Investigadores de ciberseguridad han descubierto un caso de “autenticación forzada” que podría explotarse para filtrar los tokens NT LAN Manager (NTLM) de un usuario de Windows engañando a la víctima para que abra un archivo Microsoft Access especialmente diseñado.
El ataque aprovecha una característica legítima de la solución del sistema de gestión de bases de datos que permite a los usuarios enlace a fuentes de datos externascomo una tabla remota de SQL Server.
“Los atacantes pueden abusar de esta característica para filtrar automáticamente los tokens NTLM del usuario de Windows a cualquier servidor controlado por el atacante, a través de cualquier puerto TCP, como el puerto 80”, dijo el investigador de seguridad de Check Point, Haifei Li. dicho. “El ataque puede iniciarse siempre que la víctima abra un archivo .accdb o .mdb. De hecho, cualquier tipo de archivo de Office más común (como un .rtf) también puede funcionar”.
NTLM, un protocolo de autenticación introducido por Microsoft en 1993, es un protocolo de desafío-respuesta que se utiliza para autenticar a los usuarios durante el inicio de sesión. A lo largo de los años, se ha descubierto que es vulnerable a ataques de fuerza bruta, pase de hash y retransmisión.
El último ataque, en pocas palabras, abusa de la función de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por un actor al incrustar un archivo .accdb con un vínculo remoto de base de datos de SQL Server dentro de un documento de MS Word utilizando un mecanismo llamado Objeto. Vinculación e incrustación (VIEJO).
“Un atacante puede configurar un servidor que controle, escuchando en el puerto 80, y poner su dirección IP en el campo ‘alias de servidor’ de arriba”, explicó Li. “Luego pueden enviar el archivo de la base de datos, incluida la tabla vinculada, a la víctima”.
Si la víctima abre el archivo y hace clic en la tabla vinculada, el cliente víctima se pone en contacto con el servidor controlado por el atacante para autenticarse, lo que le permite a este último realizar un ataque de retransmisión iniciando un proceso de autenticación con un servidor NTLM objetivo en la misma organización.
Luego, el servidor fraudulento recibe el desafío, lo pasa a la víctima como parte del proceso de autenticación y obtiene una respuesta válida, que finalmente se transmite al servidor NTLM.
Si bien desde entonces Microsoft ha publicado mitigaciones para el problema en la versión de Office/Access (Canal actual, versión 2306, compilación 16529.20182) luego de la divulgación responsable en enero de 2023, 0patch ha liberado Correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.
El desarrollo también se produce cuando Microsoft anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad.