黑客可利用PDF文件獲取Windows憑據(jù)的示例分析

這篇文章主要介紹了黑客可利用PDF文件獲取Windows憑據(jù)的示例分析，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

Check Point安全研究員Assaf Baharav透露，PDF文件可以被惡意行為者武裝化，以竊取Windows憑證（NTLM hashes）而無需任何用戶交互，只需打開一個文件即可。

本周，Baharav發(fā)表了一項研究報告，展示了惡意行為者如何利用PDF標準中原生存在的功能來竊取NTLM Hashes，這是Windows存儲用戶憑證的格式。

“PDF規(guī)范允許為GoToE＆GoToR加載遠程內(nèi)容”，Baharav告訴媒體稱。

通過PDF和SMB竊取Windows憑據(jù)

對于他的研究，Baharav 創(chuàng)建了一個PDF文檔，可以利用這兩個PDF功能。當有人打開此文件時，PDF文檔會自動向遠程惡意SMB服務(wù)器發(fā)出請求。

按照設(shè)計，所有SMB請求還包含用于身份驗證目的的NTLM hashes。這個NTLM hashes將被記錄在遠程SMB服務(wù)器的日志中?？捎玫墓ぞ吣軌蚱平膺@個散列并恢復原始密碼。

這種類型的攻擊根本不算新鮮，而且過去是通過從Office文檔，Outlook，瀏覽器，Windows快捷方式文件，共享文件夾和其他Windows操作系統(tǒng)內(nèi)部函數(shù)啟動SMB請求來執(zhí)行的。

所有的PDF閱讀器都可能存在漏洞

現(xiàn)在，Baharav 已經(jīng)表明PDF文件同樣危險。Check Point研究人員告訴媒體，他只對Adobe Acrobat和FoxIT Reader的攻擊進行了實地測試。

“我們選擇測試這兩個比較普及的PDF閱讀器，”Baharav 告訴我們?！瓣P(guān)于其他人，我們更加懷疑其他閱讀器也存在同樣的弱點。”

“我們遵循90天的披露政策，只通知Adobe和福昕公司關(guān)于這些問題的信息，”Baharav 說。

雖然FoxIT沒有回復，但Adobe表示它不打算修改其軟件，而是推遲到Windows操作系統(tǒng)級緩解。Adobe工程師指的是2017年10月發(fā)布的Microsoft安全通報ADV170014。

微軟發(fā)布了ADV170014，為用戶如何在Windows操作系統(tǒng)上禁用NTLM SSO身份驗證提供技術(shù)機制和說明，希望利用向本地網(wǎng)絡(luò)之外的服務(wù)器發(fā)出SMB請求來阻止NTLM hash的竊取。

Baharav 表示，“目前，最佳方法是遵循微軟可選的安全增強措施?！?/p>

感謝你能夠認真閱讀完這篇文章，希望小編分享的“黑客可利用PDF文件獲取Windows憑據(jù)的示例分析”這篇文章對大家有幫助，同時也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識等著你來學習!