黑客可利用PDF文件獲取Windows憑據
Check Point安全研究員Assaf Baharav透露,PDF文件可以被惡意行為者武裝化,以竊取Windows憑證(NTLM hashes)而無需任何用戶交互,只需打開一個文件即可。
本周,Baharav發表了一項研究報告,展示了惡意行為者如何利用PDF標準中原生存在的功能來竊取NTLM Hashes,這是Windows存儲用戶憑證的格式。 “PDF規范允許為GoToE&GoToR加載遠程內容”,Baharav告訴媒體稱。 通過PDF和SMB竊取Windows憑據 對于他的研究,Baharav 創建了一個PDF文檔,可以利用這兩個PDF功能。當有人打開此文件時,PDF文檔會自動向遠程惡意SMB服務器發出請求。 按照設計,所有SMB請求還包含用于身份驗證目的的NTLM hashes。這個NTLM hashes將被記錄在遠程SMB服務器的日志中。可用的工具能夠破解這個散列并恢復原始密碼。 這種類型的攻擊根本不算新鮮,而且過去是通過從Office文檔,Outlook,瀏覽器,Windows快捷方式文件,共享文件夾和其他Windows操作系統內部函數啟動SMB請求來執行的。 所有的PDF閱讀器都可能存在漏洞 現在,Baharav 已經表明PDF文件同樣危險。Check Point研究人員告訴媒體,他只對Adobe Acrobat和FoxIT Reader的攻擊進行了實地測試。
“我們選擇測試這兩個比較普及的PDF閱讀器,”Baharav 告訴我們。“關于其他人,我們更加懷疑其他閱讀器也存在同樣的弱點。” “我們遵循90天的披露政策,只通知Adobe和福昕公司關于這些問題的信息,”Baharav 說。 雖然FoxIT沒有回復,但Adobe表示它不打算修改其軟件,而是推遲到Windows操作系統級緩解。Adobe工程師指的是2017年10月發布的Microsoft 安全通報ADV170014。 微軟發布了ADV170014,為用戶如何在Windows操作系統上禁用NTLM SSO身份驗證提供技術機制和說明,希望利用向本地網絡之外的服務器發出SMB請求來阻止NTLM hash的竊取。 Baharav 表示,“目前,最佳方法是遵循微軟可選的安全增強措施。” 來源:Freebuf
