Викрасти облікові дані Windows можна за допомогою PDF-документа

Зловмисники можуть використовувати PDF-файли для викрадення облікових даних Windows (хешів NTLM) без участі користувача шляхом лише відкриття файлу.

В опублікованому на цьому тижні дослідженні фахівець компанії Check Point продемонстрував, як атакуючий може скористатися «рідною» функцією стандарту PDF для викрадення хешів NTLM, які використовуються Windows для зберігання облікових даних користувачів. Як пояснив дослідник, специфікації PDF дозволяють завантажувати віддалений контент для дій GoToR (Go To Remote) та GoToE (Go To Embedded).

У ході дослідження фахівець компанії Check Point створив PDF-документ, який використовує GoToR та GoToE. При відкритті документ автоматично надсилає запит на віддалений шкідливий SMB-сервер. За замовчуванням усі запити SMB також містять хеші NTLM для автентифікації, що записуються в журнал SMB-сервера. Зловмисник може скористатися доступними в даний час інструментами для зламування хешів NTLM і отримати облікові дані користувачів.

Ця атака не є новою і раніше вже здійснювалася шляхом ініціювання SMB-запитів з документів Outlook, Office, спільних папок та ін. Тепер список поповнився також PDF-документами.

Фахівець компанії Check Point успішно протестував атаку на Adobe Acrobat і FoxIT Reader і приватно повідомив їхніх виробників про виявлену проблему. Представники FoxIT ніяк не відреагували на повідомлення, а в Adobe заявили, що не мають наміру нічого робити, нагадавши про існування сповіщення безпеки. ADV170014.

Сповіщення ADV170014 було випущено компанією Microsoft у жовтні 2017 року. У ньому дано інструкції з відключення механізму SSO-автентифікації по NTLM, щоб уникнути викрадення хешів NTLM через SMB-запити, що надсилаються на сервер за межами локальної мережі.

Технологія єдиного входу (Single Sign-On, SSO) – технологія, при використанні якої користувач переходить з одного розділу порталу до іншого без повторної аутентифікації.