В програмі Microsoft Access експерти компанії Check Point виявили вразливість, яка призводить до розголошення NTLM-токенів користувача Windows. Для експлуатації вразливості зловмиснику треба підготувати спеціальний файл, в якому застосовується функція зв’язування з віддаленими таблицями SQL Server (linking to remote SQL Server tables). Після відкриття жертвою на комп’ютері цього файлу NTLM-токени користувача автоматично передаються на сервер зловмисника. Експерти зазначають, що завантаження може відбуватися навіть із застосуванням порту 80 протоколу TCP, який зазвичай використовується веб-серверами.
Хоча протокол аутентифікації NTLM вже було визнано застарілим, але він все ще використовується, незважаючи на відомі атаки на NTLM – Pass-the-Hash, NTLM Relay та брутфорс атаки. Для захисту від атак на NTLM рекомендується заблокувати вихідний трафік через порти 139 та 445. NTLM-токен містить в собі інформацію, яка підтверджує належну аутентифікацію користувача без необхідності транспорту через мережу пароля користувача.
Нова вразливість в Microsoft Access відкриває новий шлях для отримання NTLM-токенів в обхід рекомендованих заходів безпеки. Зловмиснику достатньо розгорнути сервер на стандартному для web порту TCP 80 та примусити жертву відкрити спеціально підготовлений файл, що призведе до автоматичної передачі токенів на сервер зловмисника.
Для захисту від вразливості експерти рекомендують встановити оновлення, яке доступне для останньої версії Microsoft Office 2021 та уважно ставитися до відкриття файлів із вкладень невідомих або сумнівних відправників.
- 14.04.2024 Mirai розгортає ботнет на вразливих NAS D-Link
- 13.04.2024 Крупне оновлення Microsoft закриває дві 0-day вразливості
- 30.03.2024 World Backup Day – час перевірити процес резервування за чек-листом
- 19.11.2023 Microsoft виправила критичні вразливості, які вже було використано в реальних атаках
- 12.11.2023 NTLM-токени можливо вкрасти за допомогою Access