2274269

Chrome-Schwäche ermöglicht Diebstahl von Login-Daten

18.05.2017 | 10:42 Uhr |

Eine Lücke in Chrome erlaubt Angreifern unter anderem den Diebstahl der Windows-Login-Daten eines Nutzers.

Der Sicherheitsexperte Bosko Stankovic hat eine Sicherheitslücke in Google Chrome entdeckt, durch die ein Angreifer Daten von einem angegriffenen PC stehlen kann. Betroffen ist auch Windows 10. Schuld an dem Problem ist der Umgang von Chrome mit Dateien mit der Endung SCF (Windows Explorer Shell Command Format).

Chrome stuft SCF-Dateien als sicher ein, lädt diese daher automatisch herunter und führt sie anschließend aus. Dies könnte dafür missbraucht werden, um über eine entsprechende manipulierte SCF-Datei einen Anmeldevorgang an einem vom Angreifer kontrollierten SMB-Server durchzuführen, wodurch der Angreifer an den Usernamen und den dazugehörigen NTLMv2 Passwort-Hash des Opfers gelangt. Die so erbeuteten Daten könnten dann für das Einloggen bei Diensten genutzt werden, die die gleiche Art der Authentifizierung gestatten, wie beispielsweise Microsoft Exchange.

SCF-Dateien sind eigentlich reine Textdateien, über die ein Kommando an die Windows-Shell gegeben werden kann. Enthalten ist in der Textdatei auch über "IconFile=" die Information, welches Icon die SCF-Datei besitzen soll. Normalerweise wird dabei auf einen lokalen Icon-Standort verwiesen. Enthält die präparierte SCF-Datei allerdings eine IP-Adresse, dann kann dadurch ein Anmeldevorgang bei einem SMB-Server gestartet werden. Etwa mit "IconFile=\\xxx.xxx.xxx.xxx\Icon" (xxx ersetzt durch die entsprechenden Ziffern der IP-Adresse).

Stankovic weist darauf hin, dass die Anfälligkeit selbst dann eine Gefahr darstellen könnte, wenn der Nutzer über keine priviligierten Rechte verfügt. Ein Angreifer könnte die Lücke dazu ausnutzen, um sich als ein Mitglied eines Unternehmens auszugeben und so in das Netzwerk eines Unternehmens zu gelangen. Von dort aus könnte er dann weiteren Schaden anrichten.

Das Problem tritt ausschließlich unter Chrome auf, weil alle anderen Browser nicht automatisch SCF-Dateien herunterladen und ausführen. Google hat das Problem mittlerweile bestätigt und will das Problem mit einem Chrome-Update lösen. Bis dahin können sich Chrome-Nutzer schützen, indem sie in den Einstellungen die Option aktivieren, dass Chrome vor dem Download einer Datei nach dem Speicherort fragen soll. Dadurch wird das automatische Herunterladen und Starten von SCF-Dateien deaktiviert.

0 Kommentare zu diesem Artikel
2274269