Vulnerabilidade no Microsoft Access Expõe Tokens NTLM
Pesquisadores de cibersegurança descobriram uma vulnerabilidade de “autenticação forçada” que pode ser explorada para vazar tokens NT LAN Manager (NTLM) de usuários do Windows. Isso ocorre ao induzir a vítima a abrir um arquivo Microsoft Access especialmente elaborado. O ataque tira proveito de um recurso legítimo do sistema de gerenciamento de banco de dados que permite aos usuários vincular a fontes de dados externas, como uma tabela remota do SQL Server. Esse recurso pode ser abusado por atacantes para vazar automaticamente os tokens NTLM do usuário do Windows para qualquer servidor controlado pelo atacante, via qualquer porta TCP, como a porta 80.
O NTLM, um protocolo de autenticação introduzido pela Microsoft em 1993, é um protocolo de desafio-resposta usado para autenticar usuários durante o login. Ao longo dos anos, ele se mostrou vulnerável a ataques de força bruta, pass-the-hash e relay.
O ataque recente abusa da função de tabela vinculada no Access para vazar os hashes NTLM para um servidor controlado pelo atacante, incorporando um arquivo .accdb com um link de banco de dados SQL Server remoto dentro de um documento do MS Word usando um mecanismo chamado Object Linking and Embedding (OLE). Este desenvolvimento ocorre enquanto a Microsoft anuncia planos para descontinuar o NTLM no Windows 11 em favor do Kerberos para maior segurança.
Fonte: BoletimSec
Publicado em: Cybersegurança