利用数据库管理系统合法功能,窃取Windows用户NTLM令牌

黑客可以利用“强制身份验证”来窃取Windows NTLM令牌

网络安全研究人员发现了一个“强制身份验证”攻击案例,可通过诱骗受害者打开特制的 Microsoft Access 文件来泄露 Windows 用户的 NT LAN Manager (NTLM) 令牌。

该攻击利用了数据库管理系统解决方案中的合法功能,该功能允许用户链接到外部数据源,例如远程 SQLServer 表。

攻击者可以滥用此功能,通过任何 TCP 端口(例如端口 80)自动将 Windows 用户的 NTLM 令牌泄露到任何攻击者控制的服务器。只要受害者打开 .accdb 或 .mdb 文件,就可以发起攻击。事实上,任何更常见的 Office 文件类型(例如 .rtf )都可以起作用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,NTLM 是 Microsoft 于 1993 年推出的一种身份验证协议,它是一种质询-响应协议,用于在登录过程中对用户进行身份验证。多年来,人们发现它很容易受到暴力破解、哈希传递和中继攻击。

简而言之,最新的攻击滥用 Access 中的链接表功能,通过使用名为 Object 的机制在 MS Word 文档内嵌入带有远程 SQL Server 数据库链接的 .accdb 文件,将 NTLM 哈希值泄漏到攻击者控制的服务器。链接和嵌入 ( OLE )。

黑客可以利用“强制身份验证”来窃取Windows NTLM令牌

攻击者可以设置他们控制的服务器,监听端口 80,并将其 IP 地址放在上面的服务器别名字段中,然后他们可以将数据库文件(包括链接表)发送给受害者。

如果受害者打开文件并单击链接表,受害者客户端就会联系攻击者控制的服务器进行身份验证,从而使后者能够通过与同一组织中的目标 NTLM 服务器启动身份验证过程来发起中继攻击。

然后,恶意服务器接收质询,将其作为身份验证过程的一部分传递给受害者,并获得有效响应,最终将其传输到 NTLM 服务器。

 

利用数据库管理系统合法功能,窃取Windows用户NTLM令牌

极牛网精选文章《利用数据库管理系统合法功能,窃取Windows用户NTLM令牌》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/26621.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
威胁感知的头像威胁感知认证作者
上一篇 2023年11月28日 上午11:00
下一篇 2023年12月6日 上午11:00

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部