- 13,858
- 20
- 8 Ноя 2022
Связанные таблицы сыграли жестокую шутку с пользователями.
Компания Check Point Для просмотра ссылки Войдиили Зарегистрируйся уязвимость в Microsoft Access, которая позволяет киберпреступнику использовать функцию «связывание с удаленными таблицами SQL Server» (linking to remote SQL Server tables) для автоматической утечки NTLM-токенов пользователя Windows на сервер злоумышленника через любой TCP-порт, включая порт 80.
NTLM, протокол аутентификации, введенный Microsoft в 1993 году, давно признан устаревшим из-за своих уязвимостей. Существуют различные известные атаки на NTLM, включая брутфорс -атаки, Pass-the-Hash и атаки ретрансляции ( NTLM Relay ). Важно отметить, что эффективность атак можно значительно снизить, заблокировав исходящий трафик через порты 139 и 445, которые использует NTLM.
Однако новая уязвимость в Microsoft Access открывает путь для обхода таких мер безопасности. Злоупотребляя функцией «Связанные таблицы Access», атакующий может настроить сервер, слушающий на порту 80, и заманивать жертву для открытия специально подготовленного файла базы данных. Как только жертва открывает файл и кликает по связанной таблице, начинается процесс аутентификации, в ходе которого NTLM-токены могут быть украдены. NTLM-токен включает в себя информацию, которая подтверждает, что пользователь ввел верные учетные данные (обычно это имя пользователя и пароль), без необходимости отправки самого пароля по сети.
Для защиты от этой атаки рекомендуется внимательно относиться к открытию вложений из непроверенных источников и рассмотреть возможность отключения макросов в Microsoft Access или полного удаления этой программы, если она не является необходимой.
Check Point Research в сотрудничестве с MSRC работает над устранением этой уязвимости с начала 2023 года. В июле 2023 года было подтверждено, что Microsoft устранила уязвимость в последней версии Office 2021 (Current Channel, version 2306, build 16529.20182), где при попытке использования PoC-эксплойта теперь отображается предупреждающее сообщение, информирующее пользователя о потенциальной опасности.
Компания Check Point Для просмотра ссылки Войди
NTLM, протокол аутентификации, введенный Microsoft в 1993 году, давно признан устаревшим из-за своих уязвимостей. Существуют различные известные атаки на NTLM, включая брутфорс -атаки, Pass-the-Hash и атаки ретрансляции ( NTLM Relay ). Важно отметить, что эффективность атак можно значительно снизить, заблокировав исходящий трафик через порты 139 и 445, которые использует NTLM.
Однако новая уязвимость в Microsoft Access открывает путь для обхода таких мер безопасности. Злоупотребляя функцией «Связанные таблицы Access», атакующий может настроить сервер, слушающий на порту 80, и заманивать жертву для открытия специально подготовленного файла базы данных. Как только жертва открывает файл и кликает по связанной таблице, начинается процесс аутентификации, в ходе которого NTLM-токены могут быть украдены. NTLM-токен включает в себя информацию, которая подтверждает, что пользователь ввел верные учетные данные (обычно это имя пользователя и пароль), без необходимости отправки самого пароля по сети.
Для защиты от этой атаки рекомендуется внимательно относиться к открытию вложений из непроверенных источников и рассмотреть возможность отключения макросов в Microsoft Access или полного удаления этой программы, если она не является необходимой.
Check Point Research в сотрудничестве с MSRC работает над устранением этой уязвимости с начала 2023 года. В июле 2023 года было подтверждено, что Microsoft устранила уязвимость в последней версии Office 2021 (Current Channel, version 2306, build 16529.20182), где при попытке использования PoC-эксплойта теперь отображается предупреждающее сообщение, информирующее пользователя о потенциальной опасности.
- Источник новости
- www.securitylab.ru
