Access外部連結功能可被濫用外洩NTLM雜湊資訊

研究人員發現，Access一項方便功能可能遭到濫用，導致公司內網Windows NTLM驗證資訊外洩。

Check Point研究人員發現，Microsoft Access有一項連結外部表格的功能，可能被攻擊者濫用，而將Windows NTLM雜湊經由TCP傳輸埠，傳送到攻擊者控制的外部伺服器。使用者可能開啟了一個不明.rtf檔或.accdb就能遭致攻擊。

NTML是微軟1993年引入的驗證協定。它是一種「出題－解題」方式的協定。NTLM伺服器儲存根據使用者密碼產生的NTLM雜湊值，每當使用者要登入Windows網域時，伺服器就會發布隨機的題目，使用者即以密碼運算產生出正確答案來解題，藉此完成身分驗證。但NTLM很容易遭到攻擊，包括暴力破解、雜湊傳送（pass-the-hash）或中繼攻擊（relay attack）或中間人攻擊。

Check Point公布的一項NLTM攻擊手法，是利用Access中的連結外部表格功能。透過「建立連結表格連到資料源」的功能，使用者可以連到外部資料庫，像是遠端SQL Server，讓外部攻擊者取得存取內部網路的驗證資訊，屬於ATT&CK中的「強制驗證」（Forced Authentication）。

因此攻擊者可以設立一臺外部SQL Server伺服器，由其聽取port 80連線。攻擊手法是傳送.accdb或.mdb給用戶，當用戶點擊檔案時，即可與外部SQL Server建立連線，由於不是所有使用者都會開啟.accdb或.mdb檔，因此研究人員結合Access另一項機制來進行攻擊。

研究人員使用了Access的物件連結與嵌人（Object Linking and Embedding，OLE）機制，OLE功能允許其他應用程式呼叫Access執行物件。因此，攻擊者可在Word或RTF文件中嵌入一個Accdb檔案送給受害者，等後者開啟Word/RTF檔案時，即可觸發Access資料庫處理該Accdb檔案，再連結到遠端SQL Server，而將敏感資料如NTLM雜湊，透過port 80且繞過防火牆傳送給攻擊者。

研究人員補充，其實由Access連結外部表格一個執行巨集的過程。微軟2020年封鎖了VBA巨集，因此開啟Office Word、Excel文件時，Windows會預設封鎖，以「受保護的檢視」模式開啟文件，並發出「準備執行巨集」的提醒。但這保護功能之前並不包括Access巨集，因此Access很容易成為攻擊跳板。

Check Point今年1月通報這項漏洞，微軟已經修補。至少在其測試的Office 2010（Current Channel, version 2306, build 16529.20182）版本中，已經加入「受保護檢視」的提醒。但研究人員指出，無法排除較舊版或其他版Office仍然有這漏洞。此外，即使Windows發出提醒，用戶還是可無視風險而執行外部連結。

針對仍使用NTLM協定的企業管理員，研究人員建議可封鎖所有經由NTLM協定（port 139及445）的對外連線。