущую популярность Google Chrome, его использование в Windows может представлять серьезные риски для предприятий: дыра безопасности в браузере позволяет осуществлять кражу учетных данных для доступа к операционной системе Microsoft.
Проблема: автоматические загрузки
Процесс эксплуатации этой уязвимости, обнаруженный Боско Станковичем, исследователем в области безопасности в компании Defense Code, очень прост. Атака сочетает две техники (одна заимствована из кампании Stuxnet, а другая – из метода, представленного на конференции Black Hat 2015), позволяющие осуществлять атаки при передаче данных с использованием SMB (Server Message Block).
По умолчанию Chrome автоматически скачивает файлы, которые он считает безопасными. Однако для выполнения своих функций вредоносный файл должен быть открыт и запущен пользователем. Таким образом, если Вы сомневаетесь в каком-либо скаченном файле, Вы можете удалить его, не открывая, и никакой атаки не произойдет.
Проблема с рассматриваемым нарушением безопасности в Chrome заключается в том, что в этом случае хакер может загрузить и выполнить вредоносный файл в вашем браузере без вашего разрешения.
Операция выглядит следующим образом. Злоумышленник обманным путем заставляет пользователя нажать на ссылку, которая скачивает файл.scf для быстрого доступа к показу рабочего стола в Windows. Этот файл остается неактивным до тех пор, пока пользователь не откроет папку со скаченными файлами, но как только данная папка будет открыта, файл автоматически запускается и находит иконку, связанную с файлом.scf. Затем генерируется соединение с сервером злоумышленника и для того, чтобы найти иконку, компьютер пользователя показывает его учетные данные к серверу. Другими словами, хакер будет иметь ваш логин и пароль, которые ему будут переданы словно на блюдечке.
В глобальном смысле опасность этой атаки заключается в том, что она ставит под угрозу безопасность многих компаний, т.к. после доступа к одной рабочей станции, хакер может использовать учетные данные для направления своих атак на другие компьютеры в корпоративной сети, подвергая опасности корпоративные данные и основные активы предприятия.
Как можно избежать данной угрозы?
Google знает о данной дыре безопасности в своем браузере, но он пока до сих пор не опубликовал решение для ее устранения. В то же время мы должны иметь в виду, что нажатие на ссылки в письмах и сообщениях от ненадежных источников, или скачивание файлов на неизвестных сайтах – плохая идея.
В настоящий момент есть профессиональные инструменты безопасности, которые гарантируют защиту от подобного типа атак. Т.к. усовершенствованные вредоносные программы пользуются тем, что антивирусные решения не имеют о них предварительных знаний в своих сигнатурах, крайне важно иметь модель защиты, которая будет способна обнаруживать неизвестные угрозы. Именно по этой причине расширенная защита, предоставляемая решением Adaptive Defense, благодаря новой модели непрерывного мониторинга и классификации всех активных процессов, является именно тем оружием, которое необходимо для борьбы с подобными атаками.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.