微慑信息网

Chrome 漏洞可使黑客窃取 Windows 10 登录凭证

据外媒 17 日报道,安全公司 DefenseCode 的研究人员发现了 Google Chrome 浏览器中存在的一个漏洞,其允许攻击者通过欺骗用户在 Windows PC 端下载恶意文件或 SCF 文件,从而窃取用户登录凭证并启动 SMB(服务器消息块)中继攻击。

研究人员表示,此次攻击活动极其简单,受害者在点击恶意链接时,将自动下载 Windows Explorer Shell 或 SCF 文件,而 SCF 文件被触发后会向攻击者发送 SMB 服务器身份验证请求,从而泄露受害者的用户名与哈希密码。

updated-start-1024x683

调查显示,攻击者仅需诱导受害者在 Windows 环境下使用 Chrome 浏览器访问其恶意网站,即可窃取并使用受害者的身份凭证,即便受害者并无管理员权限。此外,研究人员表示,该漏洞将影响所有 Windows 版本下的 Chrome 浏览器,甚至包括 Windows 10 系统。

Chrome 的这一漏洞目前尚未被修复。安全专家提醒用户可通过禁用浏览器自动下载功能来防范风险,同时将 SMB 服务限制在专用网络内,并配置好基于 Internet SMB 服务器连接的防火墙端口。

原作者:India Ashok,译者:青楚

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Chrome 漏洞可使黑客窃取 Windows 10 登录凭证

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册