Новый вектор принудительной аутентификации сливает NTLM-токены Windows
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Новый вектор принудительной аутентификации сливает NTLM-токены Windows

Екатерина Быстрова 28 Ноября 2023 - 17:31
...
Новый вектор принудительной аутентификации сливает NTLM-токены Windows

Специалисты Check Point выявили вектор «принудительной аутентификации», с помощью которого злоумышленники могут слить токены NT LAN Manager (NTLM) пользователя Windows.

Для эксплуатации описанного метода жертве достаточно отправить специально подготовленный файл в формате Microsoft Access. В сущности, используется легитимная функциональность в системе управления БД, позволяющая привязываться к внешним данным (например, удалённой таблице SQL).

«Атакующие могут задействовать эти возможности для автоматической привязки токенов NTLM пользователя к любому серверу, находящемуся под контролем киберпреступников. Для этого подойдёт любой TCP-порт (например, 80)», — пишут в отчёте эксперты Check Point.

«Атаку можно запустить, заставив целевого пользователя открыть файл .accdb или .mdb. Более того, может сработать и файл в формате Office — rtf».

Как отметили исследователи, функция связанных таблиц в Access способствует утечке хешей NTLM через файл .accdb с ссылкой на сторонний SQL-сервер. Для слива используется механизм Object Linking and Embedding (OLE).

В результате злоумышленники могут настроить сервер, слушающий порт 80, и поместить его IP-адрес в поле «server alias». Потом жертве отправляется файл БД со связанной таблицей.

Если пользователь попадётся на уловку, его клиент соединится с сервером атакующего, а последний сможет запустить процесс аутентификации с целевым NTLM-сервером в той же организации.

Вредоносной сервер получает запрос, передаёт его жертве, а затем принимает валидный ответ.

 

Напомним, в прошлом месяце Microsoft сообщила о планах отказаться от набора протоколов сетевой аутентификации NTLM (NT LAN Manager) в будущих релизах Windows 11.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Пользователи МАХ теперь могут сами подписывать документы онлайн
Екатерина Быстрова 07 Октября 2025 - 16:37
Домашние пользователи Системы аутентификацииСредства электронной подписи (ЭП)
Пользователи МАХ теперь могут сами подписывать документы онлайн

Теперь в мессенджере МАХ можно самостоятельно подписывать документы — например, договор купли-продажи или заявление в суд. Делается это через чат-бот «Госключ». Чтобы воспользоваться функцией, нужно обновить приложение до последней версии, иметь подтверждённую учётную запись на «Госуслугах» и сертификат электронной подписи.

Как это работает:

  • В поиске мессенджера нужно найти чат-бот «Госключ»;
  • При первом использовании — подтвердить профиль через «Госуслуги»;
  • Загрузить документы, которые нужно подписать;
  • Выбрать тип электронной подписи и подтвердить подписание.

Если «Госключ» ещё не установлен, МАХ предложит перейти в магазин приложений и скачать его. При первом запуске сервис поможет получить сертификаты электронной подписи.

После подписания документы в формате мобильной ЭП появятся прямо в чате бота.

Интеграция МАХ с «Госключом» была завершена 25 августа. Раньше пользователи могли подписывать документы только по инициативе компании — когда организация отправляла договор через мессенджер и подключала «Госключ» по ссылке. Теперь же можно самостоятельно загрузить и подписать любой документ, а потом отправить его собеседнику.

В прошлом месяце мы также писали, что MAX успешно подключили к Госуслугам через OpenID Connect. В случае с мессенджером MAX, авторизация через OpenID Connect реализована аппаратно — за поставку оборудования отвечает «Инфотекс Интернет Траст».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Новый инфостилер Shamos атакует пользователей macOS через поддельные фиксы
Новость
Новый инфостилер Shamos атакует пользователей macOS через по...
Операция Eastwood: отключены серверы NoName057(16), проведены аресты
Новость
Операция Eastwood: отключены серверы NoName057(16), проведен...
Библиотеку GMP уличили в порче топовых процессоров AMD
Новость
Библиотеку GMP уличили в порче топовых процессоров AMD

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.