打開PDF前停看聽!小心帳號密碼被偷走

身為世界上最廣為流行的文件格式之一,PDF也難逃成為駭客工具的命運。近日國外網路安全研究機構Check Point的研究員Assaf Baharav指出,惡意的PDF一旦被開啟,就會自動偷走Windows的使用者帳號密碼(NTLM hashes)

Baharav本周發布了一篇研究,解釋為何有心人士能利用PDF的原生功能來偷取NTLM hashes,其為Windows用來儲存帳號密碼資訊的檔案格式。

藉由PDFSMB(伺服器訊息區塊)來竊取Windows帳號密碼

在研究之中,Baharav建立了用到兩項功能的PDF文件。當有人開啟了這份PDF,文件即會自動向一個遠端的惡意SMB伺服器傳送請求。因為涉及驗證流程,所有的SMB請求皆含有NTLM hashes,讓遠端SMB伺服器有機會記錄使用者的帳號及密碼到日誌檔案之中。更危險的是,目前網路上已找得到能取得密碼的破解工具。

這類攻擊倒也不是新聞了,從Microsoft OfficeWordExcelPowerPointOutlook、網路瀏覽器,到Windows捷徑檔、分享資料夾和其他Windows作業系統的內部功能,都曾經傳出發起SMB請求的案例。PDF只是名單上最新的受害者而已。

所有的PDF瀏覽器都不安全

Beharav進一步提到,他只有在AdobeFoxit瀏覽器上實地測試過這類攻擊而已,但能合理懷疑其他家的瀏覽器也一樣不安全。通知這兩家廠商超過90天後,Foxit並未回覆,Adobe則表示因為Windows已經釋出了相關系統更新,他們並無任何改版計畫。

Adobe意指201710月發布的資訊安全諮詢,編號ADV170014,其中包含了教導用戶如何在Windows系統中停用NTLM SSO驗證的說明,其用意就是為了防止外部伺服器藉著SMB請求偷取NTLM hashes

目前來說,最佳解決方法就是遵循微軟提供的安全性更新選項。


請尋求專業人士的幫助

遺憾的是,微軟提供的更新方法並不容易實施。你需要手動前往微軟的官方安全科技中心(TechCenter),同意遵守其上的使用者協定,然後下載並執行適用於您作業系統版本的更新檔,對於一般大眾而言是過於複雜了。所以我們在此呼籲企業用戶尋求IT人員的支援,以免遭到惡意PDF檔案攻擊。

最後請記住:功能的設計前提永遠是如何幫助人們,但卻難以防止遭到不當利用。以這個問題而言,微軟要擔負的責任遠比PDF格式來的大。

原文網址:https://www.bleepingcomputer.com/news/security/pdf-files-can-be-abused-to-steal-windows-credentials/#comments

0 意見: