Οι hackers εκμεταλλεύονται τον «αναγκαστικό έλεγχο ταυτότητας» για να κλέψουν διακριτικά των Windows NTLM.
Οι ερευνητές κυβερνοασφάλειας ανακάλυψαν μια περίπτωση “αναγκαστικής επαλήθευσης ταυτότητας”, χρησιμοποιώντας ένα νόμιμο χαρακτηριστικό σε ένα σύστημα διαχείρισης βάσης δεδομένων που επιτρέπει στους χρήστες να συνδέονται με εξωτερικές πηγές δεδομένων. Ο στόχος της επίθεσης είναι η διαρροή των διαπιστευτηρίων NT LAN Manager (NTLM) ενός χρήστη των Windows, με το θύμα να ανοίγει ένα ειδικό αρχείο Microsoft Access.
Δείτε περισσότερα: Βορειοκορεάτες hackers συνδυάζουν macOS malware τακτικές για να αποφύγουν τον εντοπισμό
Η επίθεση ξεκινά όταν το θύμα ανοίγει ένα αρχείο .accdb ή .mdb, με τον hacker να ενσωματώνει έναν απομακρυσμένο σύνδεσμο βάσης δεδομένων SQL Server μέσα σε ένα έγγραφο MS Word, χρησιμοποιώντας τον μηχανισμό Σύνδεση και Ενσωμάτωση Αντικειμένων (OLE). Η επίθεση των hackers είναι επικίνδυνη, καθώς μπορεί να προκαλέσει τη διαρροή κατακερματισμένων NTLM σε έναν ελεγχόμενο από τον hacker διακομιστή, παρακάμπτοντας έτσι τις κλασικές μεθόδους ανίχνευσης.
Εάν το θύμα ανοίξει το αρχείο και κάνει κλικ στον συνδεδεμένο πίνακα, ο διακομιστής-θύμα επικοινωνεί με τον διακομιστή που ελέγχεται από τον hacker. Ακολούθως, εκτελείται μια επίθεση αναμετάδοσης, εισέρχοντας σε μια διαδικασία ελέγχου ταυτότητας με έναν επιλεγμένο διακομιστή NTLM. Η Microsoft και η 0patch έχουν αναπτύξει μέτρα αντιμετώπισης για το πρόβλημα που παρουσιάζεται σε διάφορες εκδόσεις του Office/Access.
Η ανάπτυξη συνεχίζεται, καθώς η Microsoft ανακοίνωσε τα σχέδιά της να αντικαταστήσει το NTLM με το Kerberos στα Windows 11 για αυξημένη ασφάλεια.
Διαβάστε σχετικά: Hacking Επίθεση ή Φάρσα Μαθητών σε σχολεία του Lee County;
Πηγή: thehackernews.com
