Малоизвестная функция MS Word может использоваться для кражи паролей

Малоизвестная функция MS Word может использоваться для кражи паролей

Новая техника основана на классической атаке Pass-the-hash.

Исследователи из компании Rhino Labs описали новый способ кражи учетных данных Windows с помощью малоизвестной функции MS Word под названием subDoc, позволяющей загружать документ в тело другого документа. Функционал также может применяться для удаленной загрузки subDoc файлов в основной документ, что позволяет проэксплуатировать его во вредоносных целях.

Новая техника основана на классической атаке Pass-the-hash – одном из видов атаки повторного произведения. Она позволяет атакующему авторизоваться на удаленном сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM.  Данный метод может быть использован против любого сервера/сервиса, применяющего протокол аутентификации NTLM или LM, вне зависимости от используемой на компьютере жертвы операционной системы. В системах, использующих протокол аутентификации NTLM, пароли никогда не передаются по каналу связи в открытом виде. Вместо этого они передаются соответствующей системе (такой, как контроллер домена) в виде хешей на этапе ответа в схеме аутентификации Вызов-ответ.

Для осуществления атаки злоумышленники могут сформировать файл Word, загружающий поддокумент с подконтрольного им вредоносного SMB-сервера, перехватить SMB-запросы и получить доступ к NTLM-хешу. В настоящее время существует немало инструментов, позволяющих взломать хеш и извлечь учетные данные. Владея этой информацией, атакующие могут получить доступ к компьютеру или компьютерной сети жертвы под видом оригинального пользователя. Данный вид атаки эффективен для целевых фишинговых кампаний, направленных на высокозначимые объекты, такие как предприятия или государственные учреждения, указывают эксперты.

По словам экспертов, на данный момент описанный ими метод атаки не является широкоизвестным, поэтому антивирусные решения не распознают его. Исследователи разместили на GitHub инструмент под названием SubDoc Injector, позволяющий создавать вредоносные документы Word. Данный инструмент позволит системным администраторам и специалистам в области безопасности провести собственное тестирование.

 

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!