Малоизвестная функция MS Word может использоваться для кражи паролей

Исследователи из компании Rhino Labs описали новый способ кражи учетных данных Windows с помощью малоизвестной функции MS Word под названием subDoc, позволяющей загружать документ в тело другого документа. Функционал также может применяться для удаленной загрузки subDoc файлов в основной документ, что позволяет проэксплуатировать его во вредоносных целях.

Она позволяет атакующему авторизоваться на удаленном сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM. Данный метод может быть использован против любого сервера/сервиса, применяющего протокол аутентификации NTLM или LM, вне зависимости от используемой на компьютере жертвы операционной системы. В системах, использующих протокол аутентификации NTLM, пароли никогда не передаются по каналу связи в открытом виде. Вместо этого они передаются соответствующей системе (такой, как контроллер домена) в виде хешей на этапе ответа в схеме аутентификации Вызов-ответ.

Для осуществления атаки злоумышленники могут сформировать файл Word, загружающий поддокумент с подконтрольного им вредоносного SMB-сервера, перехватить SMB-запросы и получить доступ к NTLM-хешу. В настоящее время существует немало инструментов, позволяющих взломать хеш и извлечь учетные данные. Владея этой информацией, атакующие могут получить доступ к компьютеру или компьютерной сети жертвы под видом оригинального пользователя.

По словам экспертов, на данный момент описанный ими метод атаки не является широкоизвестным, поэтому антивирусные решения не распознают его. Исследователи разместили на GitHub инструмент под названием SubDoc Injector, позволяющий создавать вредоносные документы Word. Данный инструмент позволит системным администраторам и специалистам в области безопасности провести собственное тестирование.