Hackers podem explorar a 'autenticação forçada' para roubar tokens do Windows NTLM
28 de Novembro de 2023

Pesquisadores de cibersegurança descobriram um caso de "autenticação forçada" que poderia ser explorado para vazar tokens NT LAN Manager (NTLM) de um usuário do Windows, enganando uma vítima para abrir um arquivo Microsoft Access especialmente criado.

O ataque tira proveito de um recurso legítimo no sistema de gerenciamento de banco de dados que permite aos usuários se conectar a fontes de dados externas, como uma tabela de Servidor SQL remoto.

"Este recurso pode ser usado por atacantes para vazar automaticamente os tokens NTLM do usuário do Windows para qualquer servidor controlado pelo atacante, via qualquer porta TCP, como a porta 80", disse o pesquisador de segurança da Check Point, Haifei Li.

"O ataque pode ser lançado desde que a vítima abra um arquivo .accdb ou .mdb.

Na verdade, qualquer tipo de arquivo Office mais comum (como um .rtf) também pode funcionar."

O NTLM, um protocolo de autenticação introduzido pela Microsoft em 1993, é um protocolo de desafio-resposta que é usado para autenticar usuários durante o login.

Ao longo dos anos, foi constatado que é vulnerável a ataques de força bruta, pass-the-hash e relay.

O último ataque, em resumo, abusa do recurso de tabela vinculada no Access para vazar as hashes NTLM para um servidor controlado pelo ator ao incorporar um arquivo .accdb com um link de banco de dados SQL Server remoto dentro de um documento do MS Word usando um mecanismo chamado Object Linking and Embedding (OLE).

"Um atacante pode configurar um servidor que ele controla, ouvindo na porta 80, e colocar seu endereço IP no campo 'alias do servidor' acima", explicou Li.

"Em seguida, eles podem enviar o arquivo do banco de dados, incluindo a tabela vinculada, para a vítima."

Se a vítima abrir o arquivo e clicar na tabela vinculada, o cliente da vítima contata o servidor controlado pelo atacante para autenticação, permitindo que este último execute um ataque de retransmissão iniciando um processo de autenticação com um servidor NTLM alvo na mesma organização.

O servidor rogue então recebe o desafio, passa-o para a vítima, e obtém uma resposta válida, que é finalmente transmitida ao remetente que desafia o CV como parte do processo de autenticação CV ↔ SA controlado pelo atacante recebe a resposta válida e então passa essa resposta para o servidor NTLM.

Embora a Microsoft tenha lançado desde então mitigamentos para o problema na versão Office/Access (Current Channel, version 2306, build 16529.20182), após a divulgação responsável em janeiro de 2023, 0patch lançou correções não oficiais para Office 2010, Office 2013, Office 2016, Office 2019, e Office 365.

O desenvolvimento também ocorre quando a Microsoft anunciou planos de descontinuar o NTLM no Windows 11 em favor do Kerberos para melhor segurança.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...