Check point的安全研究人员于上周发出警告,网络攻击者可以在没有任何用户交互的前提下,通过恶意的可移植文档格式(PDF)文件窃取NTLM证书。
背景
PDF文件主要由对象、文档结构、文件结构和内容流构成。其中对象有八种基本类型:布尔值、数值、字符串、名字、数组、流对象、空对象、字典。
而字典对象(dictionary object)是一个多用途的服务器端对象,它相当于二维数组,保存了键以及与键相关联的数据。提取数据的唯一途径在于取得键值或索引。
概念验证
字典对象中/ AA条目是一个可选条目,用于定义页面打开(/ O条目)或关闭(/ C条目)时要执行的操作。/ O(/ C)条目包含一个操作字典。操作字典由3个必需条目组成:/ S,/ F和/ D。
通过注入恶意条目(使用上述字段和他的SMB服务器详细信息,通过'/ F'键),攻击者可以诱骗任意目标打开制作的PDF文件,然后自动泄漏他们的NTLM散列,挑战,用户,主机名称和域名详情。
同时Check point安全研究人员发布了一个概念验证,以解释为何受害人无法注意到异常行为,没有证据表明恶意攻击正在进行以及没有安全警报。一旦PDF文件被打开,NTLM的详细信息就会发送到攻击者的服务器,以用于各种SMB中继攻击。
PDF被打开后泄露的NTLM细节
现状
根据Check Point的说法,这个问题可能会影响所有Windows版PDF阅读器,因为它们都会显示NTLM证书。
尽管这一问题已被发现者通报至Adobe,但该公司因微软已经为降低此类攻击发生的概率提供保护,目前不会发布修补程序,官方给出的解释为:“微软正在发布缓解NTLM字典攻击的新功能。微软建议客户转向公钥认证方法,以维持不支持现代认证的应用程序,并在可能的情况下使用与Kerberos身份验证的协商。”
网友评论