امکان سرقت گذرواژه‌ها از طریق بهره‌برداری از یک آسیب‌پذیری در قابلیت subDoc مایکروسافت ورد

به گفته ی آزمایشگاه امنیتی Rhino، یک قابلیت در مایکروسافت ورد که اجازه‌ می‌دهد یک زیر سند در یک سند اصلی بارگذاری شود، می‌تواند توسط مهاحمان برای سرقت اطلاعات احراز هویت کاربران مورد سوء استفاده قرار بگیرد.

 

این قابلیت که subDoc نام دارد برای بارگذاری یک سند در بدنه‌ی یک سند دیگر طراحی شده است، بنابراین اطلاعات را از یک سند به سند دیگری منتقل می‌کند، و همچنین اجازه می‌دهد که این اطلاعات نمایش داده شده و ویرایش شوند.

 

بنابه گفته‌ی آزمایشگاه Rhino، این قابلیت همچنین می‌تواند برای بارگذاری پرونده‌های subDoc راه دور که در اینترنت قرار دارند در سند میزبان، مورد استفاده قرار بگیرد، بنابراین در شرایط خاص این امکان به وجود می‌آید که مهاجمان بتوانند اقدامات مخربی انجام دهند.

 

پژوهش‌گران Rhino توضیح می‌دهند: «این قابلیت مشابه قابلیتattachedTemplate  (قابلیت دیگر آفیس که می‌تواند برای اهداف مخرب مورد سوء استفاده قرار بگیرد) است. این روش امکان ایجاد استاد مخربی را فراهم می‌کند که وقتی قربانی مورد نظر آن‌ها باز کرد، یک تایید اعتبار سریع در ویندوز باز می‌شود، بنابراین مهاجمان می‌توانند از راه دور اطلاعات احراز هویت کاربران را به سرقت ببرند.»

 

هکتور مونسگور از آزمایشگاه امنیتی Rhino توضیح می‌دهد: «ما پس از آزمایش در محیط جعبه‌ی شنی خود متوجه شدیم که سوء استفاده از روش subDoc به ما اجازه می‌دهد تا همان کارهایی را انجام دهیم که با روش attachedTemplate نیز امکان‌پذیر بودند.»

 

این پژوهش‌گر همچنین اظهار کرد که برخی از سازمان‌ها درخواست‌های SMB خروجی را از شبکه خارج نمی‌کنند، این بدان معنی است که آن‌ها درهم‌سازیNTLMv2  (پروتکل نشست) را در درخواست‌های SMB اولیه افشاء می‌کنند.

 

پژوهش‌گران Rhino برای بهره‌برداری از این قابلیت یک سند ایجاد کردند که یک منبع خارجی subDoc را با استفاده از یک مسیر UNC (وسیله‌ای برای اتصال به کارگزارهای و ایستگاه‌های کاری بدون مشخص کردن یک راه‌انداز) باز می‌کند که به مقصدی که تحت کنترل آن‌هاست، اشاره می‌کند.

 

این کار به آن‌ها اجازه داد تا پاسخ‌دهنده (Responder)‌ را برای گوش دادن به درخواست‌های SMB ورودی و جمع‌آوری درهم‌سازی‌های NTLMv2، بارگذاری کنند. پاسخ‌دهنده یک کد مخرب LLMNR، NBT-NS و MDNS است که برای پاسخ به درخواست سرویس کارگزار پرونده که برای SMB است و به طور مخفیانه در شبکه باقی می‌ماند، طراحی شده است.

 

مونسگور توضیح می‌دهد: «فرآیند حمله به این شکل است که هنگام اجرای کارگزار پاسخ‌دهنده در کارگزار دستور و کنترل، یک سند آسیب‌دیده به چندین هدف ارسال می‌شود. پس از این‌که قربانیان این سند را باز کردند، ما درهم‌سازی‌های مربوطه را بررسی می‌کنیم، آن‌ها را رمزگشایی می‌کنیم و از گواهی‌نامه‌هایی را به تازگی به دست آورده‌ایم برای انجام اهداف خود در شبکه‌ی هدف استفاده می‌کنیم.»

 

وقتی که سند باز می‌شود، قابلیت subDoc به طور خودکار تلاش می‌کند تا به جای سند یک پیوند را بارگذاری کرده و در اختیار کاربر قرار دهد. این پژوهش گر می‌گوید، تعامل کاربر با این پیوند برای اجرای بار داده‌ی مخرب ضروری نیست. این پیوند همچنین می‌تواند از کاربر پنهان شود، به طوری که او نتواند این محتوای مخرب را شناسایی کند.

 

این پژوهش‌گر خاطرنشان کرد: «این حمله توسط محصولات ضدبدافزارهای شرکت‌های محبوب شناسایی نمی‌شود، عمدتا به این دلیل که قابلیت subDoc به طور عمومی به عنوان یک بردار حمله برای اقدامات مخرب شناخته نشده است.»

 

این پژوهش‌گر امنیتی همچنین ابزار متن‌بازی را منتشر کرده است که برای ایجاد یک پرونده‌ی Word subDoc برای یک URL تعریف‌شده توسط کاربر طراحی شده است و همچنین این پرونده را با یک سند ورد مشخص شده توسط کاربر ادغام می‌کند؛ این ابزار Subdoc Injector نام دارد و از طریق گیت‌هاب قابل دسترسی است.

 

مونسگور اظهار کرد: «آفیس دارای تعداد زیادی قابلیت است که هنوز مورد بررسی قرار نگرفته‌اند. با انجام تحقیقات بیشتری درباره ی این قابلیت‌ها، احتمالا آسیب‌پذیری‌های بیشتری نیز کشف خواهند شد و این مسأله باعث ایجاد شرایطی می‌شود که شرایط برای حفاظت از سامانه‌ها مشکل‌تر می‌شود.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید