PDF 文件也可被滥用于窃取 Windows 凭证

阅读量165782

发布时间 : 2018-04-30 11:08:35

Check Point 公司的研究人员 Assaf Baharav 指出,恶意人员可滥用 PDF 文件,在无需任何用户交互的情况下窃取 Windows 凭证 (NTLM 哈希),且仅需打开一个文件即可。

Baharav 在本周公布的一篇研究论文中说明了恶意软件如何利用 PDF 标准文件中的功能窃取 NTLM 哈希。Windows 以NTLM 哈希格式存储用户凭证。

Baharav 指出,“PDF 标准允许为 GoToE & GoToR 条目加载远程内容。”

通过 PDF 和 SMB 窃取 Windows 凭证

Baharav 创建了一个将利用这两个 PDF 功能的 PDF 文档。当有人打开该文档时,这份 PDF 文档将自动向一个远程恶意 SMB 服务器提出请求。

按照设计,所有的 SMB 请求还包括用于认证的 NTLM 哈希。这个 NTLM 哈希将被记录在远程 SMB 服务器的日志中。但多个工具可破解这个哈希并恢复原始的密码。

其实这种攻击并不少见。过去恶意人员曾通过从 Office 文档、Outlook、浏览器、Windows 快捷文件、共享文件夹和其它 Windows 操作系统内部功能等中初始化 SMB 请求的方式执行这类攻击。

 

所有 PDF 阅读器均可能易受攻击

Baharav 指出,PDF 文件也具有危险性。他指出仅在 Adobe Acrobat 和福昕阅读器中实际测试了攻击效果。

Baharav 表示,其它 PDF 阅读器也很有可能易受攻击。研究员按照90天的披露政策将问题告知 Adobe 和福昕公司。福昕公司并未做出任何回应,而 Adobe 表示没有修改软件的计划,而会应用 Windows 操作系统级别的缓解措施,即于2017年10月发布的微软安全公告中的 ADV170014。

微软发布的 ADV170014 提供了关于用户如何禁用 Windows 操作系统上的 NTLM 单点登录认证的技术机制和指令,目的是希望组织经由通过向位于本地网络之外的服务器提出的 SMB 请求窃取 NTLM 哈希。

Baharav 表示,最佳实践是应用微软的可选安全增强措施。

本文由奇安信代码卫士原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/106957

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66