Доказана возможность кражи хешей NTLM посредством использования функций, предусмотренных спецификациями PDF.
В Check Point доказали возможность хищения идентификаторов пользователя Windows, хранимых в виде NTLM-хешей, посредством использования функциональности, предусмотренной спецификациями PDF. По словам исследователей, обнаруженный ими способ не требует взаимодействия с пользователем, тот должен лишь открыть специально созданный файл в этом формате.
«Спецификации PDF допускают загрузку удаленного контента для записей GoToE и GoToR», — пояснил эксперт Check Point Ассаф Бахарав (Assaf Baharav) для Bleeping Computer. В целях эксперимента исследователь создал pdf-документ, использующий оба эти оператора.
При открытии такого файла программа автоматически обращается к удаленному серверу SMB. Подобные SMB-запросы обычно содержат хеш NTLM для аутентификации, который записывается в журнал на сервере. Если автор атаки контролирует SMB-сервер, он сможет получить пароль законного пользователя, используя существующие инструменты для взлома хешей.
Рассказывая о находке Check Point, репортер Bleeping Computer отметил, что подобные атаки не новы. Ранее было доказано, что таким же образом можно инициировать SMB-запросы из документов Microsoft Office, Outlook, веб-браузеров, scf-файлов (командных файлов оболочкиWindows), совместно используемых папок, незащищенных паролем. Теперь этот список дополнили файлы PDF.
По словам Бахарава, он протестировал свой концепт только на самых распространенных продуктах — Adobe Acrobat и FoxIT Reader, но полагает, что и другие PDF-программы могут оказаться уязвимыми. Производители были соответствующим образом уведомлены, однако FoxIT не отозвалась, а Adobe заявила, что не планирует что-либо изменять свое ПО, так как считает достаточными ограничительные меры, принятые Microsoft на уровне Windows.
В октябре прошлого года Microsoft выпустила бюллетень ADV170014 с описанием новой опции, позволяющей отключить сквозную аутентификацию по NTLM. Вместе с тем вендор не преминул предупредить, что подобная блокировка перенаправлений на внешние ресурсы может нарушить выполнение некоторых функций.
Тем не менее, Бахарав рекомендует воспользоваться этим нововведением, чтобы предотвратить кражу хешей NTLM с помощью подставного SMB-сервера. Публикацию PoC-атаки эксперт предпринял в установленные для этой процедуры сроки — через 90 дней после отправки отчета вендорам.