В программе Microsoft Access эксперты компании Check Point обнаружили уязвимость, которая приводит к раскрытию NTLM-токенов пользователя Windows. Для эксплуатации уязвимости злоумышленнику необходимо подготовить специальный файл, в котором применяется функция связи с удаленными таблицами SQL Server (linking to remote SQL Server tables). После открытия этого файла на компьютере жертвы NTLM-токены пользователя автоматически передаются на сервер злоумышленника. Эксперты подчеркивают, что передача может происходить даже с использованием порта 80 протокола TCP, который обычно используется веб-серверами.
Несмотря на то, что протокол аутентификации NTLM уже считается устаревшим, он все еще используется, несмотря на известные атаки на NTLM, такие как Pass-the-Hash, NTLM Relay и брутфорс атаки. Для защиты от атак на NTLM рекомендуется заблокировать исходящий трафик через порты 139 и 445. NTLM-токен содержит информацию, подтверждающую правильную аутентификацию пользователя без необходимости передачи пароля пользователя по сети.
Новая уязвимость в Microsoft Access открывает способ получения NTLM-токенов, обходя рекомендованные меры безопасности. Злоумышленнику достаточно развернуть сервер на стандартном порту TCP 80, и заставить жертву открыть специально подготовленный файл, что приведет к автоматической передаче токенов на сервер злоумышленника.
Для защиты от этой уязвимости эксперты рекомендуют установить доступное обновление для последней версии Microsoft Office 2021 и осторожно относиться к открытию файлов из вложений, отправленных неизвестными или подозрительными отправителями.
- 14.04.2024 Mirai разворачивает ботнет на уязвимых NAS D-Link
- 13.04.2024 Крупное обновление Microsoft закрывает две 0-day уязвимости
- 30.03.2024 World Backup Day - время проверить процесс резервного копирования по чек-листу
- 19.11.2023 Microsoft устранила серию критических уязвимостей под атаками
- 12.11.2023 Токены NTLM можно украсть при содействии Microsoft Access