Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Малоизвестная функция MS Word может использоваться для кражи паролей

Малоизвестная функция MS Word может использоваться для кражи паролей


09.01.2018

Малоизвестная функция MS Word может использоваться для кражи паролей

Исследователи из компании Rhino Labs описали новый способ кражи учетных данных Windows с помощью малоизвестной функции MS Word под названием subDoc, позволяющей загружать документ в тело другого документа. Функционал также может применяться для удаленной загрузки subDoc файлов в основной документ, что позволяет проэксплуатировать его во вредоносных целях.

 Новая техника основана на классической атаке Pass-the-hash – одном из видов атаки повторного произведения. Она позволяет атакующему авторизоваться на удаленном сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM.  Данный метод может быть использован против любого сервера/сервиса, применяющего протокол аутентификации NTLM или LM, вне зависимости от используемой на компьютере жертвы операционной системы. В системах, использующих протокол аутентификации NTLM, пароли никогда не передаются по каналу связи в открытом виде. Вместо этого они передаются соответствующей системе (такой, как контроллер домена) в виде хешей на этапе ответа в схеме аутентификации Вызов-ответ.

 Для осуществления атаки злоумышленники могут сформировать файл Word, загружающий поддокумент с подконтрольного им вредоносного SMB-сервера, перехватить SMB-запросы и получить доступ к NTLM-хешу. В настоящее время существует немало инструментов, позволяющих взломать хеш и извлечь учетные данные. Владея этой информацией, атакующие могут получить доступ к компьютеру или компьютерной сети жертвы под видом оригинального пользователя. Данный вид атаки эффективен для целевых фишинговых кампаний, направленных на высокозначимые объекты, такие как предприятия или государственные учреждения, указывают эксперты.

 По словам экспертов, на данный момент описанный ими метод атаки не является широкоизвестным, поэтому антивирусные решения не распознают его. Исследователи разместили на GitHub инструмент под названием SubDoc Injector, позволяющий создавать вредоносные документы Word. Данный инструмент позволит системным администраторам и специалистам в области безопасности провести собственное тестирование.

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.