Los hackers pueden robar las credenciales NTLM a través de archivos PDF
Los atacantes usan esta característica como una ventaja para incrustar documentos remotos dentro de un archivo PDF para robar credenciales NTLM.
"Las pérdidas de hash NTLM también se pueden lograr a través de archivos PDF sin interacción ni explotación por parte del usuario".
Al utilizar esta función, los atacantes pueden inyectar contenidos maliciosos en el PDF y, si se abre el archivo PDF, el objetivo comenzará a filtrar automáticamente los datos en forma de hash NTLM.
Los archivos PDF contienen principalmente objetos junto con la estructura del documento, la estructura del archivo y las secuencias de contenido; El diccionario contiene los objetos que se llaman (entradas), el primer elemento es la clave y el segundo elemento es el valor.
"Al inyectar una entrada maliciosa, un atacante puede atraer objetivos arbitrarios para abrir el archivo PDF elaborado, que luego filtra automáticamente su hash NTLM, desafío, usuario, nombre de host y detalles de dominio".
Si el usuario abre el documento, no hay alerta sobre la actividad del atacante y es imposible notar el comportamiento; Los datos filtrados se transfieren a través de SMB y los atacantes pueden usarlo para varios ataques de retransmisión de SMB.
"La investigación lleva a concluir que todos los visualizadores PDF de Windows son vulnerables a este defecto de seguridad y revelarán las credenciales NTLM".
El problema fue revelado a Adobe y Foxit y tomaran las acciones de protección a esta nueva debilidad.
"Las pérdidas de hash NTLM también se pueden lograr a través de archivos PDF sin interacción ni explotación por parte del usuario".
Al utilizar esta función, los atacantes pueden inyectar contenidos maliciosos en el PDF y, si se abre el archivo PDF, el objetivo comenzará a filtrar automáticamente los datos en forma de hash NTLM.
"Al inyectar una entrada maliciosa, un atacante puede atraer objetivos arbitrarios para abrir el archivo PDF elaborado, que luego filtra automáticamente su hash NTLM, desafío, usuario, nombre de host y detalles de dominio".
Si el usuario abre el documento, no hay alerta sobre la actividad del atacante y es imposible notar el comportamiento; Los datos filtrados se transfieren a través de SMB y los atacantes pueden usarlo para varios ataques de retransmisión de SMB.
"La investigación lleva a concluir que todos los visualizadores PDF de Windows son vulnerables a este defecto de seguridad y revelarán las credenciales NTLM".
El problema fue revelado a Adobe y Foxit y tomaran las acciones de protección a esta nueva debilidad.
Comentarios
Publicar un comentario