Կիբերանվտանգության ոլոտի փորձագետները «forced authentication»-ի դեպք են հայտնաբերել, որը կարող էր օգտագործվել Windows օգտատերերի NT LAN Manager (NTLM) token-երի արտահոսքի համար՝ թիրախային լսարանին մոլորեցնելով և հատուկ մշակված Microsoft Access ֆայլը համակարգ ներմուծելով:
Հարձակումն օգտվում է տվյալների բազայի կառավարման համակարգի լուծման օրինական հնարավորությունից, որը օգտվողներին կցում է տվյալների արտաքին աղբյուրներին, օրինակ՝ remote SQL Server աղյուսակին:
«Այս հատկությունը կարող է լայնորեն չարաշահվել հաքերների կողմից՝ Windows-ի օգտատերերի NTLM token-երը ավտոմատ կերպով վերահսկվող ցանկացած սերվերից TCP պորտի միջոցով դուրս բերելու համար», – ասում է Check Point-ի անվտանգության փորձագետ՝ Հայֆեյ Լին:
«Հարձակումը կարող է իրականացվել այն ժամանակ, երբ թիրախային user-ը բաց է անում .accdb կամ .mdb ֆայլերը»:
Այնուհետև rogue server-ը ստանում է համապատասխան ազդակ, այն փոխանցում է թիրախավորված user-երին որպես authentication գործընթացի մի մաս և ստանում է վավեր պատասխան, որն ի վերջո փոխանցվում է NTLM սերվերին:
Թեև Microsoft-ը այդ ժամանակից ի վեր Office/Access տարբերակում թողարկել է համապատասխան թարմացումներ, 2023 թվականի հունվարին կատարված բացահայտումից հետո, 0patch-ը թողարկել է ոչ պաշտոնական շտկումներ՝ Office 2010, Office 2011, Office 20, Office 20 և Office 365 տարբերակներում:
Աղբյուրը՝ https://thehackernews.com/
