黑客可利用PDF文件獲取Windows憑據

Check Point安全研究員Assaf Baharav透露，PDF文件可以被惡意行為者武裝化，以竊取Windows憑證（NTLM hashes）而無需任何用戶交互，只需打開一個文件即可。

本周，Baharav發表了一項研究報告，展示了惡意行為者如何利用PDF標準中原生存在的功能來竊取NTLM Hashes，這是Windows存儲用戶憑證的格式。

「PDF規範允許為GoToE＆GoToR載入遠程內容」

，

通過PDF和SMB竊取Windows憑據

對於他的研究，Baharav 創建了一個PDF文檔，可以利用這兩個PDF功能。當有人打開此文件時，PDF文檔會自動向遠程惡意SMB伺服器發出請求。

按照設計，所有SMB請求還包含用於身份驗證目的的NTLM hashes。這個NTLM hashes將被記錄在遠程SMB伺服器的日誌中。可用的工具能夠破解這個散列並恢復原始密碼。

這種類型的攻擊根本不算新鮮，而且過去是通過從Office文檔，Outlook，瀏覽器，Windows快捷方式文件，共享文件夾和其他Windows操作系統內部函數啟動SMB請求來執行的。

所有的PDF閱讀器都可能存在漏洞

現在，Baharav 已經表明PDF文件同樣危險。Check Point研究人員告訴媒體，他只對Adobe Acrobat和FoxIT Reader的攻擊進行了實地測試。

「我們選擇測試這兩個比較普及的PDF閱讀器，」Baharav 告訴我們。「關於其他人，我們更加懷疑其他閱讀器也存在同樣的弱點。」

「我們遵循90天的披露政策，只通知Adobe和福昕公司關於這些問題的信息，」Baharav 說。

雖然FoxIT沒有回復，但Adobe表示它不打算修改其軟體，而是推遲到Windows操作系統級緩解。Adobe工程師指的是2017年10月發布的Microsoft安全通報ADV170014。

微軟發布了ADV170014，為用戶如何在Windows操作系統上禁用NTLM SSO身份驗證提供技術機制和說明，希望利用向本地網路之外的伺服器發出SMB請求來阻止NTLM hash的竊取。

Baharav 表示，

*參考來源：

，由Andy編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！