Исследователи кибербезопасности обнаружили случай "принудительной аутентификации", который может быть использован для утечки токенов NT LAN Manager пользователя Windows (NTLM) путем обмана жертвы с целью открытия специально созданного файла Microsoft Access.
Атака использует законную функцию в решении системы управления базами данных, которая позволяет пользователям ссылаться на внешние источники данных, такие как удаленная таблица SQL Server.
"Злоумышленники могут злоупотреблять этой функцией для автоматической утечки токенов NTLM пользователя Windows на любой сервер, контролируемый злоумышленником, через любой TCP-порт, такой как порт 80", - сказал исследователь безопасности Check Point Хайфэй Ли. "Атака может быть запущена, как только жертва откроет файл .accdb или .mdb. Фактически, любой более распространенный тип файлов Office (например, .rtf ) также может работать".
NTLM, протокол аутентификации, представленный Microsoft в 1993 году, представляет собой протокол "запрос-ответ", который используется для аутентификации пользователей при входе в систему. На протяжении многих лет было обнаружено, что она уязвима для атак методом перебора, передачи хэша и ретрансляции.
вкратце, последняя атака злоупотребляет функцией связанной таблицы в Access для утечки хэшей NTLM на сервер, управляемый субъектом, путем встраивания файла .accdb со ссылкой на удаленную базу данных SQL Server внутри документа MS Word с использованием механизма, называемого связыванием и внедрением объектов (OLE).
"Злоумышленник может настроить сервер, которым он управляет, прослушивая порт 80, и ввести его IP-адрес в указанное выше поле "псевдоним сервера", - объяснил Ли. "Затем они могут отправить файл базы данных, включая связанную таблицу, жертве".
Если жертва откроет файл и щелкнет по связанной таблице, клиент жертвы свяжется с контролируемым злоумышленником сервером для проверки подлинности, что позволит последнему осуществить ретрансляционную атаку, запустив процесс проверки подлинности на целевом сервере NTLM в той же организации.
Затем сервер-мошенник получает запрос, передает его жертве и получает действительный ответ, который в конечном итоге передается отправителю, который запрашивает CV в рамках контролируемого злоумышленником процесса аутентификации CV↔ SA получает действительный ответ и затем передает этот ответ серверу NTLM.
В то время как Microsoft с тех пор выпустила исправления проблемы в версии Office / Access (текущий канал, версия 2306, сборка 16529.20182) после ответственного раскрытия в январе 2023 года, 0patch выпустила неофициальные исправления для Office 2010, Office 2013, Office 2016, Office 2019 и Office 365.
Разработка также происходит после того, как Microsoft объявила о планах отказаться от NTLM в Windows 11 в пользу Kerberos для повышения безопасности.
Атака использует законную функцию в решении системы управления базами данных, которая позволяет пользователям ссылаться на внешние источники данных, такие как удаленная таблица SQL Server.
"Злоумышленники могут злоупотреблять этой функцией для автоматической утечки токенов NTLM пользователя Windows на любой сервер, контролируемый злоумышленником, через любой TCP-порт, такой как порт 80", - сказал исследователь безопасности Check Point Хайфэй Ли. "Атака может быть запущена, как только жертва откроет файл .accdb или .mdb. Фактически, любой более распространенный тип файлов Office (например, .rtf ) также может работать".
NTLM, протокол аутентификации, представленный Microsoft в 1993 году, представляет собой протокол "запрос-ответ", который используется для аутентификации пользователей при входе в систему. На протяжении многих лет было обнаружено, что она уязвима для атак методом перебора, передачи хэша и ретрансляции.
вкратце, последняя атака злоупотребляет функцией связанной таблицы в Access для утечки хэшей NTLM на сервер, управляемый субъектом, путем встраивания файла .accdb со ссылкой на удаленную базу данных SQL Server внутри документа MS Word с использованием механизма, называемого связыванием и внедрением объектов (OLE).
"Злоумышленник может настроить сервер, которым он управляет, прослушивая порт 80, и ввести его IP-адрес в указанное выше поле "псевдоним сервера", - объяснил Ли. "Затем они могут отправить файл базы данных, включая связанную таблицу, жертве".
Если жертва откроет файл и щелкнет по связанной таблице, клиент жертвы свяжется с контролируемым злоумышленником сервером для проверки подлинности, что позволит последнему осуществить ретрансляционную атаку, запустив процесс проверки подлинности на целевом сервере NTLM в той же организации.
Затем сервер-мошенник получает запрос, передает его жертве и получает действительный ответ, который в конечном итоге передается отправителю, который запрашивает CV в рамках контролируемого злоумышленником процесса аутентификации CV↔ SA получает действительный ответ и затем передает этот ответ серверу NTLM.
В то время как Microsoft с тех пор выпустила исправления проблемы в версии Office / Access (текущий канал, версия 2306, сборка 16529.20182) после ответственного раскрытия в январе 2023 года, 0patch выпустила неофициальные исправления для Office 2010, Office 2013, Office 2016, Office 2019 и Office 365.
Разработка также происходит после того, как Microsoft объявила о планах отказаться от NTLM в Windows 11 в пользу Kerberos для повышения безопасности.
