身為世界上最廣為流行的文件格式之一,PDF也難逃成為駭客工具的命運。近日國外網路安全研究機構Check
Point的研究員Assaf Baharav指出,惡意的PDF一旦被開啟,就會自動偷走Windows的使用者帳號密碼(NTLM
hashes)。
Baharav本周發布了一篇研究,解釋為何有心人士能利用PDF的原生功能來偷取NTLM
hashes,其為Windows用來儲存帳號密碼資訊的檔案格式。
藉由PDF和SMB(伺服器訊息區塊)來竊取Windows帳號密碼
在研究之中,Baharav建立了用到兩項功能的PDF文件。當有人開啟了這份PDF,文件即會自動向一個遠端的惡意SMB伺服器傳送請求。因為涉及驗證流程,所有的SMB請求皆含有NTLM
hashes,讓遠端SMB伺服器有機會記錄使用者的帳號及密碼到日誌檔案之中。更危險的是,目前網路上已找得到能取得密碼的破解工具。
這類攻擊倒也不是新聞了,從Microsoft Office的Word、Excel和PowerPoint、Outlook、網路瀏覽器,到Windows捷徑檔、分享資料夾和其他Windows作業系統的內部功能,都曾經傳出發起SMB請求的案例。PDF只是名單上最新的受害者而已。
所有的PDF瀏覽器都不安全
Beharav進一步提到,他只有在Adobe和Foxit瀏覽器上實地測試過這類攻擊而已,但能合理懷疑其他家的瀏覽器也一樣不安全。通知這兩家廠商超過90天後,Foxit並未回覆,Adobe則表示因為Windows已經釋出了相關系統更新,他們並無任何改版計畫。
Adobe意指2017年10月發布的資訊安全諮詢,編號ADV170014,其中包含了教導用戶如何在Windows系統中停用NTLM
SSO驗證的說明,其用意就是為了防止外部伺服器藉著SMB請求偷取NTLM
hashes。
目前來說,最佳解決方法就是遵循微軟提供的安全性更新選項。
請尋求專業人士的幫助
遺憾的是,微軟提供的更新方法並不容易實施。你需要手動前往微軟的官方安全科技中心(TechCenter),同意遵守其上的使用者協定,然後下載並執行適用於您作業系統版本的更新檔,對於一般大眾而言是過於複雜了。所以我們在此呼籲企業用戶尋求IT人員的支援,以免遭到惡意PDF檔案攻擊。
原文網址:https://www.bleepingcomputer.com/news/security/pdf-files-can-be-abused-to-steal-windows-credentials/#comments