В стандарте PDF была обнаружена уязвимость, позволяющая выкрасть учетные данные Windows.
Такими данными поделился специалист по кибербезопасности компании Check Point Ассаф Бахарав, передает СобКор.
Незащищенность PDF дает возможность получить хеши NTLM (протокола аутентификации), которые хранят данные для доступа к компьютеру.
Для исследования специалист создал PDF-документ, в котором потенциально могут использоваться функции Go To Remote и Go To Embedded (удаленный доступ и внешние вставки).
Алгоритмы устроены таким образом, что при открытии файла документ самостоятельно отправляет запрос на удаленный SMB-сервер. Все запросы сетевого протокола включают аутентификацию с помощью хешей NTLM: учетные данные пользователя будут сохранены. Хакеру лишь остается прописать путь до вредоносного сервера.
Напомним, инициирование запросов SMB из документов, созданных через программы в системе Windows, часто становится способом организации кибератаки.
Так, в начале 2018 года стало известно о действиях хакеров, основанных на рассылке спам-писем со специально созданным файлом Word, который при загрузке самостоятельно устанавливал вредное программное обеспечение и пересылал пароли на удаленный сервер.
Новости по теме: В Сети появилась одна из самых вредоносных ZIP-бомб под названием 42.zip.