Microsoft-Anmeldedaten lassen sich auch über Chrome ausspionieren

Google Chrome OS (Bild: Google)

Vergleichbare Angriffsszenarien mit Internet Explorer und Edge wurden schon früher aufgezeigt. Auch beim Angriff über Chrome spielt das kürzlich durch die WannaCry-Attacken in die Schlagzeilen geraten Protokoll SMB eine unrühmliche Rolle. Es sollte mach Möglichkeit deaktiviert werden.

Sicherheitsforscher von Malwarebytes haben Erkenntnisse ihres Kollegen Bosko Stankovic zum Anlass genommen, um vor einer Schwachstelle in Google Chrome zu warnen. Angreifer könnten die Standard-Downloadfunktion des Browsers missbrauchen, um Passwörter auszuspionieren. Sie müssten dazu auf einer Website lediglich eine entsprechend präpariere Datei platzieren. Über den automatischen Download gelangt die dann auf den Rechner, sobald sie geöffnet wird, nimmt das Unheil seinen Lauf.

Google Chrome (Bild: Google)

Dem Malwarebytes-Experten Pieter Arntz zufolge, können ähnliche Angriffe auch über den Internet Explorer und Edge ausgeführt werden. Allerdings verleihe “der von vielen Nutzern verwendete Google Chrome-Browser dem Angriff nun eine neue Dimension.”

Um die Nutzung komfortabler zu gestalten, verwendet Chrome die als MIME-Sniffing (auch MIME Type Detection) bezeichnete Technik, um Textdateien oder textähnliche Dateien herunterzuladen. Sie werden im Default-Download-Ordner gespeichert. Wie so oft, ist auch hier Komfort der größte Feind der Sicherheit, denn so auf den Rechner übertragene SCF-Dateien bieten Angreifern erhebliches Missbrauchspotenzial.

Ein “Windows Explorer Shell Command File” ist im Grunde ein Shortcut mit sogenanntem Run Command. Unter Windows wird das genutzt, um eine Anwendung oder eine Datei mit bekanntem Dateipfad zu öffnen. Aus Sicht der Sicherheit bedauerlich ist, dass die Dateierweiterung SCF auch dann nicht angezeigt wird, wenn die Anzeige von Dateierweiterungen – wie von Sicherheitsexperten allgemein empfohlen – aktiviert ist. SCF-Dateien lassen sich daher nur von aufmerksamen Beobachtern als solche identifizieren.

Malwarebytes (Bild: Malwarebytes)

Dazu kommt, dass SCF-Dateien unmittelbar ausgeführt werden, wenn der Ordner geöffnet wird, in dem sie sich befinden. Das wiederum ist beim Standard-Download-Ordner ja ziemlich wahrscheinlich. Daher könnten Angreifer eine getarnte SCF-Datei auf einer Webseite platzieren und entweder darauf warten, dass ein ahnungsloser Chrome-Nutzer vorbeikommt, oder ihn mit einer Mail unter einem x-beliebigem Vorwand zum Besuch auffordert. Dann wird die Datei heruntergeladen und beim nächsten öffnen des Download-Ordners prompt ausgeführt.

Da SCF-Dateien so konfiguriert werden können, dass von einem Server – auch einem Remote-Server – beliebige Ressourcen angefordert werden, ist es dann ein Leichtes, auf diesem Wege Kontakt nach außen aufzunehmen. Die Anfrage würde über SMB gestellt und daher den Nutzernamen, die Domain und den NTLMv2-Passwort-Hash enthalten. Diese, dem externen Sever übergebenen Informationen, wären für einen Angreifer dann ausgesprochen hilfreich, der sich Zugang zu einem Netzwerk verschaffen oder sich darin bewegen will.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Auch in dem Fall hilft Angreifern, so wie bei der WannaCry-Attacke, wieder der großzügige Umgang von SMB mit Informationen. Da SMB unter Windows verwendet wird, um Dateien, Drucker oder serielle Ports gemeinsam zu nutzen müssen die oben genannten Informationen an den Server übermittelt werden, damit der Server auf deren Grundlage den Zugriff gewährt.

Malwarebytes warnt auch davor, dass die Auswirkungen für Nutzer von Windows 8 und Windows 10, die Microsoft Authentication (MSA) verwenden um auf Microsoft-Services wie Office 365, OneDrive oder Skype zuzugreifen noch wesentlich größer sein können, da der Angreifer dann auch unbefugt Zugriff darauf erhalten könnte.

Tipp der Redaktion

Die besten Apps für Business-Trips

Smartphones sind unterwegs nicht nur als Kommunikations-Tool und für den Internetzugang nützlich. Zahlreiche Apps helfen, sich auf Reisen besser zurechtzufinden. Die silicon-Redaktion stellt 20 spannende, praktische und nützliche Apps vor.

Zwar bekommt der Angreifer nur Zugriff auf das gehaste Passwort, laut Malwarebytes ist es aber “nur eine Frage der Zeit, bis er das Passwort herausfindet. Je nachdem wie stark der Hash ist, kann das nur wenige Sekunden bis hin zu ein paar Tagen dauern. Die Kriminellen gleichen dann den Nutzernamen und Hash mit weiteren Listen ab, um zu überprüfen, ob das Passwort mehrmals verwendet worden ist.”

Bis ein Update für Chrome zur Verfügung gibt es zwei Möglichkeiten, sich zu schützen. Die effektivste ist es, SMB zu deaktivieren, falls es nicht wirklich benötigt wird. Wie das geht, erklärt Microsoft in einem Support-Dokument.

Alternativ können Chrome-Nutzer in Optionen –> Einstellungen –> Erweiterte Einstellungen beim Menüpunkt “Downloads” ein Häkchen bei “Vor dem Download von Dateien nach dem Speicherort fragen” setzen. Dann informiert sie der Browser, wenn er etwas herunterlädt. Und um ein ja “unsichtbares” SCF-File nicht mit zu öffnen, wenn der Ordner aufgerufen wird, in dem es sich befindet, sollten bewusst heruntergeladene Dateien nicht im Standard-Download-Ordner, sondern mit der Funktion “Speichern unter” anderswo abgelegt werden. Dann ist es nicht erforderlich, den Standard-Download-Ordner zu öffnen.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.