如何使用武器化的PDF文檔來竊取Windows憑據

武器化的文檔幾乎是任何垃圾郵件和魚叉式網路釣魚活動的主要組成部分，讓我們看看如何通過特製的PDF文件盜取windows證書。

在沒有任何用戶交互的情況下，惡意行動者可以使用武器化的PDF文件來竊取Windows的憑證，準確的說是相關的NTLM哈希。

據Check Point的安全專家Assaf Baharav發表的一項研究，攻擊者只需要欺騙受害者打開文件即可。

根據Check Point研究人員的說法，攻擊者既不是利用了微軟Word文件的漏洞，也不是利用Outlook處理RTF文件的漏洞，而是利用了一個允許將遠程文檔和文件嵌入PDF文件的特性。

Baharav解釋說，攻擊者可以利用PDF標準文件中的功能來盜取NTLM哈希，而不是利用微軟Word文件或RTF文件中的漏洞。Baharav寫道，

攻擊者可以使用此方法將惡意內容注入到PDF中，因此當打開該PDF時，目標會自動以NTLM哈希的形式泄漏憑證。

研究人員使用了一份特別製作的PDF文檔作為他的概念證明。

當一個受害者打開PDF文檔時，該文檔會自動聯繫由攻擊者控制的遠程SMB伺服器，但是需要注意的是，SMB請求包含身份驗證過程的NTLM哈希。

SMB通信會泄漏NTLM細節並將其發送到攻擊者的伺服器，該伺服器可以進一步用於引發各種SMB中繼攻擊。

使用這個技巧，攻擊者可以獲得NTLM哈希，並使用在線可用工具來恢復原始密碼。

這種攻擊是隱形的，受害者不可能注意到任何異常行為。

在過去，惡意行動者使用過類似利用SMB請求的技術執行過這類攻擊，但是他們利用的是其他類型的文檔或操作系統特性(例如Office文檔、共享文件夾身份驗證、Outlook)。

根據Check Point，幾乎所有的Windows PDF閱讀器都受到這個安全缺陷的影響，並將顯示NTLM證書。

Baharav成功地測試了對Adobe Acrobat和FoxIT閱讀器的攻擊效果。

專家們遵循90天的信息披露政策，將該漏洞通知了Adobe和Foxit。

Adobe回復表示，他們沒有解決該問題的計劃，因為他們認為缺陷與操作系統有關，而FoxIT仍然沒有回應。

Adobe專家指的是在2017年10月發布的Microsoft Security Advisory（微軟安全諮詢） ADV170014 ，它實現了一種機制，並提供了關於用戶如何禁用Windows操作系統上的NTLM單點登錄（SSO）認證的說明。

以下是Adobe的回復:

感謝您在該事件上進行檢查。去年年底，微軟發布了一項可選安全增強功能[0]，為客戶提供了禁用NTLM SSO身份驗證的功能，其屬於公共資源中的一種方法。鑒於已經有了客戶可以獲得的緩解措施，我們將不再對Acrobat做出改進。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！