При відкритті файлу автоматично відправляється запит на віддалений SMB-сервер
У стандарті PDF була виявлена уразливість, що дозволяє викрасти облікові дані Windows. Такими даними поділився фахівець з кібербезпеки компанії Check Point Ассаф Бахарав.
Незахищеність PDF дає можливість отримати хеші NTLM (протоколу аутентифікації), які зберігають дані для доступу до комп’ютера.
Для дослідження фахівець створив PDF-документ, в якому потенційно можуть використовуватися функції Go To Remote і Go To Embedded (віддалений доступ і зовнішні вставки).
Алгоритми влаштовані таким чином, що при відкритті файлу документ самостійно відправляє запит на віддалений SMB-сервер. Всі запити мережевого протоколу включають аутентифікацію за допомогою хешів NTLM: облікові дані користувача буде збережено. Хакеру лише залишається прописати шлях до шкідливого сервера.
Нагадаємо, ініціювання запитів SMB з документів, створених через програми в системі Windows, часто стає способом організації кібератаки.
Так, на початку 2018 року стало відомо про дії хакерів, заснованих на розсилці спам-листів зі спеціально створеним файлом Word, який при завантаженні самостійно встановлював шкідливе програмне забезпечення і пересилав паролі на віддалений сервер.
