На поиск нового способа атаки, направленной против пользователей браузера Google Chrome, исследователя натолкнули два фактора. Первый связан с изучением техники, применяемой известным вредоносом Stuxnet. А второй — вытекает из доклада, который был представлен еще 2 года назад во время конференции Black Hat.
Станковчич во время работы с браузером Google Chrome выявил одну очень интересную особенность. Оказывается, что этот веб-обозреватель автоматически начинает загружать файлы, которые он относит к безопасным. При этом для загрузки не требуется разрешение пользователя. Пусть даже после завершения загрузки пользователю придется вручную запустить скачанный файл, такое поведение может нести очень большую угрозу, поэтому полностью безопасным Chrome считать все же нельзя. Это попытался доказать Станкович и у него все получилось.
Исследователю удалось сделать так, чтобы файлу, загружаемому браузером под видом безопасного, не приходилось даже после загрузки взаимодействовать с пользователем для совершения атаки.
Новый метод совершения атаки основывается на использовании файлов SCF. Они впервые появились еще в версии операционной системы Windows 98. В этом формате поддерживается выполнение только небольшого числа простых команд, которые могут использоваться, например, для открытия окна или демонстрации рабочего стола. Файлы форматов SCF, LNK браузер Google Chrome относит к безопасным, поэтому загружает их автоматически.
Уязвимость, основанную на использовании таких файлов, ранее уже использовали злоумышленники для осуществления атак на пользователей операционной системы Windows. Но через время эта уязвимость была исправлена специалистами компании Microsoft. Однако тогда исправление коснулось только файлов LNK, а вот о SCF все позабыли. Так что до сих пор такие файлы могут подгружаться браузерами автоматически как безопасные.
Станковичу удалось провернуть с использованием этих файлов хитрую атаку, позволяющую получить учетные данные пользователя. Исследовать создал специальный SCF-файл, с помощью которого осуществляется загрузка иконки через специальный адреса, который на самом деле перенаправляет пользователя к SMB-серверу. Получается, что как только браузер попытается загрузить нужную иконку, сервер запросит у него учетные данные. Так как SCF-файлы считаются безопасными, то браузер воспримет запрос на доступ к учетным данным как необходимость пройти аутентификацию. Получается, что на удаленный сервер будут переданы все учетные данные жертвы, включая пароли. А учитывая то, что с версии Windows 8 для пользователей введен единый аккаунт Microsoft, то злоумышленники смогут получить доступ одновременно к личным данным одновременно по нескольким сервисам.
По словам Станковича, злоумышленнику в этом случае даже не придется использовать способы социальной инженерии, чтобы загрузить зараженный файл на компьютер жертвы. Достаточно всего лишь разместить этот файл на любом уязвимом сайте, а дальше браузер сделает все сам.