PDF 파일들, 윈도우 크리덴셜을 훔치는데 악용될 수 있어

PDF Files Can Be Abused to Steal Windows Credentials

악성 공격자들이 윈도우 크리덴셜(NTLM 해시)를 훔치는데 무기화 된 PDF파일들이 악용될 수 있는 것으로 나타났습니다. 

이 방식은 파일을 오픈하기만 하면 되고, 어떠한 사용자와의 상호작용도 필요하지 않습니다.

연구원들은 악성 공격자가 PDF 표준에서 발견 된 이 기능을 윈도우가 사용자 크리덴셜을 저장하는 NTLM 해시를 훔치는 방법을 보여주는 연구를 발표했습니다.

연구원들은 “이로 인해 GoToE & GoToR 엔트리를 위한 원격 컨텐츠 로딩도 허용하게 됩니다.”라고 밝혔습니다.

PDF와 SMB를 통해 윈도우 크리덴셜 훔쳐

이 취약점을 발견한 Baharav는 연구를 위해 두 가지 PDF 기능을 활용하는 PDF 문서를 생성했습니다.

누군가 이 파일을 열면, 이는 자동으로 원격 악성 SMB 서버로 요청을 보낼 것입니다.

모든 SMB 요청은 인증 목적으로 NTLM해시를 포함하도록 설계 되어 있습니다. 이 NTLM 해시는 원격 SMB 서버의 로그에 기록 될 것입니다. 이 해시를 해킹해 오리지널 패스워드를 복구해낼 수 있는 툴이 있습니다.

이런 방식의 공격은 전혀 새로운 것이 아니며, 과거에는 오피스 문서, 아웃룩, 브라우저, 윈도우 바로가기 파일, 공유 폴더, 기타 윈도우 OS의 내부 기능에서 SMB 요청을 시작하는 방식으로 실행 되었습니다.

모든 PDF 리더들이 취약한 것으로 보여

해당 연구원은 이 공격을 Adobe Acrobat과 FoxIT 리더로 테스트했다고 밝혔습니다.

Baharav는 “우리는 인기있는 PDF 리더 두 개를 테스트하기로 결정했습니다. 다른 리더들도 마찬가지로 취약할 것이라 추측됩니다. 우리는 Adobe와 Foxit에 이 문제에 대해 알려 90일 공개 정책을 따랐습니다.”라고 밝혔습니다.

FoxIT는 아직까지 답변이 없었으며, Adobe는 윈도우 OS 레벨의 완화법에 따라 소프트웨어를 수정하지 않을 예정이라 밝혔습니다. Adobe의 엔지니어들은 2017년 10월 공개 된 마이크로소프트 보안 공지 ADV170014에 대해 언급했습니다.

마이크로소프트는 로컬 네트워크 밖에 위치한 서버에 보내지는 SMB 요청을 통한 NTLM 해시 도용을 막기 위해 사용자들이 윈도우 OS에서 NTLM SSO 인증을 비활성화 할 수 있는 기술적 메커니즘 및 지침을 전달하기 위해 ADV170014를 발표했습니다.

Baharav는 “가장 좋은 방법은, 마이크로소프트의 보안 강화 옵션을 따르는 것입니다.”고 밝혔습니다.

출처 :

https://www.bleepingcomputer.com/news/security/pdf-files-can-be-abused-to-steal-windows-credentials/

https://research.checkpoint.com/ntlm-credentials-theft-via-pdf-files/