研究人員發現,Access一項方便功能可能遭到濫用,導致公司內網Windows NTLM驗證資訊外洩。

Check Point研究人員發現,Microsoft Access有一項連結外部表格的功能,可能被攻擊者濫用,而將Windows NTLM雜湊經由TCP傳輸埠,傳送到攻擊者控制的外部伺服器。使用者可能開啟了一個不明.rtf檔或.accdb就能遭致攻擊。

NTML是微軟1993年引入的驗證協定。它是一種「出題-解題」方式的協定。NTLM伺服器儲存根據使用者密碼產生的NTLM雜湊值,每當使用者要登入Windows網域時,伺服器就會發布隨機的題目,使用者即以密碼運算產生出正確答案來解題,藉此完成身分驗證。但NTLM很容易遭到攻擊,包括暴力破解、雜湊傳送(pass-the-hash)或中繼攻擊(relay attack)或中間人攻擊。

Check Point公布的一項NLTM攻擊手法,是利用Access中的連結外部表格功能。透過「建立連結表格連到資料源」的功能,使用者可以連到外部資料庫,像是遠端SQL Server,讓外部攻擊者取得存取內部網路的驗證資訊,屬於ATT&CK中的「強制驗證」(Forced Authentication)。

因此攻擊者可以設立一臺外部SQL Server伺服器,由其聽取port 80連線。攻擊手法是傳送.accdb或.mdb給用戶,當用戶點擊檔案時,即可與外部SQL Server建立連線,由於不是所有使用者都會開啟.accdb或.mdb檔,因此研究人員結合Access另一項機制來進行攻擊。

研究人員使用了Access的物件連結與嵌人(Object Linking and Embedding,OLE)機制,OLE功能允許其他應用程式呼叫Access執行物件。因此,攻擊者可在Word或RTF文件中嵌入一個Accdb檔案送給受害者,等後者開啟Word/RTF檔案時,即可觸發Access資料庫處理該Accdb檔案,再連結到遠端SQL Server,而將敏感資料如NTLM雜湊,透過port 80且繞過防火牆傳送給攻擊者。

研究人員補充,其實由Access連結外部表格一個執行巨集的過程。微軟2020年封鎖了VBA巨集,因此開啟Office Word、Excel文件時,Windows會預設封鎖,以「受保護的檢視」模式開啟文件,並發出「準備執行巨集」的提醒。但這保護功能之前並不包括Access巨集,因此Access很容易成為攻擊跳板。

Check Point今年1月通報這項漏洞,微軟已經修補。至少在其測試的Office 2010(Current Channel, version 2306, build 16529.20182)版本中,已經加入「受保護檢視」的提醒。但研究人員指出,無法排除較舊版或其他版Office仍然有這漏洞。此外,即使Windows發出提醒,用戶還是可無視風險而執行外部連結。

針對仍使用NTLM協定的企業管理員,研究人員建議可封鎖所有經由NTLM協定(port 139及445)的對外連線。

熱門新聞

Advertisement