Lỗ hổng Microsoft Access bị khai thác để đánh cắp token NTLM

Check Point Research đã phát hiện ra một lỗ hổng trong Microsoft Access, cho phép tự động rò rỉ token NTLM của người dùng Windows đến máy chủ của kẻ tấn công thông qua bất kỳ cổng TCP nào, bao gồm cả cổng 80.

Giao thức NTLM từ lâu đã được coi là lỗi thời do có nhiều lỗ hổng. Nhiều cuộc tấn công từng nhắm vào NTLM, bao gồm brute-force, Pass-the-Hash và NTLM Relay. Một lưu ý là, có thể giảm thiểu ảnh hưởng của cuộc tấn công bằng cách chặn lưu lượng đi qua cổng 139 và 445 mà NTLM sử dụng.

Tuy nhiên, lỗ hổng mới trong Microsoft Access mở ra một con đường để vượt qua các biện pháp an ninh đó. Bằng cách lạm dụng tính năng ‘Access Linked Tables’, kẻ tấn công có thể thiết lập máy chủ nghe trên cổng 80 và dụ nạn nhân mở tệp cơ sở dữ liệu độc hại. Ngay sau khi nạn nhân mở tệp và nhấp vào bảng được liên kết, quá trình xác thực sẽ bắt đầu, trong đó token NTLM có thể bị đánh cắp. Token NTLM bao gồm thông tin xác nhận rằng người dùng đã nhập thông tin xác thực hợp lệ (thường là tên người dùng và mật khẩu) mà không cần phải gửi mật khẩu qua mạng.

Để tránh khỏi cuộc tấn công này, người dùng nên cẩn trọng khi mở file đính kèm từ các nguồn không đáng tin cậy và cân nhắc việc tắt macro trong Microsoft Access hoặc xóa hoàn toàn chương trình này nếu không cần thiết.

Microsoft đã giải quyết lỗ hổng này trong phiên bản mới nhất của Office 2021 (Current Channel, phiên bản 2306, build 16529.20182) hồi tháng 7/2023.

Nguồn: Security Online