Goodnews.ua


Малоизвестная функция MS Word может использоваться для кражи паролей

Январь 10
14:48 2018

Исследователи из компании Rhino Labs описали новый способ кражи учетных данных Windows с помощью малоизвестной функции MS Word под названием subDoc, позволяющей загружать документ в тело другого документа. Функционал также может применяться для удаленной загрузки subDoc файлов в основной документ, что позволяет проэксплуатировать его во вредоносных целях.
Новая техника основана на классической атаке Pass-the-hash – одном из видов атаки повторного произведения. Она позволяет атакующему авторизоваться на удаленном сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM. Данный метод может быть использован против любого сервера/сервиса, применяющего протокол аутентификации NTLM или LM, вне зависимости от используемой на компьютере жертвы операционной системы. В системах, использующих протокол аутентификации NTLM, пароли никогда не передаются по каналу связи в открытом виде. Вместо этого они передаются соответствующей системе (такой, как контроллер домена) в виде хешей на этапе ответа в схеме аутентификации Вызов-ответ.
Для осуществления атаки злоумышленники могут сформировать файл Word, загружающий поддокумент с подконтрольного им вредоносного SMB-сервера, перехватить SMB-запросы и получить доступ к NTLM-хешу. В настоящее время существует немало инструментов, позволяющих взломать хеш и извлечь учетные данные. Владея этой информацией, атакующие могут получить доступ к компьютеру или компьютерной сети жертвы под видом оригинального пользователя. Данный вид атаки эффективен для целевых фишинговых кампаний, направленных на высокозначимые объекты, такие как предприятия или государственные учреждения, указывают эксперты.
По словам экспертов, на данный момент описанный ими метод атаки не является широкоизвестным, поэтому антивирусные решения не распознают его. Исследователи разместили на GitHub инструмент под названием SubDoc Injector, позволяющий создавать вредоносные документы Word. Данный инструмент позволит системным администраторам и специалистам в области безопасности провести собственное тестирование.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Арсенал готовит контракт для Дзолиса: замена Троссарду найдена

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua