Windows NTLM

Windows NT LAN Manager Tokens可能面临新攻击

关键要点

  • 攻击者可利用自定义的Microsoft Access文件,通过强制身份验证来窃取Windows NT LAN Manager (NTLM) 令牌。
  • 该攻击利用Access的链接表功能,可以将指向远程SQL Server数据库链接的.accdb文件嵌入到Microsoft Word文档中。
  • 一旦用户打开文件并点击链接表,就会触发身份验证过程,信息会发送到NTLM服务器。
  • 攻击可利用任意TCP端口,攻击者控制的服务器可随时接收NTLM令牌。

根据的报道,威胁行为者可以通过强制身份验证攻击手段,将Windows NT LAN Manager
(NTLM)令牌暴露出来。最近来自Check Point的报告显示,攻击者可以利用Access的链接表功能,将包含远程SQLServer数据库链接的.accdb文件添加到MicrosoftWord文档中。当用户打开该文件并点击链接表时,身份验证过程将被触发,并将有效的响应传送至NTLM服务器。

研究员Haifei
Li指出:”攻击者可以滥用此功能,自动泄露Windows用户的NTLM令牌到任何攻击者控制的服务器,通过任何TCP端口,例如80端口。只要受害者打开.accdb或.mdb文件,就可以发起攻击。实际上,任何更常见的Office文件类型(如.rtf)也可以起作用。”

这种攻击方式的出现,是在后,带来的新一波安全威胁。以下是一些相关的列举,帮助您更好理解这个攻击方式的影响:

攻击方式 | 细节
—|—
文件类型 | .accdb, .mdb, .rtf 等
攻击触发机制 | 打开包含链接表的Word文档,点击链接
NTLM令牌流向 | 可发送至攻击者控制的服务器,利用任意TCP端口

这样的安全隐患提醒我们,保持警惕,定期更新和评估我们的网络安全措施是多么重要。

Leave a Reply

Your email address will not be published. Required fields are marked *