Эксперты из Rhino Labs описали новую методику хищения учетной информации Windows с применением малоизвестного функционала в Microsoft Word – subDoc, который дает возможность загружать документ в тело другого документа. Кроме того, эта функция может быть использована для дистанционной загрузки файлов в основной документ, что дает возможность применять его в криминальных целях.
Новая методика основана на атаке типа Pass-the-hash, позволяющей хакеру пройти авторизацию на удаленном сервере, где аутентификация производится с помощью протокола NTLM или LM. Эта методика может быть использована на любом сервере и сервисе, который работает с протоколом аутентификации NTLM или LM, вне зависимости от операционной системы на компьютере жертвы. В системах, которые работают с протоколом аутентификации NTLM, пароли никогда не передаются в открытом виде.
Чтобы провести атаку, хакеры могут сформировать файл Word, который загружает поддокумент с вредоносного сервера, находящегося под контролем злоумышленников, а также провести перехват SMB-запросов и получить доступ к NTLM-хешу. Сейчас есть различные утилиты, которые позволяют взламывать хеш и извлекать учетную информацию. Имея в своем распоряжении эти данные, злоумышленники могут заполучить доступ к одному компьютеру или ко всей сети от имени самой жертвы. По словам экспертов, эта разновидность атаки является эффективной для фишинговых кампаний против таких объектов, как промышленные предприятия и государственные учреждения.
Как утверждают специалисты, в настоящее время описанная ими методика атаки пока не получила широкой известности, поэтому антивирусы не могут распознать ее. Эксперты опубликовали на GitHub утилиту SubDoc Injector, которая дает возможность создавать вредоносные файлы Word. С помощью этого инструмента системные администраторы и ИБ-специалисты проводить собственные тестирования.