هشدار محققان درباره

سوءاستفاده از فایل‌های PDF برای سرقت اعتبارنامه‌های ویندوز

اسناد دستکاری شده جز اصلی بیشتر کمپین‌های هرزنامه و فیشینگ هستند. در این مطلب خواهید خواند که چگونه اعتبارنامه‌های ویندوز با استفاده از فایل‌های PDF به سرقت می‌روند. موردی نسبتا جدید که باید به آن توجه داشت.

مجرمان سایبری با استفاده از فایل‌های PDF دستکاری شده می‌توانند اعتبارنامه‌های سیستم‌عامل ویندوز که عملا جزء اطلاعات کلیدی و حساس دسترسی به سیستم‌ها محسوب می‌شوند را به سرقت برند. موضوعی که برای اولین بار براساس تحقیق اسف باهاراو، کارشناس امنیتی در شرکت چک‌پوینت به آن اشاره شده است.

براساس اظهارات محققان چک‌پوینت، مهاجمان به جای بهره‌گیری از آسیب‌پذیری‌های فایل‌های مایکروسافت آفیس یا دستکاری فایل‌های RTF در آوت‌لوک، از یک ویژگی موجود در استاندارد فایل‌های PDF برای فراهم کردن امکان دریافت اطلاعات به‌صورت ریموت سوءاستفاده می‌کنند.


سرقت اعتبارنامه‌های ویندوز به‌وسیله فایل PDF و پروتکل SMB

به گفته باهاراو: مهاجم می‌تواند از ویژگی استاندارد فایل‌های PDF استفاده کند تا محتوای مخرب را به یک فایل پی‌دی‌اف تبدیل کند. هنگامی‌که قربانی فایل پی‌دی‌اف را باز می‌کند، به‌طور خودکار با یک سرور SMB ارتباط برقرار می‌کند که تحت کنترل مهاجم است.

سرقت اعتبارنامه‌های ویندوز به‌‌وسیله فایل PDF و پروتکل SMB

در این میان فراموش نکنید که درخواست‌های SMB حاوی هش NTLM برای فرآیند تأ‌یید هویت است. جزئیات NTLM از طریق ترافیک SMB منتشر و به سرور مهاجم ارسال می‌شوند که می‌تواند برای ایجاد حملات SMB دیگر مورد استفاده قرار گیرد.

در نهایت با استفاده از این ترفند، مهاجم می‌تواند هش NTLM را به دست آورد و از ابزارهای موجود در اینترنت برای بازیابی رمز عبور اصلی استفاده کند.

 

مخفیانه بودن استفاده از این حملات

این حمله مخفیانه است، زیرا قربانیان هیچ گونه رفتار غیر طبیعی را متوجه نمی‌شوند. در گذشته تکنیک‌های مشابه استفاده از درخواست‌های SMB توسط چند مهاجم مورد استفاده قرار گرفته بود، اما آن‌ها از فایل‌های نوع دیگر و یا ویژگی‌های سیستم عامل (به عنوان مثال اسناد آفیس، تایید هویت پوشه مشترک، آوت‌لوک) استفاده می‌کردند.

بنابه گفته‌ چک‌پوینت، تقریبا تمام نرم‌افزارهای نمایش PDF در ویندوز توسط این نقص امنیتی تحت تاثیر قرار می‌گیرند و مشخصات NTLM را نشان خواهند داد.

 

آزمایش حمله موفق به Adobe Acrobat و FoxIT Reader

چک‌پوینت این موضوع را ۹۰ روز پس از اطلاع‌رسانی به شرکت‌های Adobe و Foxit شفاف‌سازی کرده‌ند. در توضیحات کارشناسان آمده است که ادوبی این مسئله را حل نخواهد کرد زیرا این نقص را مربوط به سیستم عامل می‌داند، در عین حال فاکسیت هنوز پاسخ نداده است.

متخصصان ادوبی به بیانیه امنیتی مایکروسافت Microsoft Security Advisory ADV170014 استناد کرده‌اند. این بیانیه در اکتبر 2017 منتشر شده و یک مکانیسم را اجرا می‌کند که دستورالعمل‌هایی را در مورد نحوه غیرفعال کردن تایید هویت NTLM SSO در سیستم عامل‌های ویندوز ارائه می‌دهد.

ادوبی در جوابیه خود گفته است: برای بررسی این مساله از شما متشکریم. مایکروسافت در اواخر سال گذشته یک بهبود امنیتی اختیاری صادر کرد که توانایی غیرفعال کردن تایید هویت NTLM SSO را برای همگان فراهم می‌کند. این شیوه در دسترس تمام مشتریان است و ما در حال حاضر برنامه‌ای برای تغییر در آکروبات ادوبی نداریم.

 

 

توضیحات بیشتر:

- NTLM Credentials Theft via PDF Files
- ADV170014 | Optional Windows NTLM SSO authentication changes