Los investigadores de ciberseguridad han descubierto un caso de «autenticación forzada» que podría explotarse para filtrar los tokens NT LAN Manager (NTLM) de un usuario de Windows engañando a una víctima para que abra un archivo de Microsoft Access especialmente diseñado.
El ataque aprovecha una característica legítima de la solución del sistema de administración de bases de datos que permite a los usuarios vincularse a orígenes de datos externos, como una tabla remota de SQL Server.
«Los atacantes pueden abusar de esta característica para filtrar automáticamente los tokens NTLM del usuario de Windows a cualquier servidor controlado por el atacante, a través de cualquier puerto TCP, como el puerto 80», dijo el investigador de seguridad de Check Point, Haifei Li. «El ataque puede lanzarse siempre que la víctima abra un archivo .accdb o .mdb. De hecho, cualquier tipo de archivo de Office más común (como un .rtf) también puede funcionar».
NTLM, un protocolo de autenticación introducido por Microsoft en 1993, es un protocolo de desafío-respuesta que se usa para autenticar a los usuarios durante el inicio de sesión. A lo largo de los años, se ha descubierto que es vulnerable a los ataques de fuerza bruta, pass-the-hash y relay.
El último ataque, en pocas palabras, abusa de la característica de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por actores incrustando un archivo .accdb con un vínculo de base de datos SQL Server remoto dentro de un documento de MS Word utilizando un mecanismo llamado Object Linking and Embedding (OLE).
«Un atacante puede configurar un servidor que controle, escuchando en el puerto 80, y poner su dirección IP en el campo anterior de ‘alias de servidor'», explicó Li. «Luego pueden enviar el archivo de la base de datos, incluida la tabla vinculada, a la víctima».
Si la víctima abre el archivo y hace clic en la tabla vinculada, el cliente víctima se pone en contacto con el servidor controlado por el atacante para la autenticación, lo que permite a este último llevar a cabo un ataque de retransmisión iniciando un proceso de autenticación con un servidor NTLM de destino en la misma organización.
A continuación, el servidor no autorizado recibe el desafío, se lo pasa a la víctima como parte del proceso de autenticación y obtiene una respuesta válida, que finalmente se transmite al servidor NTLM.
Si bien Microsoft ha publicado mitigaciones para el problema en la versión de Office/Access (Canal actual, versión 2306, compilación 16529.20182) luego de la divulgación responsable en enero de 2023, 0patch ha lanzado correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.
El desarrollo también se produce cuando Microsoft anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad.
Fuente y redacción: thehackernews.com
