黑客可以利用强制身份验证窃取 Windows NTLM 令牌

admin
admin
admin
102855
文章
87
评论
2023年11月29日21:04:51评论16 views字数 1169阅读3分53秒阅读模式

更多全球网络安全资讯尽在邑安全

黑客可以利用强制身份验证窃取 Windows NTLM 令牌
网络安全研究人员发现了一个“强制身份验证”案例,可通过诱骗受害者打开特制的 Microsoft Access 文件来泄露 Windows 用户的 NT LAN Manager (NTLM) 令牌。
该攻击利用了数据库管理系统解决方案中的合法功能,该功能允许用户链接到外部数据源,例如远程 SQL Server 表。
Check Point 安全研究员 Haifei Li表示:“攻击者可以滥用此功能,通过任何 TCP 端口(例如端口 80)自动将 Windows 用户的 NTLM 令牌泄露到任何攻击者控制的服务器。” “只要受害者打开 .accdb 或 .mdb 文件,就可以发起攻击。事实上,任何更常见的 Office 文件类型(例如 .rtf )都可以起作用。”
NTLM 是 Microsoft 于 1993 年推出的一种身份验证协议,它是一种质询-响应协议,用于在登录过程中对用户进行身份验证。多年来,人们发现它很容易受到暴力破解、哈希传递和中继攻击。
简而言之,最新的攻击滥用 Access 中的链接表功能,通过使用名为 Object 的机制在 MS Word 文档内嵌入带有远程 SQL Server 数据库链接的 .accdb 文件,将 NTLM 哈希值泄漏到攻击者控制的服务器。链接和嵌入 ( OLE )。

黑客可以利用强制身份验证窃取 Windows NTLM 令牌

“攻击者可以设置他们控制的服务器,监听端口 80,并将其 IP 地址放在上面的‘服务器别名’字段中,”Li 解释道。“然后他们可以将数据库文件(包括链接表)发送给受害者。”
如果受害者打开文件并单击链接表,受害者客户端就会联系攻击者控制的服务器进行身份验证,从而使后者能够通过与同一组织中的目标 NTLM 服务器启动身份验证过程来发起中继攻击。
然后,恶意服务器接收质询,将其作为身份验证过程的一部分传递给受害者,并获得有效响应,最终将其传输到 NTLM 服务器。
尽管 Microsoft 在 2023 年 1 月负责任地披露后,已在 Office/Access 版本(当前频道,版本 2306,内部版本 16529.20182)中发布了针对该问题的缓解措施,但 0patch 已发布针对 Office 2010、Office 2013、Office 2016、Office 2019 的非官方修复程序,和 Office 365。

原文来自:thehackernews.com

原文链接:https://thehackernews.com/2023/11/hackers-can-exploit-forced.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

黑客可以利用强制身份验证窃取 Windows NTLM 令牌

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):黑客可以利用“强制身份验证”窃取 Windows NTLM 令牌

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月29日21:04:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客可以利用强制身份验证窃取 Windows NTLM 令牌http://cn-sec.com/archives/2251474.html

发表评论

匿名网友 填写信息