SCF-Files machen Windows & Chrome zum Duo Infernale

Windows, Sicherheit, Chrome, SemperVideo, SCF Windows, Sicherheit, Chrome, SemperVideo, SCF
Mit einem recht alten und kaum genutzten Dateiformat lassen sich unter Windows vergleichsweise einfach die Login-Daten eines bestimmten Benutzers klauen. Die Möglichkeiten, damit einen sinnvollen Angriff zu gestalten sind zwar nicht gerade breit gestreut - doch gezielte Attacken lassen sich damit sehr wohl geschickt einleiten.

Wie unsere Kollegen von SemperVideo zeigen können, muss man einen Nutzer nur dazu bringen, ein kleines SCF-File herunterzuladen. Dieses wird beispielsweise von Chrome nicht als ausführbare Datei erkannt, vor der man den Rechner besonders schützen müsste - also landet sie im Original im Download-Ordner. Und dort kann der entsprechende Trick eines Angreifers Wirkung entfalten.

Denn der Windows-Explorer nimmt sich die Daten sofort vor, wenn ein Nutzer auch nur das Download-Verzeichnis öffnet. Dann wird unter anderem in dem SCF-File nach Informationen gesucht, wo ein bestimmtes Icon zu finden ist. Hier kann dann ein Server angegeben werden, der unter der Kontrolle des Angreifers steht.

Der Explorer versucht dann, zu dem fraglichen System eine SMB-Verbindung aufzubauen. Das Problem dabei ist einfach, dass die Login-Daten mit übertragen werden, was schließlich nötig sein könnte, um sich bei dem anderen System einzuloggen. Diese lassen sich vom Angreifer dann problemlos durch das Mitloggen des Datenverkehrs auslesen.

Immerhin: Das Passwort bekommt man so nur als Hash-Wert übermittelt. Allerdings lässt sich dieses bei vielen Nutzern mit einer relativ einfachen Brute-Force-Attacke rekonstruieren - denn viele Menschen verwenden beispielsweise auf ihrem Arbeitsplatz-PC nicht gerade sichere Passwörter. Verhindern lässt sich das Problem, indem man dem Browser beibringt, dass SCF-Dateien ein Risiko darstellen können - wie das genau funktioniert, zeigen euch die Kollegen in ihrem Video.

Mehr von SemperVideo: Auf YouTube
Dieses Video empfehlen
Kommentieren6
Jetzt einen Kommentar schreiben
 
Und die ganzen Heim-Router und vermutlich jede Firma blockt ausgehend in der Firewall SMB eh, weil SMB im Internet nichts zu suchen hat und auch nie dafür entwickelt wurde. Der Angriff ist somit ziemlich theoretisch und das Risiko gering, dass darüber tatsächlich etwas ausspioniert wird.
 
@der_ingo: Und in der Computer-Blöd steht nächste Woche ein Leitartikel: "Wie sie ihr Heimnetz auch aus dem Mobilfunknetz erreichen können"...
 
Also, der Fehler liegt meiner Meinung nach bei Windows. Wie Chrome Files behandelt, sei mal dahin gestellt. Aber wenn ich ne SCF runterlade, möchte ich die auch starten können. Ansonsten sollte das SCF-Format doch bitteschön ganz aus Windows rausfliegen. Gibt keinen Grund dafür, da es mit Batch-Files auch ganz gut klappt.

Des weiteren sollte ein Icon grundsätzlich nur LOCAL abgerufen werden können. Wenn es keins gibt, ist es eben ein weißes Rechteck. Punkt um.
 
@SunnyMarx: Ich stimme dir zu. Daher würde ich auch jedem empfehlen folgende Registry-Keys zu löschen:

[HKEY_CLASSES_ROOT\.scf]
[HKEY_CLASSES_ROOT\SHCmdFile]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.scf]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SHCmdFile]

Anschließend den Windows Explorer neustarten, dann ist das Format bereits recht nutzlos. Wer unsicher ist kann auch vorher ein Backup machen. Allerdings stimmt die Aussage das dieses Format seit 20 Jahren in Vergessenheit geraten ist.
 
@Tanyyya: Coole Sache. Danke für die Infos. Wird umgehend erledigt. :o)
 
Dürfte bereits gefixt sein
https://bugs.chromium.org/p/chromium/issues/detail?id=722524

Bei MS kA
Kommentar abgeben Netiquette beachten!
Einloggen