アカウント名:
パスワード:
①Chrome はデフォルトで保存先を指定させずにダウンロードする (これは別に他のブラウザでもそうだし、設定次第ですね)
②レスポンスのテキストに %0B が含まれるとファイルとしてダウンロードしてしまう (これは Chrome だけの動き)
③細工した SCF ファイルを実行させることで攻撃者にユーザ名とパスワードハッシュが知られる (これは意図した動作ながら、Windows の問題)
今回問題なのは②で、これだけは Chrome の問題だと思います(何故こんな実装になってるんだろう……)ただ根本的には③で、グローバルにアクセスするならその前に確認メッセージの表示とかあってもいいかもしれませんね。
②と③の間に入るはずの決定的かつ致命的な欠陥が抜けている。③も間違ってるがそっちについては他の人が指摘しているので省く。①と②は正しい。レスポンスのテキストに %0B が含まれるとファイルとしてダウンロードしてしまうという使用に加えてデフォルトだとダウンロードスべきと判断したファイルを自動的にダウンロードする。一般的なブラウザならダウンロードスべきと判断したファイルをダウンロードするか確認してくる(どこにダウンロードするかは聞かないでダウンロード先を勝手に決めるが)。これがクロームの場合確認せずに自動的にダウンロードダウンロードする。そして細工されたSCFファイルをエクスプローラーが読み込んだ段階でSMB認証情報が漏洩する。つまりクロームのダウンロード関連の設定をデフォルトの設定で利用している一般人が細工されたSCFファイルへのリンクを開いた瞬間手遅れ。ダウンロードしてしまった場合はエクスプローラー以外のソフトでファイルを削除するしかない。エクスプローラーで削除するなら多分ユーザフォルダのダウンロードごと消すしかないな。
まあ, エクスプローラーを使ったまわりくどい方法もあるにはあるかな.
ネットワークを切断した状態でエクスプローラーで該当ファイルを消す.このとき,認証情報は送られそうになるが,ネットワークが切れているのでとりあえず防げる.そして,そのまま接続を回復すると良くない可能性がある(認証情報を送るのは windows だろうけど,繋がるまで再送を待ってる?)ので,いったんシャットダウン.
こんなところでどうだろう?
もうちょっとtypoなんとかして欲しいがw重大なリスクはそこか。Chrome以外のブラウザはデフォルト状態では、意図しないファイルのダウンロード前にユーザーが止めさせることができる。ダウンロードが完了してしまうと、この脆弱性を突かれていることに気付いていないユーザーは高確率で次のステップをクリアする。
こりゃ自分もやられるな。Chrome的には、下部のダウンロードバーから要らないファイルはキャンセルしろなのかな…と思ったがダウンロード済みファイルを削除とかはできないのか。
ふと思ったんだけどIEやEdgeのキャッシュフォルダとか大丈夫だろうか?拡張子をそのまま保持してファイル保存されていると思うのだが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
自分なりに整理 (スコア:1)
①Chrome はデフォルトで保存先を指定させずにダウンロードする
(これは別に他のブラウザでもそうだし、設定次第ですね)
②レスポンスのテキストに %0B が含まれるとファイルとしてダウンロードしてしまう
(これは Chrome だけの動き)
③細工した SCF ファイルを実行させることで攻撃者にユーザ名とパスワードハッシュが知られる
(これは意図した動作ながら、Windows の問題)
今回問題なのは②で、これだけは Chrome の問題だと思います(何故こんな実装になってるんだろう……)
ただ根本的には③で、グローバルにアクセスするならその前に確認メッセージの表示とかあってもいいかもしれませんね。
Re:自分なりに整理 (スコア:0)
②と③の間に入るはずの決定的かつ致命的な欠陥が抜けている。③も間違ってるがそっちについては他の人が指摘しているので省く。
①と②は正しい。レスポンスのテキストに %0B が含まれるとファイルとしてダウンロードしてしまうという使用に加えてデフォルトだとダウンロードスべきと判断したファイルを自動的にダウンロードする。一般的なブラウザならダウンロードスべきと判断したファイルをダウンロードするか確認してくる(どこにダウンロードするかは聞かないでダウンロード先を勝手に決めるが)。これがクロームの場合確認せずに自動的にダウンロードダウンロードする。
そして細工されたSCFファイルをエクスプローラーが読み込んだ段階でSMB認証情報が漏洩する。
つまりクロームのダウンロード関連の設定をデフォルトの設定で利用している一般人が細工されたSCFファイルへのリンクを開いた瞬間手遅れ。ダウンロードしてしまった場合はエクスプローラー以外のソフトでファイルを削除するしかない。エクスプローラーで削除するなら多分ユーザフォルダのダウンロードごと消すしかないな。
Re: (スコア:0)
まあ, エクスプローラーを使ったまわりくどい方法もあるにはあるかな.
ネットワークを切断した状態でエクスプローラーで該当ファイルを消す.
このとき,認証情報は送られそうになるが,ネットワークが切れているのでとりあえず防げる.
そして,そのまま接続を回復すると良くない可能性がある(認証情報を送るのは windows だろうけど,繋がるまで再送を待ってる?)ので,いったんシャットダウン.
こんなところでどうだろう?
Re: (スコア:0)
もうちょっとtypoなんとかして欲しいがw重大なリスクはそこか。
Chrome以外のブラウザはデフォルト状態では、意図しないファイルのダウンロード前にユーザーが止めさせることができる。
ダウンロードが完了してしまうと、この脆弱性を突かれていることに気付いていないユーザーは高確率で次のステップをクリアする。
こりゃ自分もやられるな。
Chrome的には、下部のダウンロードバーから要らないファイルはキャンセルしろなのかな…と思ったがダウンロード済みファイルを削除とかはできないのか。
Re: (スコア:0)
ふと思ったんだけどIEやEdgeのキャッシュフォルダとか大丈夫だろうか?
拡張子をそのまま保持してファイル保存されていると思うのだが。
Re:自分なりに整理 (スコア:1)
ただ、Explorerで開いては駄目なフォルダの意味が全然違う。
■Chromeの場合
%USERPROFILE%\downloads
■IEの場合
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache
■Edgeの場合
%USERPROFILE%\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\Cache
%USERPROFILE%\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache
%USERPROFILE%\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\Cache
Chromeの場合日常的に開く可能性があるパス。
IEの場合はインターネットオプションからパスが見えているがExplorerではそうそう開かない。
Edgeに至っては設定画面ではパスの変更どころかどこに保存されているかの表示さえない。
まあ要するにこのパスを調べた私みたいなのしか影響しない。