前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >黑客可利用PDF文件获取Windows凭据

黑客可利用PDF文件获取Windows凭据

作者头像
FB客服
发布2018-07-30 14:47:32
7820
发布2018-07-30 14:47:32
举报
文章被收录于专栏:FreeBuf

Check Point安全研究员Assaf Baharav透露,PDF文件可以被恶意行为者武装化,以窃取Windows凭证(NTLM hashes)而无需任何用户交互,只需打开一个文件即可。

本周,Baharav发表了一项研究报告,展示了恶意行为者如何利用PDF标准中原生存在的功能来窃取NTLM Hashes,这是Windows存储用户凭证的格式。

“PDF规范允许为GoToE&GoToR加载远程内容”,Baharav告诉媒体称。

通过PDF和SMB窃取Windows凭据

对于他的研究,Baharav 创建了一个PDF文档,可以利用这两个PDF功能。当有人打开此文件时,PDF文档会自动向远程恶意SMB服务器发出请求。

按照设计,所有SMB请求还包含用于身份验证目的的NTLM hashes。这个NTLM hashes将被记录在远程SMB服务器的日志中。可用的工具能够破解这个散列并恢复原始密码。

这种类型的攻击根本不算新鲜,而且过去是通过从Office文档,Outlook,浏览器,Windows快捷方式文件,共享文件夹和其他Windows操作系统内部函数启动SMB请求来执行的。

所有的PDF阅读器都可能存在漏洞

现在,Baharav 已经表明PDF文件同样危险。Check Point研究人员告诉媒体,他只对Adobe Acrobat和FoxIT Reader的攻击进行了实地测试。

“我们选择测试这两个比较普及的PDF阅读器,”Baharav 告诉我们。“关于其他人,我们更加怀疑其他阅读器也存在同样的弱点。”

“我们遵循90天的披露政策,只通知Adobe和福昕公司关于这些问题的信息,”Baharav 说。

虽然FoxIT没有回复,但Adobe表示它不打算修改其软件,而是推迟到Windows操作系统级缓解。Adobe工程师指的是2017年10月发布的Microsoft安全通报ADV170014。

微软发布了ADV170014,为用户如何在Windows操作系统上禁用NTLM SSO身份验证提供技术机制和说明,希望利用向本地网络之外的服务器发出SMB请求来阻止NTLM hash的窃取。

Baharav 表示,“目前,最佳方法是遵循微软可选的安全增强措施。”

*参考来源:BleepingComputer,由Andy编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-05-01,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 通过PDF和SMB窃取Windows凭据
  • 所有的PDF阅读器都可能存在漏洞
相关产品与服务
数字身份管控平台
数字身份管控平台(Identity and Access Management)为您提供集中式的数字身份管控服务。在企业 IT 应用开发时,数字身份管控平台可为您集中管理用户账号、分配访问权限以及配置身份认证规则,避免因员工账号、授权分配不当导致的安全事故。在互联网应用开发时,数字身份管控平台可为您打通应用的身份数据,更好地实现用户画像,也可为用户提供便捷的身份认证体验,提升用户留存。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档