研究揭示惡意 Access 檔案可盜取 Windows 用戶密碼雜湊
安全研究人員近日發現一樁攻擊,攻擊者誘使受害者開啟惡意 Microsoft Access 檔案,濫用一種強迫驗證功能,以竊取 Windows 用戶的 NT LAN Manager (NTML) 雜湊資訊。
NTLM 是 1993 年微軟推出的驗證協定,用於使用者登入時的身份驗證。原理在於 NTLM 伺服器儲存了使用者密碼產生的 NTLM 雜湊,用戶每次登入時,伺服器就會「出題」,由使用者端以密碼運算「答題」。但 NTLM 是十分古早的技術,近年來安全業界發現 NTLM 可能遭到暴力破解、雜湊傳遞 (pass-the-hash) 及中繼攻擊 (relay attack)。
而在這次攻擊事件中,攻擊者是濫用了 Access 資料庫的「Link Table」功能,進行中繼攻擊。利用這合法功能,使用者運用物件連結與嵌入 (Object Linking and Embedding, OLE) 的機制,在 MS Word 文件中嵌入一個 Accdb 檔案,等開啟 Word 檔案時,Access 資料庫處理該 Accdb 檔案,再連結到外部資料庫,像是遠端 SQL Server,而敏感資料傳送出去。
因此,攻擊者可設立他們控制的伺服器,聽取任何 TCP port 如 port 80,之後再將 IP 位址設為 server alias。攻擊者所要做的是傳送 MS Office 文件,如 Word 或.rtf 檔給用戶。一旦用戶開啟檔案,終端就能連結攻擊者控制的惡意伺服器,下載 Access 檔並觸發「Link Table」功能,而將受害者終端同一網路環境中的 NTLM 伺服器儲存的 NTLM 雜湊外洩給惡意伺服器。
Office/Access 的漏洞於今年 1 月由 CheckPoint 發現通報,微軟已經修補。至少在 Office 2021 2306 版中,一旦碰到本次攻擊,Office 會主動封鎖檔案中的 Accdb 檔案執行。但研究人員相信,因為 Office 更新通道太多,因此使 Office 用戶處於曝險狀態中。