近日，安全工程师Stankovic披露，攻击者利用Windows及Chrome的安全漏洞将能够窃取Windows用户的凭证。
 

　　Windows+Chrome曝出凭证外泄漏洞

　　据悉，这两个漏洞都与Windows及Chrome浏览器处理SCF档案的方式有关。SCF为内核命令文件(Shell Command File)，主要用来开启Windows资源管理器或是显示桌面，由于它也会存取图示文件，所以当有心人士建立一个恶意的SCF档，并将图示文件置放在由攻击者代管的远端SMB服务器上时，SMB服务器就能借由Windows的自动认证机制取得使用者的登入密码。

　　Stankovic指出，若Windows 8或Windows 10用户以微软帐号(Microsoft Account)作为系统的登入凭证，那么该SMB服务器等于一次就取得了登入OneDrive、Outlook.com、Office 365、Skype或Xbox Live的密码。即使这些密码是加密的，但攻击者也能利用开放源码工具加以解密。

　　而Chrome浏览器则是恶意SCF文件进入Windows的管道，因为SCF被Chrome视为安全的文件，不需任何使用者互动即会自动下载，再加上有不少网站都存在反射文件下载(Reflected File Download)漏洞，在Chrome用户访问网站并不小心触发该漏洞时，Chrome便会默默自动下载SCF文件了。

　　其实之前Windows中的快捷方式文件(LNK)也曾出现类似的安全漏洞，还成为Stuxnet蠕虫的攻击途径，微软修补LNK漏洞的方式即是限制LNK只能自本地端载入图示文件，只是此一修补并未涉及到SCF。

　　此外，除了Chrome之外，不论是IE、Edge、Firefox或Safari等浏览器都不会在未提醒使用者的状况下直接下载SCF文件，该漏洞影响所有的Windows版本以及最新的Chrome浏览器。

(责任编辑：宋编辑)