کمیته رکن چهارم – یافتههای یکی از محققان شرکت Check Point نشان میدهد که باز شدن یک فایل PDF مخرب میتواند منجر به فاش شدن اطلاعات اصالتسنجی موسوم به NTLM در سیستم عامل Windows شود.
مهاجم برای بکارگیری این روش میبایست از دو تابع GoToR – برگرفته از Go To Remote – و GoToE – مختصر شده Go To Embedded – در فایل PDF سوءاستفاده کرده و در آنها یک سرور SMB تحت مدیریت خود را معرفی کند. با این کار، زمانی که کاربر اقدام به باز کردن فایل میکند، بصورت خودکار و بدون نیاز به هر گونه دخالت کاربر درخواستی به سرور SMB مهاجم ارسال میشود.
بر اساس معماری مایکروسافت، تمامی درخواستهای SMB شامل درهمساز NTLM هستند. بنابراین با بکارگیری این روش، عملاً درهمساز بر روی سرور جعلی SMB ذخیره میشود.
در ادامه مهاجم میتواند با استفاده از برخی از ابزارهای موجود، درهم ساز را به رمز عبور اولیه تبدیل کند.
NTLM یا NT LAN Manager یکی از پودمانهای اصالتسنجی استفاده شده در سیستمهای عامل مایکروسافت است.
در بررسی محقق کاشف این موضوع، امکان اجرای چنین عملیاتی بر روی دو نرمافزار رایج Adobe Acrobat و Foxit Reader مورد آزمایش قرار گرفته و هر دوی آنها را در برابر چنین حملهای آسیبپذیر گزارش شدهاند. هر چند که این محقق، آسیبپذیر بودن سایر نرمافزارهای اجرا کننده PDF را نیز بسیار محتمل میداند.
شرکت Foxit پاسخی به موضوع اعلام شده توسط محقق Check Point نداده است. شرکت Adobe نیز او را به یکی از توصیهنامههای مایکروسافت با شناسهADV170014 ارجاع داده است.
در توصیهنامه مذکور، یک مکانیزم فنی برای غیر فعال نمودن اصالتسنجی بر مبنای NTLM Single Sign On در سیستمهای عامل Windows معرفی شده که این محقق بکارگیری آن را بهترین روش موجود برای ایمن ماندن از گزند تهدیدات احتمالی بهرهجو از این اشکال میداند.
مشروح گزارش این محقق Check Point در اینجا قابل دریافت و مطالعه است.
پیشتر نیز امکان سرقت اطلاعات اصالتسنجی از طریق درخواستهای SMB در محصولاتی همچون فایلهای مجموعه نرمفزاری Office و مرورگرها کشف و اعلام شده بود.
منبع : شبکه گستر
