۹۶/۱۱/۱۴، ۰۴:۳۶ صبح
طبق یافتههای محققین گروه امنیتی Rhino Labs (شرکت امنیتی سایبری ایالاتمتحده امریکا) عاملین مخرب میتوانند با سوءاستفاده از یکی از ویژگیهای Microsoft Word به نام subDoc، رایانههای ویندوزی را فریب دهند و هش NTLM را مورد سرقت قرار دهند. هش NTLM قالب استانداردی است که اعتبارنامههای حساب کاربری در آن ذخیره شدهاند.
قلب این تکنیک، حملهی NTLM (pass-the-hash attack) است که از سالهای پیش وجود داشته است. به گفتهی Rhino Labs، تفاوت حملهی کلاسیک با حملهی جدید، در روش انجام آن است. حملهی جدید از طریق یکی از ویژگیهای Word به نام subDoc انجام میشود. ویژگی subDoc به فایلهای Word اجازه میدهد تا زیرسندها را از سند اصلی بارگیری کنند.
به گفتهی متخصصین Rhino Labs، روش حمله به این صورت است که مهاجمان یک فایل Word را که زیرسندی را از یک کارگزار مخرب بارگذاری میکند، ایجاد میکنند. از طرف دیگر یک کارگزار SMB را میزبان قرار میدهند و بهجای ارائهی زیرسند درخواستی، رایانهی شخصی قربانی را فریب میدهند تا هش NTLM را که برای احرازهویت در دامنهی جعلی موردنیاز است، ارایه دهد.
ابزارهای برخط متعددی برای کرک هشهای NTLM و بهدست آوردن اعتبارنامههای ویندوز موجود در آن در دسترس است. مهاجمان میتوانند از این اعتبارنامههای ورودبهسیستم برای دسترسی به رایانه یا شبکهی قربانی استفاده کنند و خود را بهعنوان کاربر اصلی جا بزنند. این نوع از هک معمولاً در شرکتها و سازمانها دولتی استفاده میشود.
به گفتهی محقق امنیتی کلمبیایی به نام Juan Diago، این حمله مشابه تکنیکهای دیگری همچون استفاده از فایلهای SCF و درخواستهای SMB بهمنظور فریب ویندوز جهت ارایهی هشهای NTLM است.
این حمله اولین روش حملهای نیست که از یک ویژگی کمتر شناختهشدهی Microsoft Word سوءاستفاده میکند. تکنیکهای دیگری مانند استفاده از ویژگی DDE یا ویژگی قدیمی ویرایشگر معادلهی Office نیز در حملات استفاده شدهاند. با این وجود، در حال حاضر تشخیص حملات subDoc مشکل است.
مایکروسافت بهتازگی پشتیبانی از DDE را در Word غیرفعال کرده است، زیرا این ویژگی بارها توسط توزیعکنندگان بدافزار مورد سوءاستفاده قرار گرفته است. سرنوشت subDoc هنوز مشخص نیست زیرا این ویژگی برای کمپینهای توزیع بدافزار یک آسیب پذیری کلیدی نیست و ممکن است بهاندازهی حملات DDE موردتوجه مایکروسافت قرار نگیرد. ازآنجاییکه این ویژگی عموماً بهعنوان یک حمله برای اعمال مخرب شناخته نشده است، توسط نرمافزار آنتیویروس شناسایی نمیشود.
قلب این تکنیک، حملهی NTLM (pass-the-hash attack) است که از سالهای پیش وجود داشته است. به گفتهی Rhino Labs، تفاوت حملهی کلاسیک با حملهی جدید، در روش انجام آن است. حملهی جدید از طریق یکی از ویژگیهای Word به نام subDoc انجام میشود. ویژگی subDoc به فایلهای Word اجازه میدهد تا زیرسندها را از سند اصلی بارگیری کنند.
به گفتهی متخصصین Rhino Labs، روش حمله به این صورت است که مهاجمان یک فایل Word را که زیرسندی را از یک کارگزار مخرب بارگذاری میکند، ایجاد میکنند. از طرف دیگر یک کارگزار SMB را میزبان قرار میدهند و بهجای ارائهی زیرسند درخواستی، رایانهی شخصی قربانی را فریب میدهند تا هش NTLM را که برای احرازهویت در دامنهی جعلی موردنیاز است، ارایه دهد.
ابزارهای برخط متعددی برای کرک هشهای NTLM و بهدست آوردن اعتبارنامههای ویندوز موجود در آن در دسترس است. مهاجمان میتوانند از این اعتبارنامههای ورودبهسیستم برای دسترسی به رایانه یا شبکهی قربانی استفاده کنند و خود را بهعنوان کاربر اصلی جا بزنند. این نوع از هک معمولاً در شرکتها و سازمانها دولتی استفاده میشود.
به گفتهی محقق امنیتی کلمبیایی به نام Juan Diago، این حمله مشابه تکنیکهای دیگری همچون استفاده از فایلهای SCF و درخواستهای SMB بهمنظور فریب ویندوز جهت ارایهی هشهای NTLM است.
این حمله اولین روش حملهای نیست که از یک ویژگی کمتر شناختهشدهی Microsoft Word سوءاستفاده میکند. تکنیکهای دیگری مانند استفاده از ویژگی DDE یا ویژگی قدیمی ویرایشگر معادلهی Office نیز در حملات استفاده شدهاند. با این وجود، در حال حاضر تشخیص حملات subDoc مشکل است.
مایکروسافت بهتازگی پشتیبانی از DDE را در Word غیرفعال کرده است، زیرا این ویژگی بارها توسط توزیعکنندگان بدافزار مورد سوءاستفاده قرار گرفته است. سرنوشت subDoc هنوز مشخص نیست زیرا این ویژگی برای کمپینهای توزیع بدافزار یک آسیب پذیری کلیدی نیست و ممکن است بهاندازهی حملات DDE موردتوجه مایکروسافت قرار نگیرد. ازآنجاییکه این ویژگی عموماً بهعنوان یک حمله برای اعمال مخرب شناخته نشده است، توسط نرمافزار آنتیویروس شناسایی نمیشود.