بهره‌برداری از اسناد PDF برای سرقت گواهی‌نامه‌ها در سیستم عامل ویندوز

 

اسنادی که در آن ها کدی تعبیه می شود، معمولا جزء اصلی و مهمی از پویش های فیشینگ و هرزنامه هستند. در این گزارش به بررسی این مسأله می پردازیم که مهاجمان چگونه با یک سند جعلی و دست کاری شده ی PDF می توانند گواهی نامه های کاربران در سیستم عامل ویندوز را به سرقت ببرند. به گفته ی یکی از محققان امنیتی شرکت چک پوینت، مهاجم برای عملیاتی کردن این حمله، تنها نیاز دارد تا کاربر را به باز کردن این فایل متقاعد کند.


این محقق توضیح داده است در این حمله، مهاجمان به‌جای بهره‌برداری از یک آسیب‌پذیری در نرم‌افزار مایکروسافت ورد و یا بهره‌برداری از روشی که Outlook فایل‌های RTF را مدیریت می‌کند، از ویژگی بهره می‌برند که توسط آن مهاجم می‌تواند فایل‌ها و یا اسناد راه دور را در داخل یک فایل PDF تعبیه کند.


این محقق توضیح داده است که مهاجم می‌تواند از این ویژگی که به‌طور پیش‌فرض در استاندارد PDF وجود دارد، استفاده کند و در نهایت به مقدار درهم‌سازی NTLM دست یابد. مهاجم می‌تواند از این محتوای مخرب را در اسناد PDF تعبیه کند و زمانی‌ه قربانی آن را باز کرد، بتواند اطلاعات حساس را در قالب درهم‌سازی NTLM به دست آورد.


محقق امنیتی چک‌پوینت برای ارائه‌ی کد اثبات مفهومی از یک سند PDF جعلی استفاده کرده است. زمانی‌که قربانی این فایل را باز می‌کند، به‌طور خودکار با یک سرور SMB راه دور که تحت کنترل مهاجمان است، ارتباط برقرار می‌کند که در درخواستی که ارسال می‌شود، درهم‌سازی NTLM برای فرآیند احراز هویت وجود دارد. مهاجمان در ادامه می‌توانند از اطلاعات درهم‌سازی NTLM برای اجرای حمله‌ی رله‌ی SMB استفاده کنند.


با استفاده از این روش، مهاجم می‌تواند به مقدار درهم‌سازی NTLM دست یافته و در ادامه با استفاده از ابزارهای مختلف، پسورد اصلی را پیدا کند. اجرای این حملات به‌طور مخفیانه رخ می‌دهد و هیچ رفتار غیرعادی وجود ندارد تا کاربر به آن شک کند. قبلا هم شاهد چنین حملاتی با استفاده از درخواست‌های SMB بودیم ولی با این تفاوت که در آن‌ها از اسناد و یا ویژگی‌های دیگر سیستم عامل بهره‌برداری شده بود.


به گفته‌ی چک‌پوینت، همه‌ی برنامه‌های مرور PDF تحت تاثیر این آسیب‌پذیری قرار گرفته‌اند که با بهره‌برداری از آن‌ها، گواهی‌نامه‌های NTLM افشاء می‌شود. این محقق امنیتی توانسته است با موفقیت از این آسیب‌پذیری بر روی ادوبی آکروبات و FoxIT بهره‌برداری کند. محققان قانون مهلت ۹۰ روزه را رعایت کرده‌اند و در این بازه به این شرکت‌ها اجازه داده اند تا هرچه سریع‌تر آسیب‌پذیری را وصله کنند.


شرکت ادوبی پاسخ داده و اعلام کرده که این آسیب‌پذیری را وصله نخواهد کرد چرا که آن را به سیستم عامل مرتبط دانسته است. شرکت FoxIT نیز هنوز به این اطلاع‌رسانی پاسخ نداده است. محققان ادوبی به به‌روزرسانی امنیتی مایکروسافت در ماه اکتبر سال ۲۰۱۷ میلادی اشاره کرده‌اند که در آن، مایکروسافت راه‌کاری را پیاده‌سازی کرده و به کاربران اجازه می‌دهد بر روی سیستم عامل ویندوز، فرآیند احراز هویت NTLM SSO را غیرفعال کنند.

 

منبع

پست‌های مشابه

Leave a Comment