http://www.ithome.com.tw/news/114279

來自DefenseCode的資安工程師Stankovic本周披露，結合微軟Windows及Chrome的安全漏洞將允許駭客竊取Windows用戶的憑證。

這兩個漏洞皆與Windows及Chrome瀏覽器處理SCF檔案的方式有關。SCF為介殼命令檔（Shell Command File），主要用來開啟檔案總管或是顯示桌面，由於它也會存取圖示檔案，所以當有心人士建立一個惡意的SCF檔，並將圖示檔案置放在由駭客代管的遠端SMB伺服器上時，SMB伺服器即可藉由Windows的自動認證機制取得使用者的登入密碼。

Stankovic指出，若Windows 8或Windows 10用戶以微軟帳號（Microsoft Account ）作為系統的登入憑證，那麼該SMB伺服器等於一次就取得了登入OneDrive、Outlook.com、Office 365、Skype或Xbox Live的密碼。即使這些密碼是加密的，但駭客也能利用開放源碼工具加以解密。

至於惡意SCF檔案進入Windows的管道則是Chrome瀏覽器，因為SCF被Chrome視為安全的檔案，不需任何使用者互動即會自動下載，再加上有不少網站都含有反射性檔案下載（Reflected File Download）漏洞，在Chrome用戶造訪網站並不小心觸發該漏洞時，Chrome就會默默且自動地下載SCF檔案。

其實之前Windows中的捷徑檔（LNK）也曾出現類似的安全漏洞，還成為Stuxnet蠕蟲的攻擊途徑，微軟修補LNK漏洞的方式即是限制LNK只能自本地端載入圖示檔案，只是此一修補並未擴及SCF。

此外，除了Chrome之外，不論是IE、Edge、Firefox或Safari等瀏覽器都不會在未提醒使用者的狀況下直接下載SCF檔案，該漏洞影響所有的Windows版本以及最新的Chrome瀏覽器。