Deberías deshabilitar las descargas automáticas en Chrome ahora mismo

• Categoría: Google Chrome

Pruebe Nuestro Instrumento Para Eliminar Los Problemas

Seleccione El Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Elija Un Programa De Proyección (Opcionalmente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Describe Tu Problema

Obtén Una Respuesta

Envíame Por Correo Electrónico Mostrar En El Sitio

Los usuarios de Google Chrome en Windows son aconsejado para deshabilitar las descargas automáticas en el navegador web para proteger los datos de autenticación contra una nueva amenaza descubierta recientemente.

El navegador Chrome es el navegador más popular en este momento en dispositivos de escritorio. Está configurado para descargar archivos seguros automáticamente al sistema del usuario sin aviso de forma predeterminada.

Cualquier archivo que descarguen los usuarios de Chrome que pase las comprobaciones de navegación segura de Google, se ubicará automáticamente en el directorio de descarga predeterminado. Los usuarios de Chrome que deseen elegir la carpeta de descarga en lugar de las descargas deben cambiar ese comportamiento en las opciones.

El nuevo ataque, que se describe en detalle en el sitio web de Defense Code, combina el comportamiento de descarga automática de Chrome con los archivos de Windows Explorer Shell Command File que tienen la extensión de archivo .scf.

El formato de antigüedad es un archivo de texto sin formato que incluye instrucciones, generalmente una ubicación de icono y comandos limitados. Lo que es particularmente interesante sobre el formato es que puede cargar recursos desde un servidor remoto.

Aún más problemático es el hecho de que Windows procesará estos archivos tan pronto como abra el directorio en el que están almacenados, y que estos archivos aparecen sin extensión en el Explorador de Windows independientemente de la configuración. Esto significa que los atacantes podrían ocultar fácilmente el archivo detrás de un nombre de archivo disfrazado como image.jpg.

Los atacantes utilizan una ubicación de servidor SMB para el icono. Lo que sucede entonces es que el servidor solicita autenticación y que el sistema se la proporcionará. Si bien se envían hashes de contraseñas, los investigadores señalan que descifrar esas contraseñas no debería llevar décadas más a menos que sean del tipo complejo.

Con respecto a la viabilidad del descifrado de contraseñas, esto mejoró enormemente en los últimos años con el descifrado basado en GPU. El punto de referencia de hashcat NetNTLMv2 para una sola tarjeta Nvidia GTX 1080 es de alrededor de 1600 MH / s. Eso es 1.6 mil millones de hashes por segundo. Para una contraseña de 8 caracteres, las plataformas de GPU de 4 de tales tarjetas pueden pasar por un espacio de teclas completo de caracteres alfanuméricos superiores / inferiores + caracteres especiales más comúnmente utilizados (! @ # $% &) En menos de un día. Con cientos de millones de contraseñas filtradas como resultado de varias infracciones en los últimos años (LinkedIn, Myspace), el descifrado de listas de palabras basado en reglas puede producir resultados sorprendentes contra contraseñas complejas con más entropía.

La situación es aún peor para los usuarios de máquinas con Windows 8 o 10 que se autentican con una cuenta de Microsoft, ya que la cuenta proporcionará al atacante acceso a servicios en línea como Outlook, OneDrive u Office365 si la usa el usuario. También existe la posibilidad de que la contraseña se reutilice en sitios que no sean de Microsoft.

Las soluciones antivirus no están marcando estos archivos en este momento.

Así es como cae el ataque

1. El usuario visita un sitio web que envía una unidad mediante descarga al sistema del usuario o hace que el usuario haga clic en un archivo SCF especialmente preparado para que se descargue.
2. El usuario abre el directorio de descarga predeterminado.
3. Windows comprueba la ubicación del icono y envía datos de autenticación al servidor SMB en formato hash.
4. Los ataques pueden utilizar listas de contraseñas o ataques de fuerza bruta para descifrar la contraseña.

Cómo proteger su sistema contra este ataque

Una opción que tienen los usuarios de Chrome es deshabilitar las descargas automáticas en el navegador web. Esto evita las descargas de drive by y también puede evitar descargas accidentales de archivos.

1. Cargue chrome: // settings / en la barra de direcciones del navegador.
2. Desplácese hacia abajo y haga clic en el enlace 'mostrar configuración avanzada'.
3. Desplácese hacia abajo hasta la sección Descargas.
4. Marque la preferencia 'Pregunte dónde guardar cada archivo antes de descargarlo'.

Chrome le solicitará una ubicación de descarga cada vez que se inicie una descarga en el navegador.

Advertencias

Si bien agrega una capa de protección al manejo de descargas de Chrome, los archivos SCF manipulados pueden aterrizar de diferentes maneras en los sistemas de destino.

Una opción que tienen los usuarios y administradores es bloquear los puertos utilizados por el tráfico SMB en el firewall. Microsoft tiene una guía que puedes usar para eso. La compañía sugiere bloquear la comunicación desde y hacia Internet a los puertos SMB 137, 138, 139 y 445.

Sin embargo, el bloqueo de estos puertos puede afectar a otros servicios de Windows, como el servicio de fax, la cola de impresión, el inicio de sesión en la red o el uso compartido de archivos e impresiones.

Ahora tu : ¿Cómo protege sus máquinas contra las amenazas SMB / SCF?