Новый метод кражи NTLM-токенов в Microsoft Access

Компания Check Point обнаружила уязвимость в Microsoft Access, которая позволяет киберпреступнику использовать функцию «связывание с удаленными таблицами SQL Server» (linking to remote SQL Server tables) для автоматической утечки NTLM-токенов пользователя Windows на сервер злоумышленника через любой TCP-порт, включая порт 80.

NTLM, протокол аутентификации, введенный Microsoft в 1993 году, давно признан устаревшим из-за своих уязвимостей. Существуют различные известные атаки на NTLM, включая брутфорс-атаки, Pass-the-Hash и атаки ретрансляции (NTLM Relay). Важно отметить, что эффективность атак можно значительно снизить, заблокировав исходящий трафик через порты 139 и 445, которые использует NTLM.

Однако новая уязвимость в Microsoft Access открывает путь для обхода таких мер безопасности. Злоупотребляя функцией «Связанные таблицы Access», атакующий может настроить сервер, слушающий на порту 80, и заманивать жертву для открытия специально подготовленного файла базы данных. Как только жертва открывает файл и кликает по связанной таблице, начинается процесс аутентификации, в ходе которого NTLM-токены могут быть украдены. NTLM-токен включает в себя информацию, которая подтверждает, что пользователь ввел верные учетные данные (обычно это имя пользователя и пароль), без необходимости отправки самого пароля по сети.

Для защиты от этой атаки рекомендуется внимательно относиться к открытию вложений из непроверенных источников и рассмотреть возможность отключения макросов в Microsoft Access или полного удаления этой программы, если она не является необходимой.

Check Point Research в сотрудничестве с MSRC работает над устранением этой уязвимости с начала 2023 года. В июле 2023 года было подтверждено, что Microsoft устранила уязвимость в последней версии Office 2021 (Current Channel, version 2306, build 16529.20182), где при попытке использования PoC-эксплойта теперь отображается предупреждающее сообщение, информирующее пользователя о потенциальной опасности.