Quando si condividono file e cartelle in Windows è essenziale proteggerne sempre l’accesso mediante l’utilizzo di username e password.
Negli articoli Condividere file e cartelle in Windows 10, Condividere file e cartelle in rete locale con Windows e Cartelle condivise in Windows, come ottenere la lista completa, abbiamo illustrato le migliori strategie per procedere in tal senso.
A maggio scorso era stata infatti individuata una modalità che permette a un utente malintenzionato di sottrarre i dati dell’account utente usato sul sistema Windows insieme con l’hash della password corrispondente: Disattivate il download automatico dei file nel browser: attacchi in vista.
Per provocare la sottrazione dei dati degli account, compresi quelli Microsoft (quindi non soltanto account locali), l’aggressore può per esempio sfruttare il comportamento di default del browser Chrome che attiva automaticamente il download dei file.
Il trucco sta nell’utilizzo di un file SCF, un formato che Microsoft ha introdotto addirittura all’epoca di Windows 3.11 e che è stato conservato anche nelle successive versioni del sistema operativo.
Inserendo, all’interno del file SCF (semplice file di testo), il riferimento a una risorsa remota (specificando l’IP del server usato dall’aggressore), Windows trasferirà al malintenzionato nomi degli account utente e hash delle password.
L’autore della scoperta ha pubblicato a questo indirizzo un’analisi dettagliata.
La trattazione delle modalità di attacco è avvenuta dopo la pubblicazione di una patch “opzionale” (classificata con l’identificativo ADV170014), rilasciata da Microsoft senza troppa pubblicità il secondo martedì di ottobre.
Tale patch, però, attiva alcune accortezze a livello di registro di sistema solo sui sistemi Windows 10 e Windows Server 2016. Microsoft sembra non aver intenzione di apportare modifiche simili sulle precedenti versioni del sistema operativo a causa di problemi di compatibilità.
Il miglior modo per difendersi, comunque, è disattivare il download automatico dei file da parte del browser (vedere il citato articolo su Chrome) abilitando l’opzione Chiedi dove salvare il file prima di scaricarlo.
Inoltre, ancora più importante, è bene accedere al Pannello di controllo di Windows (in Windows 10 basta digitare Pannello di controllo nella casella di ricerca), cliccare su Centro connessioni di rete e condivisione, su Modifica impostazioni di condivisione avanzate e nella sezione Tutte le reti assicurarsi di aver selezionato l’opzione Attiva condivisione protetta da password.
Il ricercatore colombiano Juan Diego ricorda che una volta che l’aggressore si è impossessato degli hash, può sfruttare strumenti come John the Ripper per risalire alle password in chiaro.