Ekspert z firmy Check Point zaprezentował, w jaki sposób atakujący może użyć natywnej funkcji standardu PDF, by pozyskać hashe NTLM, używane w systemie Windows do przechowywania poświadczeń użytkownika. Pierwszym krokiem jest umieszczenie w dokumencie PDF kodu zawierającego instrukcje GoToR (Go To Remote) i GoToE (Go To Embedded), które umożliwiają pobieranie zdalnej zawartości. Następny etap to nakłonienie potencjalnej ofiary do otwarcia złośliwego pliku. Jeśli do tego dojdzie, specjalnie spreparowany dokument automatycznie połączy się z kontrolowanym przez przestępcę serwerem SMB, wykorzystując mechanizm pojedynczego logowania (ang. Single Sign-On, SSO). Domyślnie wszystkie żądania SMB zapisywane są w logach serwera, co umożliwia wykradanie hashy NTLM. Ich złamanie w obecnych czasach nie stanowi problemu. Według badaczy na atak podatne są wszystkie czytniki plików PDF dla systemu Windows. Żaden z producentów nie udostępnił aktualizacji. Problem można częściowo rozwiązać, stosując się do wskazówek zawartych w poradniku ADV170014, który Microsoft wydał w październiku 2017 r.
Ryzyko duże: Ataki z użyciem plików PDF cieszą się zainteresowaniem różnych grup przestępczych, należy więc oczekiwać upowszechnienia opisanej metody wykradania hashy NTLM, zwłaszcza że producenci podatnego oprogramowania nie śpieszą się z aktualizacjami.
Działania długoterminowe: Monitorowanie dostępności stosownych poprawek. Zastosowanie się do zaleceń z poradnika ADV170014, czyli wyłączenie uwierzytelniania za pomocą SSO po protokole NTLM poza siecią lokalną.
Źródło: https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/
