近日,Canthink網絡安全攻防研究實驗室表示,PDF文件可以被惡意行為者 “武裝化”,只需打開一個文件即可竊取Windows憑證(NTLM hushes),而無需任何的用戶交互。
Canthink安全研究員的最新研究報告,展示了惡意行為者如何利用PDF標準中原生存在的功能來竊取NTLM hushes(哈希),即Windows存儲用戶憑證的格式。“PDF規範允許為GoToE&GoToR條目加載遠程內容”,可通過PDF和SMB竊取Windows憑據。
創建一個PDF文檔後,可以利用這兩個PDF函數,當有人打開此文件時,PDF文檔可自動向遠程惡意SMB服務器發出請求。據此,所有SMB請求還需包含用於身份驗證目的的NTLM哈希,而這個NTLM哈希將被記錄在遠程SMB服務器的日誌中,可以藉助工具打破這個散列並恢復原始密碼。
這類攻擊過去是通過Office文檔、Outlook、瀏覽器、Windows快捷方式文件、 共享文件夾及其他Windows操作系統內部函數啟動SMB請求來執行的。
雖然只對Adobe Acrobat和FoxIT Reader(福昕)這兩個流行PDF閱讀器的攻擊進行了實地測試,但Canthink安全員對其他閱讀器的安全性均表示懷疑。
Adobe表示其並無修改軟件的打算,推遲至Windows操作系統緩解,即2017年10月發佈的Microsoft安全通報ADV170014。其為用戶如何在Windows操作系統上禁用NTLM SSO身份驗證提供技術機制和說明,希望通過向位於本地網絡之外的服務器發出SMB請求來阻止NTLM哈希的竊取。對此,Canthink網絡安全研究員建議用戶遵循微軟可選的安全增強措施。
分享到:
閱讀更多 網絡安全焦點 的文章
