سوءاستفاده از ويژگی subDoc در Microsoft Word به‌منظور سرقت اعتبارنامه‌ها

سوءاستفاده از ويژگی subDoc در Microsoft Word به‌منظور سرقت اعتبارنامه‌ها

تاریخ ایجاد

طبق یافته‌های محققین گروه امنیتی Rhino Labs (شرکت امنیتی سایبری ایالات‌متحده امریکا) عاملین مخرب می‌توانند با سوءاستفاده از یکی از ویژگی‌های Microsoft Word به نام subDoc، رایانه‌های ویندوزی را فریب دهند و هش NTLM را مورد سرقت قرار دهند. هش NTLM قالب استانداردی است که اعتبارنامه‌‌های حساب کاربری در آن ذخیره شده‌اند.
قلب این تکنیک، حمله‌‌ی NTLM (pass-the-hash attack) است که از سال‌های پیش وجود داشته است. به گفته‌ی Rhino Labs، تفاوت حمله‌ی کلاسیک با حمله‌ی جدید، در روش انجام آن است. حمله‌ی جدید از طریق یکی از ویژگی‌های Word به نام subDoc انجام می‌شود. ویژگی subDoc به فایل‌های Word اجازه می‌دهد تا زیرسندها را از سند اصلی بارگیری کنند.
به گفته‌ی متخصصین Rhino Labs، روش حمله به این صورت است که مهاجمان یک فایل Word را که زیرسندی را از یک کارگزار مخرب بارگذاری می‌کند، ایجاد می‌کنند. از طرف دیگر یک کارگزار SMB را میزبان قرار می‌دهند و به‌جای ارائه‌ی زیرسند درخواستی، رایانه‌ی شخصی قربانی را فریب ‌می‌دهند تا هش NTLM را که برای احرازهویت در دامنه‌ی جعلی موردنیاز است، ارایه دهد.
ابزارهای برخط متعددی برای کرک هش‌های NTLM و به‌دست آوردن اعتبارنامه‌های ویندوز موجود در آن در دسترس است. مهاجمان می‌توانند از این اعتبارنامه‌های ورودبه‌سیستم برای دسترسی به رایانه یا شبکه‌ی قربانی استفاده کنند و خود را به‌عنوان کاربر اصلی جا بزنند. این نوع از هک معمولا‌ً در شرکت‌ها و سازمان‌ها دولتی استفاده می‌شود.
به گفته‌ی محقق امنیتی کلمبیایی به نام Juan Diago، این حمله مشابه تکنیک‌های دیگری همچون استفاده از فایل‌های SCF و درخواست‌های SMB به‌منظور فریب ویندوز جهت ارایه‌ی هش‌های NTLM است.
این حمله اولین روش حمله‌ای نیست که از یک ویژگی‌ کمتر شناخته‌شده‌ی Microsoft Word سوءاستفاده می‌‌کند. تکنیک‌های دیگری مانند استفاده از ویژگی DDE یا ویژگی قدیمی ویرایشگر معادله‌ی Office نیز در حملات استفاده شده‌اند. با این وجود، در حال حاضر تشخیص حملات subDoc مشکل‌ است.
مایکروسافت به‌تازگی پشتیبانی از DDE را در Word غیرفعال کرده است، زیرا این ویژگی بارها توسط توزیع‌کنندگان بدافزار مورد سوءاستفاده قرار گرفته است. سرنوشت subDoc هنوز مشخص نیست زیرا این ویژگی برای کمپین‌های توزیع بدافزار یک آسیب¬پذیری کلیدی نیست و ممکن است به‌اندازه‌ی حملات DDE موردتوجه مایکروسافت قرار نگیرد. ازآنجایی‌که این ویژگی عموماً به‌عنوان یک حمله برای اعمال مخرب شناخته نشده است، توسط نرم‌افزار آنتی‌ویروس شناسایی نمی‌شود.

برچسب‌ها