PDF 文件也可被濫用于竊取 Windows 憑證
責編:gltian |2018-05-02 13:18:43Check Point?公司的研究人員?Assaf Baharav?指出,惡意人員可濫用?PDF?文件,在無需任何用戶交互的情況下竊取?Windows?憑證?(NTLM?哈希),且僅需打開一個文件即可。
Baharav?在本周公布的一篇研究論文中說明了惡意軟件如何利用?PDF?標準文件中的功能竊取?NTLM?哈希。Windows?以NTLM?哈希格式存儲用戶憑證。
Baharav?指出,“PDF?標準允許為?GoToE & GoToR?條目加載遠程內容。”
通過?PDF?和?SMB?竊取?Windows?憑證
Baharav?創建了一個將利用這兩個?PDF?功能的?PDF?文檔。當有人打開該文檔時,這份?PDF?文檔將自動向一個遠程惡意?SMB?服務器提出請求。
按照設計,所有的?SMB?請求還包括用于認證的?NTLM?哈希。這個?NTLM?哈希將被記錄在遠程?SMB?服務器的日志中。但多個工具可破解這個哈希并恢復原始的密碼。
其實這種攻擊并不少見。過去惡意人員曾通過從?Office?文檔、Outlook、瀏覽器、Windows?快捷文件、共享文件夾和其它?Windows?操作系統內部功能等中初始化?SMB?請求的方式執行這類攻擊。
所有?PDF?閱讀器均可能易受攻擊
Baharav?指出,PDF?文件也具有危險性。他指出僅在?Adobe Acrobat?和福昕閱讀器中實際測試了攻擊效果。
Baharav?表示,其它?PDF?閱讀器也很有可能易受攻擊。研究員按照90天的披露政策將問題告知?Adobe?和福昕公司。福昕公司并未做出任何回應,而?Adobe?表示沒有修改軟件的計劃,而會應用?Windows?操作系統級別的緩解措施,即于2017年10月發布的微軟安全公告中的?ADV170014。
微軟發布的?ADV170014?提供了關于用戶如何禁用?Windows?操作系統上的?NTLM?單點登錄認證的技術機制和指令,目的是希望組織經由通過向位于本地網絡之外的服務器提出的?SMB?請求竊取?NTLM?哈希。
Baharav?表示,最佳實踐是應用微軟的可選安全增強措施。