Nhóm nghiên cứu bảo mật đã phát hiện một vấn đề của "xác thực bắt buộc" có thể bị khai thác để rò rỉ token NT LAN Manager (NTLM) của người dùng Windows bằng cách lừa nạn nhân mở một tệp Microsoft Access độc hại.
Cuộc tấn công lợi dụng một tính năng hợp lệ trong giải pháp quản lý cơ sở dữ liệu cho phép người dùng liên kết với nguồn dữ liệu bên ngoài, như một bảng SQL Server từ xa.
"Tính năng này có thể bị lạm dụng để làm rò rỉ token NTLM của người dùng Windows đến bất kỳ máy chủ nào do kẻ tấn công kiểm soát, qua bất kỳ cổng (port) TCP nào, chẳng hạn như cổng 80," Haifei Li, nhà nghiên cứu của Check Point cho biết. "Cuộc tấn công có thể được kích hoạt khi nạn nhân mở một tệp .accdb hoặc .mdb. Trên thực tế, bất kỳ loại tệp tin Office phổ biến nào (như .rtf) cũng có thể kích hoạt tấn công."
NTLM, được Microsoft giới thiệu vào năm 1993, là một giao thức challenge-response (thử thách-đáp ứng) được sử dụng để xác thực người dùng khi đăng nhập. Nó có thể bị tấn công brute-force, pass-the-hash, và relay.
Cuộc tấn công mới nhất lạm dụng tính năng liên kết bảng trong Access để rò rỉ mã hash NTLM đến một máy chủ do kẻ tấn công kiểm soát bằng cách thêm một tệp .accdb với một liên kết cơ sở dữ liệu SQL Server từ xa bên trong một tệp Microsoft Word bằng cơ chế Object Linking and Embedding (OLE).
Li giải thích rằng: "Kẻ tấn công có thể thiết lập một máy chủ mà họ kiểm soát, lắng nghe trên cổng 80 và đặt địa chỉ IP của nó trong trường 'server alias'". "Sau đó, họ có thể gửi tệp cơ sở dữ liệu, bao gồm bảng được liên kết, đến nạn nhân."
Nếu nạn nhân mở tệp và nhấp vào bảng liên kết, máy nạn nhân sẽ kết nối với máy chủ do kẻ tấn công kiểm soát để xác thực, cho phép tác nhân đe dọa thực hiện tấn công relay bằng cách khởi chạy quy trình xác thực với một máy chủ NTLM được chọn trong cùng tổ chức.
Sau đó, máy chủ giả mạo nhận được thử thách, chuyển nó cho nạn nhân như một phần của quá trình xác thực và nhận được một phản hồi hợp lệ, cuối cùng được truyền đến máy chủ NTLM.
Microsoft đã phát hành các biện pháp giảm thiểu cho vấn đề trong phiên bản Office/Access (Current Channel, phiên bản 2306, bản 16529.20182) sau khi được báo cáo vào tháng 1 năm 2023, 0patch cũng đã phát hành các bản sửa lỗi không chính thức cho Office 2010, Office 2013, Office 2016, Office 2019 và Office 365.
Phát hiện này đến cùng khi Microsoft thông báo kế hoạch ngưng hỗ trợ NTLM trong Windows 11 để ưu tiên sử dụng Kerberos nhằm mục đích cải thiện bảo mật.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một nghiên cứu mới đã chứng minh rằng những kẻ tấn công mạng thụ động có thể lấy được các khóa bí mật từ máy chủ SSH dễ bị tấn công bằng cách quan sát thời điểm xảy ra lỗi tính toán trong khi kết nối đang được thiết lập
Tín nhiệm mạng | Các nhà bảo trì phần mềm chia sẻ tệp nguồn mở ownCloud đã cảnh báo về ba lỗ hổng bảo mật nguy hiểm có thể bị lạm dụng để gây lộ thông tin nhạy cảm và sửa đổi các tệp tin trái phép
Tín nhiệm mạng | Một nghiên cứu mới đã phát hiện ra các lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X.
Tín nhiệm mạng | Người dùng Android ở Ấn Độ đang bị nhắm mục tiêu trong một chiến dịch phần mềm độc hại mới sử dụng social engineering để lừa họ cài đặt các ứng dụng giả mạo có khả năng thu thập dữ liệu nhạy cảm
Tín nhiệm mạng | APT29 đang lạm dụng lỗ hổng CVE-2023-38831 trong phần mềm WinRAR để thực hiện các cuộc tấn công mạng
Tín nhiệm mạng | Một tác nhân đe dọa chưa xác định đã phát hành các package độc hại trên kho lưu trữ PyPI trong gần sáu tháng nhằm mục tiêu triển khai phần mềm độc hại có khả năng duy trì truy cập, đánh cắp dữ liệu nhạy cảm và truy cập ví tiền điện tử để thu lợi tài chính
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
