Prikaži glavni meni

Pomoću PDF fajlova moguće je ukrasti Windows lozinke

Vesti, 30.04.2018, 11:00 AM

PDF fajlovi mogu biti iskorišćeni za krađu Windows lozinki (NTLM hasheva), bez ikakve interakcije korisnika, i to samo otvaranjem fajla, tvrdi Asaf Baharav, istraživač firme Check Point.

Baharav je prošle nedelje objavio istraživanje koje pokazuje kako napadač može iskoristiti funkcije koje se koriste u standardnom PDF-u za krađu NTLM hasheva, formata u kojem Windows čuva korisničke lozinke.

Baharav je napravio PDF dokument koji bi, kada bi ga žrtva otvorila, automatski napravio zahtev udaljenom malicioznom SMB serveru.

Svi SMB zahtevi uključuju i NTLM hash zbog autentifikacije. NTLM hash se čuva u logu udaljenog SMB servera. Postoje alati koji mogu razbiti ovaj hash i napadač tako može doći do lozinke.

Ova vrsta napada uopšte nije nova i u prošlosti je korišćena pokretanjem SMB zahteva iz Office dokumenata, Outlooka, browsera, Windows shortcut fajlova, deljenih foldera i drugih internih funkcija Windows OS.

Baharav je sada samo pokazao da su i PDF fajlovi jednako opasni. On je testirao napad na Adobe Acrobatu i FoxIT Readeru.

Check Point je dao rok od 90 dana da Adobe i Foxit isprave propust.

Foxit nije odgovorio, a Adobe je izjavio da ne planira da menja svoj softver, upućujući na Microsoft Security Advisory ADV170014, objavljen u oktobru 2017.

Microsoft je objavio ADV170014 koji sadrži tehnički mehanizam i uputstva o tome kako korisnici mogu onemogućiti NTLM SSO autentifikaciju na operativnim sistemima Windows, u nadi da će zaustaviti krađu NTLM hasheva putem SMB zahteva napravljenih ka serverima koji se nalaze izvan lokalne mreže.