快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

黑客可行使PDF文件盗取Windows凭证

Check Point安全研究员Assaf Baharav流露,PDF文件可以被恶意举动者武装化,以窃取Windows凭据(NTLM hashes)而无需任何用户交互,只要关上一个文件即可。

PDF-NTLM.png

本周,Baharav发表了一项研究讲演,铺示了恶意举动者怎么样行使PDF标准中原生计在的功能来窃取NTLM Hashes,这是Windows存储用户凭据的格式。

“PDF规范允许为GoToE&GoToR加载遥程内容”,Baharav告诉媒体称。

通过PDF以及SMB窃取Windows凭证

对于他的研究,Baharav 创建了一个PDF文档,可以行使这两个PDF功能。当有人关上此文件时,PDF文档会自动向遥程恶意SMB服务器发出要求。

按照设计,所有SMB要求还包含用于身份验证目的的NTLM hashes。这个NTLM hashes将被记录在遥程SMB服务器的日记中。可用的工具能够破解这个散列并恢回复再起始暗码。

这类类型的攻击根本不算新鲜,而且过去是通过从Office文档,Outlook,阅读器,Windows快捷方式文件,同享文件夹以及其他Windows操作体系内部函数启动SMB要求来执行的。

所有的PDF涉猎器都可能存在漏洞

现在,Baharav 已经表明PDF文件一样惊险。Check Point研究人员告诉媒体,WEB黑客,他只对Adobe Acrobat以及FoxIT Reader的攻击进行了实地测试。

pdf-readers-best.jpg

“我们选择测试这两个比较普及的PDF涉猎器,”Baharav 告诉我们。“关于其他人,我们愈加嫌疑其他涉猎器也存在一样的缺陷。”

“我们遵循90天的表露政策,只通知Adobe以及福昕公司关于这些问题的信息,”Baharav 说。

虽然FoxIT没有归复,但Adobe表示它不打算修改其软件,而是推延到Windows操作体系级缓解。Adobe工程师指的是2017年10月发布的Microsoft安全通报ADV170014。

微软发布了ADV170014,为用户怎么样在Windows操作体系上禁用NTLM SSO身份验证提供手艺机制以及说明,希翼行使向内陆收集之外的服务器发出SMB要求来阻止NTLM hash的窃取。

Baharav 表示,“目前,最好要领是遵循微软可选的安全增强措施。”

*参考来源:BleepingComputer,由Andy编译,

您可能还会对下面的文章感兴趣: