Siber güvenlik araştırmacıları, kurbanı özel hazırlanmış bir Microsoft Access dosyasını açması için kandırarak bir Windows kullanıcısının NT LAN Manager (NTLM) belirteçlerini sızdırmak için kullanılabilecek bir “zorla kimlik doğrulama” vakası keşfettiler.
Saldırı, veritabanı yönetim sistemi çözümündeki, kullanıcıların uzak SQL Server tablosu gibi harici veri kaynaklarına bağlanmasını sağlayan meşru bir özellikten yararlanıyor.
Check Point güvenlik araştırmacısı Haifei Li, “Bu özellik, saldırganlar tarafından, Windows kullanıcısının NTLM belirteçlerini, 80 numaralı bağlantı noktası gibi herhangi bir TCP bağlantı noktası üzerinden saldırgan tarafından kontrol edilen herhangi bir sunucuya otomatik olarak sızdırmak için kötüye kullanılabilir” dedi. “Kurban bir .accdb veya .mdb dosyasını açtığı sürece saldırı başlatılabilir. Aslında daha yaygın herhangi bir Office dosya türü (.rtf gibi) da işe yarayabilir.”
Microsoft tarafından 1993 yılında tanıtılan bir kimlik doğrulama protokolü olan NTLM, oturum açma sırasında kullanıcıların kimliğini doğrulamak için kullanılan bir sorgulama-yanıt protokolüdür. Yıllar geçtikçe kaba kuvvet, karma geçiş ve geçiş saldırılarına karşı savunmasız olduğu tespit edildi.
Özetle, en son saldırı, Access’teki bağlantılı tablo özelliğini kötüye kullanarak, Object adı verilen bir mekanizmayı kullanarak MS Word belgesinin içine uzak bir SQL Server veritabanı bağlantısına sahip bir .accdb dosyası yerleştirerek NTLM karmalarını aktör kontrollü bir sunucuya sızdırıyor. Bağlama ve Katıştırma (OLE).
Li, “Bir saldırgan, 80 numaralı bağlantı noktasını dinleyerek kontrol ettiği bir sunucu kurabilir ve IP adresini yukarıdaki ‘sunucu takma adı’ alanına koyabilir” dedi. “Daha sonra bağlantılı tablo da dahil olmak üzere veritabanı dosyasını kurbana gönderebilirler.”
Mağdurun dosyayı açması ve bağlantılı tabloya tıklaması durumunda, kurban istemcisi kimlik doğrulama için saldırganın kontrol ettiği sunucuyla iletişime geçer ve saldırganın aynı kuruluştaki hedeflenen bir NTLM sunucusuyla bir kimlik doğrulama süreci başlatarak aktarma saldırısı gerçekleştirmesine olanak tanır.
Hileli sunucu daha sonra sorgulamayı alır, bunu kurbana iletir ve geçerli bir yanıt alır; bu yanıt, sonuçta saldırgan tarafından kontrol edilen CV↔ SA kimlik doğrulama sürecinin bir parçası olarak CV’yi sorgulayan gönderene iletilir, geçerli bir yanıt alır ve geçer. NTLM sunucusuna verilen yanıt.
Microsoft, Ocak 2023’teki sorumlu açıklamanın ardından Office/Access sürümündeki (Mevcut Kanal, sürüm 2306, derleme 16529.20182) soruna yönelik azaltıcı önlemler yayınlamış olsa da 0patch, Office 2010, Office 2013, Office 2016, Office 2019 için resmi olmayan düzeltmeler yayımladı. ve Office 365.
Bu gelişme aynı zamanda Microsoft’un, gelişmiş güvenlik için Windows 11’de NTLM’yi Kerberos lehine sonlandırmayı planladığını duyurmasıyla da ortaya çıktı.