Новый вектор принудительной аутентификации сливает NTLM-токены Windows

Новый вектор принудительной аутентификации сливает NTLM-токены Windows

Новый вектор принудительной аутентификации сливает NTLM-токены Windows

Специалисты Check Point выявили вектор «принудительной аутентификации», с помощью которого злоумышленники могут слить токены NT LAN Manager (NTLM) пользователя Windows.

Для эксплуатации описанного метода жертве достаточно отправить специально подготовленный файл в формате Microsoft Access. В сущности, используется легитимная функциональность в системе управления БД, позволяющая привязываться к внешним данным (например, удалённой таблице SQL).

«Атакующие могут задействовать эти возможности для автоматической привязки токенов NTLM пользователя к любому серверу, находящемуся под контролем киберпреступников. Для этого подойдёт любой TCP-порт (например, 80)», — пишут в отчёте эксперты Check Point.

«Атаку можно запустить, заставив целевого пользователя открыть файл .accdb или .mdb. Более того, может сработать и файл в формате Office — rtf».

Как отметили исследователи, функция связанных таблиц в Access способствует утечке хешей NTLM через файл .accdb с ссылкой на сторонний SQL-сервер. Для слива используется механизм Object Linking and Embedding (OLE).

В результате злоумышленники могут настроить сервер, слушающий порт 80, и поместить его IP-адрес в поле «server alias». Потом жертве отправляется файл БД со связанной таблицей.

Если пользователь попадётся на уловку, его клиент соединится с сервером атакующего, а последний сможет запустить процесс аутентификации с целевым NTLM-сервером в той же организации.

Вредоносной сервер получает запрос, передаёт его жертве, а затем принимает валидный ответ.

 

Напомним, в прошлом месяце Microsoft сообщила о планах отказаться от набора протоколов сетевой аутентификации NTLM (NT LAN Manager) в будущих релизах Windows 11.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

УБК МВД предупредило о новой схеме мошенников через фейковый вызов такси

Управление по организации борьбы с противоправным использованием инфокоммуникационных технологий МВД России (УБК МВД) предупредило о новой мошеннической схеме, нацеленной на кражу средств с банковских карт.

Для реализации атаки злоумышленники используют взломанные аккаунты водителей такси.

Подробности схемы опубликовал официальный телеграм-канал профильного подразделения МВД — «Вестник киберполиции России».

Механизм преступления включает несколько этапов:

  • Мошенники получают доступ к аккаунту водителя такси или курьерской службы;
  • Выбирают пользователя, оформившего заказ, и перехватывают код авторизации для получения доступа к его аккаунту;
  • Создают фиктивные заказы от имени жертвы;
  • Списывают деньги с привязанной к аккаунту банковской карты. Средства при этом поступают напрямую преступникам, минуя агрегатора.

По данным УБК МВД, подобные случаи пока редки и фиксируются в основном в регионах. Так, в январе 2025 года несколько эпизодов были зарегистрированы в Алтайском крае и Курганской области, а в мае — в Приморском крае.

Ранее, в январе 2025 года, был вынесен приговор двум жителям Саратова, оформившим около 3,5 тыс. фиктивных заказов такси, в результате чего агрегатор понёс убытки на сумму свыше 4,8 млн рублей.

Однако защите удалось добиться переквалификации обвинения, и вместо четырёх лет лишения свободы, запрошенных следствием, фигурантам был назначен относительно мягкий приговор. С учётом проведённого под домашним арестом времени срок уже был ими полностью отбыт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru