Arquivos PDF podem ser usados ​​para roubar credenciais do Windows

Arquivos PDF podem ser armados por agentes maliciosos para roubar credenciais do Windows (hashes NTLM) sem qualquer interação do usuário, e apenas abrindo um arquivo, de acordo com Assaf Baharav , um pesquisador de segurança com Check Point de segurança cibernética.

Baharav publicou uma pesquisa nesta semana mostrando como um ator mal-intencionado pode aproveitar os recursos nativamente encontrados no padrão PDF para roubar hashes NTLM, o formato no qual o Windows armazena as credenciais do usuário.

"A especificação PDF permite o carregamento de conteúdo remoto para as entradas do GoToE & GoToR", disse Baharav ao Bleeping Computer hoje.

Roubando credenciais do Windows via PDF e SMB

Para sua pesquisa, a Baharav criou um documento em PDF que utilizaria essas duas funções do PDF. Quando alguém abrir esse arquivo, o documento em PDF fará automaticamente uma solicitação para um servidor SMB malicioso e remoto.

Por design, todas as solicitações SMB também incluem o hash NTLM para fins de autenticação. Esse hash NTLM seria registrado no log do servidor SMB remoto. Estão disponíveis ferramentas que podem quebrar esse hash e recuperar a senha original.

Esse tipo de ataque não é novo, e no passado, foi executado iniciando-se solicitações SMB de documentos do Office , Outlook , navegadores , arquivos de atalho do Windows , pastas compartilhadas e outras funções internas do sistema operacional Windows.

Todos os leitores de PDF são mais vulneráveis

Agora, Baharav mostrou que os arquivos PDF são igualmente perigosos. O pesquisador da Check Point disse à Bleeping Computer que ele testou apenas o ataque ao Adobe Acrobat e ao FoxIT Reader.

"Escolhemos testar esses dois leitores de PDF de alto perfil", disse Baharav. "Em relação aos outros, suspeitamos que eles também sejam vulneráveis".

"Seguimos uma política de divulgação de 90 dias notificando apenas a Adobe e a Foxit em relação aos problemas", diz Baharav.

Embora a FoxIT não tenha respondido, a Adobe disse que não pretende modificar seu software, adiando para mitigações no nível do sistema operacional Windows. Os engenheiros da Adobe estavam se referindo ao ADV170014 do Microsoft Security Advisory , lançado em outubro de 2017.

A Microsoft lançou o ADV170014 para fornecer um mecanismo técnico e instruções sobre como os usuários podem desativar a autenticação NTLM SSO nos sistemas operacionais Windows, na esperança de interromper o roubo de hashes NTLM por meio de solicitações SMB feitas a servidores localizados fora da rede local.

"A melhor prática aqui é seguir o aprimoramento de segurança opcional da Microsoft", disse Baharav.

Related Articles:

PoC Code Published for Triggering an Instant BSOD on All Recent Windows Versions

Microsoft Says Windows 10 Spring Creators Update Will Install in 30 Minutes

Google, Microsoft, and Mozilla Put Their Backing Behind New WebAuthn API

Microsoft April Patch Tuesday Fixes 66 Security Issues

Microsoft Out-Of-Band Security Update Patches Malware Protection Engine Flaw