看一眼就中招 漏洞分分鐘偷走Windows密碼

「看一眼就懷孕」只是個段子，而「看一眼就中招」的漏洞則真的存在。

最近有安全研究人員發現了一種很奇葩的攻擊方式，利用谷歌的 Chrome 瀏覽器能竊取任何版本的 Windows 系統登錄密碼（包括最新的 Windows 10）。雷鋒網發現，這種攻擊手法就借鑒了曾被評為「史上最危險的漏洞之一」的「快捷方式漏洞」。該漏洞是史上影響範圍最廣的微軟漏洞之一，號稱「看一眼就中招」。2010年轟動全球的「震網病毒事件」（美國當年利用病毒破壞伊朗核計劃），正是依靠這種攻擊手法。

為什麼看一眼就能中招

2010 年8月，微軟緊急修復了一個高危漏洞，人們和現在一樣喜歡抱怨補丁太多，也並不了解這個漏洞的威力，以及美國正是軍方利用這個漏洞，破壞了伊朗核彈計劃。

雷鋒網了解到，當年伊朗建設核設施時，採用的監控和數據採集系統都是自成體系運行，完全不連接任何外部網路，所有操作都嚴格「物理隔離」，幾乎沒有從外網攻進去的可能性。然而， Windows 系統里的一個快捷方式漏洞幫助美國打開了局面。

快捷方式漏洞的原理是這樣的：我們的桌面上通常有一些快捷方式文件，它們的格式是 LNK。

之所以它們能顯示出各式各樣的圖標，是因為文件引用了不同的圖標文件，圖標文件決定它們顯示的樣子。比如，我可以把谷歌瀏覽器快捷方式的圖標改成一個關機鍵。

簡而言之，Windows 系統顯示快捷方式時，會根據文件中圖標路徑，自動去尋找並引用圖標文件，然後圖標展示給用戶。而攻擊者利用的正是這一個細節。

攻擊者可以構建一個惡意快捷方式，將它的圖標引用目錄指向了一個惡意代碼文件。受害者看到這個快捷方式的瞬間，它就把惡意代碼文件當作圖標拉取了過來。更可怕的是，它不僅可以引用本地文件，還可以拉取遠程伺服器上的文件。

這種攻擊方式最厲害之處在於，快捷方式文件的顯示圖標是系統自動執行的，就算受害者不點開這個快捷方式文件，只要看一眼，就已經中招！換句話說：

攻擊者把一個惡意文件發送給你，不管你打不打開，只要接受就立刻中招！

攻擊者把一個惡意文件掛在網上，不管你打不打開，只要下載到你電腦上就中招！

攻擊者把文件放在U盤裡，不管你打不打開，插上就中招！

這就是快捷方式漏洞，人送綽號「看一眼就中招」的由來。

回到美軍破壞伊朗核設施事件上。當時伊朗的核設施採用了嚴格的物理隔離，工作人員也絕不會輕易打開任何可疑文件。

於是美國想了一個迂迴招數，先感染一些比較好得手的外部機器（比如工作人員家裡的電腦，或者辦公區域的電腦），將病毒感染到工作人員的 U盤裡，然後靜靜等待工作人員有一天把U盤插到核心核設施離心機的控制設備上。

工作人員把U盤插到核設施監控系統的主機上時， 並沒有運行U盤裡的任何可疑文件，但病毒已神不知鬼不覺地潛入內部主機，成功利用U盤完成突破物理隔絕的「擺渡」。之後繼續搭配另外幾個漏洞，迅速蔓延到核設施的整個內網。

於是就出現了下面這一幕：時任伊朗總統內賈德參觀核設施，清晰地顯示出了當時在「震網病毒」的作用下，兩個離心機發生未知故障，所有人當時都被蒙在鼓裡，沒有人知道病毒究竟是怎麼進來的，甚至他們根本不知道這是電腦病毒搞的鬼。

