SCF-Files machen Windows & Chrome zum Duo Infernale

Mit einem recht alten und kaum genutzten Dateiformat lassen sich unter Windows vergleichsweise einfach die Login-Daten eines bestimmten Benutzers klauen. Die Möglichkeiten, damit einen sinnvollen Angriff zu gestalten sind zwar nicht gerade breit gestreut - doch gezielte Attacken lassen sich damit sehr wohl geschickt einleiten.

Wie unsere Kollegen von SemperVideo zeigen können, muss man einen Nutzer nur dazu bringen, ein kleines SCF-File herunterzuladen. Dieses wird beispielsweise von Chrome nicht als ausführbare Datei erkannt, vor der man den Rechner besonders schützen müsste - also landet sie im Original im Download-Ordner. Und dort kann der entsprechende Trick eines Angreifers Wirkung entfalten.

Denn der Windows-Explorer nimmt sich die Daten sofort vor, wenn ein Nutzer auch nur das Download-Verzeichnis öffnet. Dann wird unter anderem in dem SCF-File nach Informationen gesucht, wo ein bestimmtes Icon zu finden ist. Hier kann dann ein Server angegeben werden, der unter der Kontrolle des Angreifers steht.

Der Explorer versucht dann, zu dem fraglichen System eine SMB-Verbindung aufzubauen. Das Problem dabei ist einfach, dass die Login-Daten mit übertragen werden, was schließlich nötig sein könnte, um sich bei dem anderen System einzuloggen. Diese lassen sich vom Angreifer dann problemlos durch das Mitloggen des Datenverkehrs auslesen.

Immerhin: Das Passwort bekommt man so nur als Hash-Wert übermittelt. Allerdings lässt sich dieses bei vielen Nutzern mit einer relativ einfachen Brute-Force-Attacke rekonstruieren - denn viele Menschen verwenden beispielsweise auf ihrem Arbeitsplatz-PC nicht gerade sichere Passwörter. Verhindern lässt sich das Problem, indem man dem Browser beibringt, dass SCF-Dateien ein Risiko darstellen können - wie das genau funktioniert, zeigen euch die Kollegen in ihrem Video.

Mehr von SemperVideo: Auf YouTube
Jetzt einen Kommentar schreiben