改邪归正后的黑客手把手教你如何利用微软 Word subDoc 功能窃取 Windows 凭证
翻译:360代码卫士团队
美国网络安全公司 Rhino Labs 的安全研究员发现恶意攻击者能利用不太为人所知的微软 Word 功能 subDoc 诱骗 Windows 计算机提交用于存储用户账户凭证的标准格式 NTLM 哈希。
这种技术的核心是已存在多年的经典的 NTLM 哈希传递攻击。研究人员指出,这次发现的攻击方法的新意在于,它可通过一个 Word 功能 subDoc 让Word 文档“从主文档中加载子文档”。
研究人员指出,攻击者能够编辑一个从恶意服务器中加载子文档的 Word 文件。攻击者能在这个请求的另外一端托管一个恶意 SMB 服务器,而不是传输请求的子文档。他们诱骗受害者的个人计算机提交虚假域名认证所需要的 NTLM 哈希。
网上有无数工具可破解 NTLM 哈希并获取其中包含的 Windows 凭证。攻击者随后可通过这些登录凭证访问受害者的电脑或网络从而假装成原始用户。这种类型的攻击适合于针对高价值目标如企业或政府机构的鱼叉式钓鱼活动。
网络安全公司 DefenseCode指出,这种攻击跟其它技术如使用 SCF 文件和 SMB 请求诱骗 Windows 系统提交 NTLM 哈希之间存在某些相似之处。
而这种攻击方法也并非首个利用不太为人所知的 Word 功能的案例。其它技术还包括使用微软 DDE 或老旧的 Office 方程式编辑器发动攻击。
目前对 subDoc 攻击的检测结果存在很多问题。
研究人员指出,由于这个功能尚未被公开认可为实施恶意行为的攻击向量,因此也并未被反病毒软件所识别。VirusTotal 上的所有反病毒引擎均未检测出通过 subDoc 方法武器化的 Word 文档。
由于遭恶意软件传播器的滥用,微软最近禁用了 Word 中的 DDE 支持功能。subDoc 未来的命运尚不可知,因为它对于常规的恶意软件传播活动的作用并不是那么大,微软可能并不会把它的严重性和 DDE 攻击相提并论。
研究人员还推出一款生成遭 subDoc 感染的 Word 文件的工具,供系统管理员和安全研究人员进行测试。这款工具名为 SubDoc Injector,已在 GitHub 上发布,是由 LulzSec 黑客组织的前成员、现为 Rhino Labs 员工的Hector “Sabu” Monsegur 撰写的。Rhino Labs 同时发布了一篇技术文章,详细说明如何复现 subDoc 攻击。
关联阅读
在 Microsoft Word 的图像链接中进行 UNC 路径注入
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/microsoft-word-subdoc-feature-abused-to-steal-windows-credentials/