Una vulnerabilidad en el navegador web Chrome permite a hackers descargar automáticamente un archivo malicioso en el equipo de las víctimas que puede ser usado para robar credenciales y realizar ataques de retransmisión SMB.

Bosko Stankovic, un ingeniero de seguridad de la información que trabaja en DefenseCode, encontró la falla en la configuración predeterminada de la última versión de Chrome ejecutándose en una versión actualizada del sistema operativo Windows 10.

“Actualmente el atacante solo necesita atraer a una víctima (que esté utilizando Windows y Chrome actualizados) a que visite su página de Internet para poder obtener y reutilizar las credenciales de autenticación de la víctima”, escribió el lunes en una descripción de la vulnerabilidad.

La técnica permite a un atacante obtener acceso al nombre de usuario de la víctima y al hash de la contraseña de Microsoft LAN Manager (NTLMv2). Eso deja a la víctima expuesta a una variedad de ataques incluyendo un ataque de retransmisión SMB. Un ataque de retransmisión SMB permite a un adversario usar las credenciales de una víctima para autenticarse a un equipo o a los recursos de una red, por ejemplo, a servicios de correo electrónico o servidores remotos.

Los atacantes pueden usar esta vulnerabilidad para intentar obtener la contraseña de la víctima basándose en valor del hash.

DefenseCode dijo que no notificó a Google de la vulnerabilidad. Cuando se le preguntó a Google sobre la vulnerabilidad un portavoz dijo: “Estamos conscientes de esto y estamos tomando las acciones necesarias”. Google no elaboró.

De acuerdo con Stankovic el ataque al navegador es simple.

Primero una víctima hace clic en un link creado por el atacante que activa una descarga automática de un archivo de comandos del Shell del explorador de Windows, también llamado archivo SCF (.SCF), en el equipo de la víctima. El archivo es descargado automáticamente en la carpeta C:\Users\%Username%\Descargas.

Una vez que el archivo .SCF es descargado en el directorio de descargas el archivo queda inactivo. Sin embargo, una vez que el usuario abre la carpeta de descargas en Windows el archivo SCF trata de obtener datos asociados con un ícono de Windows localizado en el servidor del atacante.

Cuando el archivo SCF trata de obtener los datos del ícono remoto el archivo presenta al servidor del atacante el nombre de usuario y el valor del hash de la contraseña de la víctima, si la víctima es parte de una red corporativa el nombre de usuario y la contraseña es el usuario y contraseña asignada a la víctima por el administrador de red.

Investigadores independientes a DefenseCode notaron que la vulnerabilidad no está exclusivamente ligada a la forma en que el navegador Chrome maneja los archivos SCF, también la manera en que Windows maneja estos archivos no es la apropiada.

De acuerdo con Stankovic, los archivos SCF son archivos menos conocidos que existen desde Windows 98 los cuales eran principalmente usados como un atajo para acceder al escritorio. “Es esencialmente un archivo de texto con secciones que determinan un comando para ser ejecutado (limitado a ejecutar el explorador de Windows o mostrar el escritorio) y también determina la localización de archivos de íconos”, dijo Stankovic.

Investigadores dicen que este tipo de ataque puede ser usado de forma maliciosa para intentar obtener una contraseña desde un valor hash. El atacante puede usar las peticiones de credenciales en un ataque de retransmisión SMB. En ese escenario un atacante podría reenviar las peticiones de credenciales para intentar acceder a servicios en redes corporativas que usen NTLM.

“Organizaciones que permiten el acceso remoto a servicios como Microsoft Exchange (o también Outlook) y usan NTLM como método de autenticación, pueden ser vulnerables a ataques de retransmisión SMB, permitiendo al atacante robar la identidad de una víctima, acceder a datos y sistemas sin tener que obtener la contraseña”, dijo Stankovic.

Para protegerse del ataque en Google Chrome, DefenseCode recomienda visitar Configuración> Mostrar Configuración Avanzada> Descargas, y seleccionar la opción “Preguntar dónde se guarda cada archivo antes de descargarlo”.

“Así como los archivos de ligas LNK en Windows, la localización de los íconos son obtenidos automáticamente cuando los archivos son mostrados en el explorador. Asignando la localización de un ícono a un servidor SBM remoto es un vector de ataque conocido que abusa la funcionalidad de autenticación automática de Windows cuando accede a servicios como servidores para compartir archivos remotos. Pero ¿cuál es la diferencia entre los archivos LNK y SCF desde el punto de vista del ataque? Chrome revisa los archivos LNK forzándolos a descargarse con una extensión desde que ocurrió la propagación del gusano Stuxnet, pero no les da el mismo tratamiento a los archivos SCF”, Stankovic escribió en su reporte.

Stankovic dijo que los navegadores Microsoft Internet Explorer, Edge, Mozilla Firefox y Apple Safari no permiten la descarga automática de los archivos SCF.