اسنادی که در آن ها کدی تعبیه می شود، معمولا جزء اصلی و مهمی از پویش های فیشینگ و هرزنامه هستند. در این گزارش به بررسی این مسأله می پردازیم که مهاجمان چگونه با یک سند جعلی و دست کاری شده ی PDF می توانند گواهی نامه های کاربران در سیستم عامل ویندوز را به سرقت ببرند. به گفته ی یکی از محققان امنیتی شرکت چک پوینت، مهاجم برای عملیاتی کردن این حمله، تنها نیاز دارد تا کاربر را به باز کردن این فایل متقاعد کند.
این محقق توضیح داده است در این حمله، مهاجمان بهجای بهرهبرداری از یک آسیبپذیری در نرمافزار مایکروسافت ورد و یا بهرهبرداری از روشی که Outlook فایلهای RTF را مدیریت میکند، از ویژگی بهره میبرند که توسط آن مهاجم میتواند فایلها و یا اسناد راه دور را در داخل یک فایل PDF تعبیه کند.
این محقق توضیح داده است که مهاجم میتواند از این ویژگی که بهطور پیشفرض در استاندارد PDF وجود دارد، استفاده کند و در نهایت به مقدار درهمسازی NTLM دست یابد. مهاجم میتواند از این محتوای مخرب را در اسناد PDF تعبیه کند و زمانیه قربانی آن را باز کرد، بتواند اطلاعات حساس را در قالب درهمسازی NTLM به دست آورد.
محقق امنیتی چکپوینت برای ارائهی کد اثبات مفهومی از یک سند PDF جعلی استفاده کرده است. زمانیکه قربانی این فایل را باز میکند، بهطور خودکار با یک سرور SMB راه دور که تحت کنترل مهاجمان است، ارتباط برقرار میکند که در درخواستی که ارسال میشود، درهمسازی NTLM برای فرآیند احراز هویت وجود دارد. مهاجمان در ادامه میتوانند از اطلاعات درهمسازی NTLM برای اجرای حملهی رلهی SMB استفاده کنند.
با استفاده از این روش، مهاجم میتواند به مقدار درهمسازی NTLM دست یافته و در ادامه با استفاده از ابزارهای مختلف، پسورد اصلی را پیدا کند. اجرای این حملات بهطور مخفیانه رخ میدهد و هیچ رفتار غیرعادی وجود ندارد تا کاربر به آن شک کند. قبلا هم شاهد چنین حملاتی با استفاده از درخواستهای SMB بودیم ولی با این تفاوت که در آنها از اسناد و یا ویژگیهای دیگر سیستم عامل بهرهبرداری شده بود.
به گفتهی چکپوینت، همهی برنامههای مرور PDF تحت تاثیر این آسیبپذیری قرار گرفتهاند که با بهرهبرداری از آنها، گواهینامههای NTLM افشاء میشود. این محقق امنیتی توانسته است با موفقیت از این آسیبپذیری بر روی ادوبی آکروبات و FoxIT بهرهبرداری کند. محققان قانون مهلت ۹۰ روزه را رعایت کردهاند و در این بازه به این شرکتها اجازه داده اند تا هرچه سریعتر آسیبپذیری را وصله کنند.
شرکت ادوبی پاسخ داده و اعلام کرده که این آسیبپذیری را وصله نخواهد کرد چرا که آن را به سیستم عامل مرتبط دانسته است. شرکت FoxIT نیز هنوز به این اطلاعرسانی پاسخ نداده است. محققان ادوبی به بهروزرسانی امنیتی مایکروسافت در ماه اکتبر سال ۲۰۱۷ میلادی اشاره کردهاند که در آن، مایکروسافت راهکاری را پیادهسازی کرده و به کاربران اجازه میدهد بر روی سیستم عامل ویندوز، فرآیند احراز هویت NTLM SSO را غیرفعال کنند.