Новость Похитить учетные данные Windows можно с помощью PDF-документа

[Apollon]

Злоумышленники могут использовать PDF-файлы для похищения учетных данных Windows (хэшей NTLM) без участия пользователя путем одно лишь открытия файла.

В опубликованном на этой неделе исследовании специалист компании Check Point Ассаф Бахарав (Assaf Baharav)продемонстрировал, как атакующий может воспользоваться «родной» функцией стандарта PDF для похищения хэшей NTLM, используемых Windows для хранения учетных данных пользователей. Как пояснил исследователь, спецификации PDF позволяют загружать удаленный контент для действий GoToR (Go To Remote) и GoToE (Go To Embedded).

В ходе исследования Бахарав создал PDF-документ, использующий GoToR и GoToE. При открытии документ автоматически отправляет запрос на удаленный вредоносный SMB-сервер. По умолчанию все SMB-запросы также содержат хэши NTLM для аутентификации, записываемые в журнал SMB-сервера. Злоумышленник может воспользоваться доступными в настоящее время инструментами для взлома хэшей NTLM и извлечь учетные данные пользователей.

Данная атака не является новой и ранее уже осуществлялась путем инициирования SMB-запросов из документов Outlook, Office, общих папок и пр. Теперь список пополнился также PDF-документами.

Бахарав успешно протестировал атаку на Adobe Acrobat и FoxIT Reader и частным образом уведомил их производителей об обнаруженной проблеме. Представители FoxIT никак не отреагировали на уведомление, а в Adobe заявили, что не намерены ничего предпринимать, напомнив о существовании уведомления безопасности ADV170014.

Уведомление ADV170014 было выпущено компанией Microsoft в октябре 2017 года. В нем даны инструкции по отключению механизма SSO-аутентификации по NTLM во избежание похищения хэшей NTLM через SMB-запросы, отправляемые на сервер за пределами локальной сети.

Технология единого входа (Single Sign-On, SSO) – технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.