Check Point 公司的研究人员 Assaf Baharav 指出，恶意人员可滥用 PDF 文件，在无需任何用户交互的情况下窃取 Windows 凭证 （NTLM 哈希），且仅需打开一个文件即可。

Baharav 在本周公布的一篇研究论文中说明了恶意软件如何利用 PDF 标准文件中的功能窃取 NTLM 哈希。Windows 以NTLM 哈希格式存储用户凭证。

Baharav 指出，“PDF 标准允许为 GoToE & GoToR 条目加载远程内容。”

通过 PDF 和 SMB 窃取 Windows 凭证

Baharav 创建了一个将利用这两个 PDF 功能的 PDF 文档。当有人打开该文档时，这份 PDF 文档将自动向一个远程恶意 SMB 服务器提出请求。

按照设计，所有的 SMB 请求还包括用于认证的 NTLM 哈希。这个 NTLM 哈希将被记录在远程 SMB 服务器的日志中。但多个工具可破解这个哈希并恢复原始的密码。

其实这种攻击并不少见。过去恶意人员曾通过从 Office 文档、Outlook、浏览器、Windows 快捷文件、共享文件夹和其它 Windows 操作系统内部功能等中初始化 SMB 请求的方式执行这类攻击。

所有 PDF 阅读器均可能易受攻击

Baharav 指出，PDF 文件也具有危险性。他指出仅在 Adobe Acrobat 和福昕阅读器中实际测试了攻击效果。

Baharav 表示，其它 PDF 阅读器也很有可能易受攻击。研究员按照90天的披露政策将问题告知 Adobe 和福昕公司。福昕公司并未做出任何回应，而 Adobe 表示没有修改软件的计划，而会应用 Windows 操作系统级别的缓解措施，即于2017年10月发布的微软安全公告中的 ADV170014。

微软发布的 ADV170014 提供了关于用户如何禁用 Windows 操作系统上的 NTLM 单点登录认证的技术机制和指令，目的是希望组织经由通过向位于本地网络之外的服务器提出的 SMB 请求窃取 NTLM 哈希。

Baharav 表示，最佳实践是应用微软的可选安全增强措施。

原文：https://www.anquanke.com/post/id/106957