قابلیت Word subDoc، امکانی برای سرقت اطلاعات احراز هویت
به گزارش شرکت مهندسی شبکه گستر، بررسیهای انجام شده توسط محققان شرکت Rhino Labs نشان میدهد که مهاجمان قادرند با بهرهجویی از قابلیت نه چندان معروف subDoc در نرمافزار Microsoft Word به درهمساز NTLM که قالب استاندارد ذخیرهسازی اطلاعات احراز هویت در سیستم عامل Windows است دست پیدا کنند.
هر چند که کشف نخستین حملات سرقت NTLM به سالها قبل باز میگردد اما دست یافتن به این اطلاعات از طریق این قابلیت نرمافزار Word کار را برای مهاجمان بسیار آسان میکند.
برای این منظور مهاجم میبایست فایلی Word را آماده کند که در آن یک subDoc از روی سرور تحت کنترل او فراخوانی میشود. در ادامه فایل دستدرازی شده را با پیوست نمودن به ایمیلهای فیشینگ به کاربر ارسال کرده و با بکارگیری روشهای مهندسی اجتماعی قربانی را تشویق به اجرای آن کند.
به این نحو که بجای بازگردانده شدن subDoc درخواستی، درهمساز NTLM سیستم عامل Windows دستگاه به سرور تحت کنترل مهاجم ارسال میشود.
با دست یافتن به این اطلاعات مهاجم قادر خواهد بود تا با بکارگیری ابزارهای موجود، به اطلاعات احراز هویت قربانی دست یافته و از آنها برای اجرای حملات آتی نظیر رخنه به دستگاه و در نتیجه شبکه سازمان بهرهجویی کند.
شناسایی این نوع حملات بسیار دشوار و حتی در بسیاری موارد غیرممکن است؛ چرا که نه فایل آلوده ای بر روی دستگاه اجرا می شود و نه از یک آسیب پذیری سوءاستفاده می گردد. تنها از یک قابلیت مجاز در نرم افزار Word سوءاستفاده می شود.
به نظر میرسد در حال حاضر تنها روش مقابله با این نوع حملات آموزش کاربران در پرهیز از کلیک کردن بر روی لینکها و باز نمودن پیوستهای ایمیل مشکوک است. ضمن اینکه همچون همیشه توصیه میشود که در زمان باز کردن فایلهای ناآشنا، بر روی گزینه Enable Editing کلیک نشود.
مشروح گزارش Rhino Labs در اینجا قابل دریافت و مطالعه است.