快捷方式漏洞被公開披露后，整個互聯網陷入了瘋狂，那情形大概和最近發生的全球勒索事件差不多。這是當時的新聞是這樣的：

微軟很快對 LNK 格式的快捷方式文件進行了限制，不允許引用外部伺服器的文件，只允許引用本機資源，並且對引用圖標文件的格式做了嚴格的限制，斷絕了利用LNK快捷方式的圖標文件來傳播惡意代碼的可能性。該漏洞便從此銷聲匿跡，成為黑客江湖的一個傳說。

漏洞改頭換面「重出江湖」

然而，微軟還是百密一疏。他們對LNK格式的快捷方式文件進行了限制，卻忘記了 Windows 下還有另一種快捷方式文件格式：SCF。

什麼是 SCF 文件？官方的解釋是這樣：

SCF（文件是「WINDOWS資源管理器命令」文件，它也是一種可執行文件，該類型文件由 Windows Explorer Command 解釋，標準安裝。

看不懂沒關係，我們只要知道，它的工作原理類似於普通的 LNK 格式快捷方式，一般都在桌面放置一個圖標，幫我們快速打開一個資源。常見的「我的電腦」、「回收站」就是 SCF 格式的快捷方式。

Windows 修復 LNK 快捷方式漏洞時，忘記了處理 SCF 文件，也就成了攻擊者利用 Chrome 竊取 Windows 密碼的關鍵。

整個攻擊流程是這樣的：

攻擊者先創建一個惡意的SCF文件，放在自己的網站。

誘騙受害者進入該網站，然後神奇的一幕就出現了， Chrome 瀏覽器會自動下載這個SCF文件到受害者的電腦中，不需要用戶確認下載。（可能是默認 Windows SCF 文件是安全的，這算是Chrome 瀏覽器的一個安全漏洞）。

當用戶進入包含惡意快捷方式文件的文件夾，即使不點擊，該文件也會自動檢索圖標，而圖片路徑早已被攻擊者設置到了一台遠程伺服器上，因此受害者電腦會自動遠程鏈接的攻擊者的伺服器。

根據 Windows 系統訪問遠程伺服器的 LM/NTLM 身份認證機制，受害者的電腦連接攻擊者的遠程伺服器時，會自動把電腦的系統用戶名和密碼哈希值傳輸過去，用來驗證自己的身份。於是攻擊者便得手了。

據雷鋒網了解，雖然這些密碼被加密了，但依然可以通過暴力破解，獲取原始登錄密碼。而且微軟有許多在線服務只需要驗證哈希散列加密密碼，攻擊者甚至可以使用加密的密碼直接登錄到受害者的 OneDrive 、 Outlook、Office365、網上辦公、Skype、Xbox Live 等微軟的其他服務，而不需要解密后的密碼。

甚至，攻擊者也可以冒充受害者對企業內部的其他成員產生威脅，獲取訪問企業IT資源許可權等等。

值得一提的是，由於這種攻擊手法需要將 SCF 文件文件下載到電腦，一般攻擊者會把文件名設置「圖片.jpg.scf」或者「文本.txt.scf，那樣它 Winodws 資源管理器里會顯示成 「圖片.jpg」或者「文本.txt」 ，這樣看起來像是一張jpg格式的圖片或是txt文本文件，很難被察覺。

▲scf 文件後綴將被隱藏，不易被發現

如何防止這種攻擊？

目前谷歌似乎也意識到了這個漏洞，正在製作相應的補丁，不過在新的補丁更新之前，所有使用Chome瀏覽器或者Chromium 內核瀏覽器（比如QQ瀏覽器、百度瀏覽器、360極速瀏覽器等等）的用戶都不排除類似風險。

雷鋒網在此給出的建議是，關掉訪問外網的SMB連接埠（TCP埠號139和445）,使得本地計算機不能再查詢遠程SMB伺服器。或者禁用谷歌Chrome瀏覽器的自動下載設置，在設置——顯示高級設置——勾選。 這樣每次瀏覽器下載文件都會詢問，從而避免瀏覽器自動下載惡意SCF文件。