قابلیت Word subDoc، امکانی برای سرقت اطلاعات احراز هویت

به گزارش شرکت مهندسی شبکه گستر، بررسی‌های انجام شده توسط محققان شرکت Rhino Labs نشان می‌دهد که مهاجمان قادرند با بهره‌جویی از قابلیت نه چندان معروف subDoc در نرم‌افزار Microsoft Word به درهم‌ساز NTLM که قالب استاندارد ذخیره‌سازی اطلاعات احراز هویت در سیستم عامل Windows است دست پیدا کنند.

هر چند که کشف نخستین حملات سرقت NTLM به سال‌ها قبل باز می‌گردد اما دست یافتن به این اطلاعات از طریق این قابلیت نرم‌افزار Word کار را برای مهاجمان بسیار آسان می‌کند.

برای این منظور مهاجم می‌بایست فایلی Word را آماده کند که در آن یک subDoc از روی سرور تحت کنترل او فراخوانی می‌شود. در ادامه فایل دست‌درازی شده را با پیوست نمودن به ایمیل‌های فیشینگ به کاربر ارسال کرده و با بکارگیری روش‌های مهندسی اجتماعی قربانی را تشویق به اجرای آن کند.

به این نحو که بجای بازگردانده شدن subDoc درخواستی، درهم‌ساز NTLM سیستم عامل Windows دستگاه به سرور تحت کنترل مهاجم ارسال می‌شود.

با دست یافتن به این اطلاعات مهاجم قادر خواهد بود تا با بکارگیری ابزارهای موجود، به اطلاعات احراز هویت قربانی دست یافته و از آنها برای اجرای حملات آتی نظیر رخنه به دستگاه و در نتیجه شبکه سازمان بهره‌جویی کند.

شناسایی این نوع حملات بسیار دشوار و حتی در بسیاری موارد غیرممکن است؛ چرا که نه فایل آلوده ای بر روی دستگاه اجرا می شود و نه از یک آسیب پذیری سوءاستفاده می گردد. تنها از یک قابلیت مجاز در نرم افزار Word سوءاستفاده می شود.

به نظر می‌رسد در حال حاضر تنها روش مقابله با این نوع حملات آموزش کاربران در پرهیز از کلیک کردن بر روی لینک‌ها و باز نمودن پیوست‌های ایمیل مشکوک است. ضمن اینکه همچون همیشه توصیه می‌شود که در زمان باز کردن فایل‌های ناآشنا، بر روی گزینه Enable Editing کلیک نشود.

مشروح گزارش Rhino Labs در اینجا قابل دریافت و مطالعه است.