利用数据库管理系统合法功能，窃取Windows用户NTLM令牌

网络安全研究人员发现了一个“强制身份验证”攻击案例，可通过诱骗受害者打开特制的 Microsoft Access 文件来泄露 Windows 用户的 NT LAN Manager (NTLM) 令牌。

该攻击利用了数据库管理系统解决方案中的合法功能，该功能允许用户链接到外部数据源，例如远程 SQLServer 表。

攻击者可以滥用此功能，通过任何 TCP 端口（例如端口 80）自动将 Windows 用户的 NTLM 令牌泄露到任何攻击者控制的服务器。只要受害者打开 .accdb 或 .mdb 文件，就可以发起攻击。事实上，任何更常见的 Office 文件类型（例如 .rtf ）都可以起作用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，NTLM 是 Microsoft 于 1993 年推出的一种身份验证协议，它是一种质询-响应协议，用于在登录过程中对用户进行身份验证。多年来，人们发现它很容易受到暴力破解、哈希传递和中继攻击。

简而言之，最新的攻击滥用 Access 中的链接表功能，通过使用名为 Object 的机制在 MS Word 文档内嵌入带有远程 SQL Server 数据库链接的 .accdb 文件，将 NTLM 哈希值泄漏到攻击者控制的服务器。链接和嵌入 ( OLE )。

攻击者可以设置他们控制的服务器，监听端口 80，并将其 IP 地址放在上面的服务器别名字段中，然后他们可以将数据库文件（包括链接表）发送给受害者。

如果受害者打开文件并单击链接表，受害者客户端就会联系攻击者控制的服务器进行身份验证，从而使后者能够通过与同一组织中的目标 NTLM 服务器启动身份验证过程来发起中继攻击。

然后，恶意服务器接收质询，将其作为身份验证过程的一部分传递给受害者，并获得有效响应，最终将其传输到 NTLM 服务器。