В Check Point доказали возможность хищения идентификаторов пользователя Windows, хранимых в виде NTLM-хешей, посредством использования функциональности, предусмотренной спецификациями PDF. По словам исследователей, обнаруженный ими способ не требует взаимодействия с пользователем, тот должен лишь открыть специально созданный файл в этом формате.

«Спецификации PDF допускают загрузку удаленного контента для записей GoToE и GoToR», — пояснил эксперт Check Point Ассаф Бахарав (Assaf Baharav) для Bleeping Computer. В целях эксперимента исследователь создал pdf-документ, использующий оба эти оператора.

При открытии такого файла программа автоматически обращается к удаленному серверу SMB. Подобные SMB-запросы обычно содержат хеш NTLM для аутентификации, который записывается в журнал на сервере. Если автор атаки контролирует SMB-сервер, он сможет получить пароль законного пользователя, используя существующие инструменты для взлома хешей.

Рассказывая о находке Check Point, репортер Bleeping Computer отметил, что подобные атаки не новы. Ранее было доказано, что таким же образом можно инициировать SMB-запросы из документов Microsoft Office, Outlook, веб-браузеров, scf-файлов (командных файлов оболочки Windows), совместно используемых папок, незащищенных паролем. Теперь этот список дополнили файлы PDF.

По словам Бахарава, он протестировал свой концепт только на самых распространенных продуктах — Adobe Acrobat и FoxIT Reader, но полагает, что и другие PDF-программы могут оказаться уязвимыми. Производители были соответствующим образом уведомлены, однако FoxIT не отозвалась, а Adobe заявила, что не планирует что-либо изменять в своем ПО, так как считает достаточными ограничительные меры, принятые Microsoft на уровне Windows.

В октябре прошлого года Microsoft выпустила бюллетень ADV170014 с описанием новой опции, позволяющей отключить сквозную аутентификацию по NTLM. Вместе с тем вендор не преминул предупредить, что подобная блокировка перенаправлений на внешние ресурсы может нарушить выполнение некоторых функций.

Тем не менее, Бахарав рекомендует воспользоваться этим нововведением, чтобы предотвратить кражу хешей NTLM с помощью подставного SMB-сервера. Публикацию PoC-атаки эксперт предпринял в установленные для этой процедуры сроки — через 90 дней после отправки отчета вендорам.

Категории: Аналитика, Главное, Уязвимости