🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Tin tặc có thể khai thác 'Xác thực bắt buộc' trong Windows để đánh cắp NTLM Token

29/11/2023

Nhóm nghiên cứu bảo mật đã phát hiện một vấn đề của "xác thực bắt buộc" có thể bị khai thác để rò rỉ token NT LAN Manager (NTLM) của người dùng Windows bằng cách lừa nạn nhân mở một tệp Microsoft Access độc hại.

Cuộc tấn công lợi dụng một tính năng hợp lệ trong giải pháp quản lý cơ sở dữ liệu cho phép người dùng liên kết với nguồn dữ liệu bên ngoài, như một bảng SQL Server từ xa.

"Tính năng này có thể bị lạm dụng để làm rò rỉ token NTLM của người dùng Windows đến bất kỳ máy chủ nào do kẻ tấn công kiểm soát, qua bất kỳ cổng (port) TCP nào, chẳng hạn như cổng 80," Haifei Li, nhà nghiên cứu của Check Point cho biết. "Cuộc tấn công có thể được kích hoạt khi nạn nhân mở một tệp .accdb hoặc .mdb. Trên thực tế, bất kỳ loại tệp tin Office phổ biến nào (như .rtf) cũng có thể kích hoạt tấn công."

NTLM, được Microsoft giới thiệu vào năm 1993, là một giao thức challenge-response (thử thách-đáp ứng) được sử dụng để xác thực người dùng khi đăng nhập. Nó có thể bị tấn công brute-force, pass-the-hash, và relay.

Cuộc tấn công mới nhất lạm dụng tính năng liên kết bảng trong Access để rò rỉ mã hash NTLM đến một máy chủ do kẻ tấn công kiểm soát bằng cách thêm một tệp .accdb với một liên kết cơ sở dữ liệu SQL Server từ xa bên trong một tệp Microsoft Word bằng cơ chế Object Linking and Embedding (OLE).

Li giải thích rằng: "Kẻ tấn công có thể thiết lập một máy chủ mà họ kiểm soát, lắng nghe trên cổng 80 và đặt địa chỉ IP của nó trong trường 'server alias'". "Sau đó, họ có thể gửi tệp cơ sở dữ liệu, bao gồm bảng được liên kết, đến nạn nhân."

Nếu nạn nhân mở tệp và nhấp vào bảng liên kết, máy nạn nhân sẽ kết nối với máy chủ do kẻ tấn công kiểm soát để xác thực, cho phép tác nhân đe dọa thực hiện tấn công relay bằng cách khởi chạy quy trình xác thực với một máy chủ NTLM được chọn trong cùng tổ chức.

Sau đó, máy chủ giả mạo nhận được thử thách, chuyển nó cho nạn nhân như một phần của quá trình xác thực và nhận được một phản hồi hợp lệ, cuối cùng được truyền đến máy chủ NTLM.

Microsoft đã phát hành các biện pháp giảm thiểu cho vấn đề trong phiên bản Office/Access (Current Channel, phiên bản 2306, bản 16529.20182) sau khi được báo cáo vào tháng 1 năm 2023, 0patch cũng đã phát hành các bản sửa lỗi không chính thức cho Office 2010, Office 2013, Office 2016, Office 2019 và Office 365.

Phát hiện này đến cùng khi Microsoft thông báo kế hoạch ngưng hỗ trợ NTLM trong Windows 11 để ưu tiên sử dụng Kerberos nhằm mục đích cải thiện bảo mật.

Nguồn: thehackernews.com.

scrolltop