Funcția Microsoft Access exploatată pentru a obține token-uri NTLM

Microsoft Access este un sistem de gestionare a bazelor de date relaționale dezvoltat de Microsoft care permite utilizatorilor să stocheze și să gestioneze date.

Sunt vizate vulnerabilitățile din Access deoarece pot fi exploatate pentru a obține acces neautorizat la bazele de date, reușind compromiterea informațiilor sensibile.

NTLM 1993 al Microsoft este un protocol de autentificare învechit, de tip challenge-response, iar utilizatorii obțin răspunsurile dintr-un hash NTLM stocat, ceea ce reprezintă o problemă de securitate.

Atacurile împotriva NTLM mai cunoscute sunt:

• Atacuri de tip brute-force;
• Atacuri de tip pass-the-hash;
• Atacuri de tip relay.

Măsuri de limitare a atacurilor NTLM au existat în protocoale precum Kerberos înainte de introducerea NTLM.

Blocarea traficului de ieșire pe porturile NTLM (139 și 445) este o soluție provizorie, dar o nouă metodă care utilizează MS-Access Access Link Tables poate ocoli această măsură de securitate, vizând direct utilizatorii interni.

Tabelele de legătură din MS Access permit conexiuni eficiente la baze de date externe, cum ar fi serverele SQL remote.

Microsoft Access este un server de conectare OLE pe Windows, care permite altor aplicații să solicite gestionarea obiectelor. Funcționează ca și cum ai încorpora o imagine în MS Word, iar Paint o procesează pentru afișare.

În mod similar, un fișier .accdb din MS Word acționează ca un obiect OLE care poate fi descărcat automat, gestionat de MS Access prin portul 80/tcp.

Sunt recomandate următoarele măsuri de remediere:

• Utilizarea unui firewall de tip content-aware – incluzând inspecția pachetelor pentru o securitate sporită;
• Dezactivarea macrourilor MS-Access sau dezinstalarea acestora dacă nu sunt necesare suitei Office;
• Evitarea deschiderii atașamentelor primite din surse necunoscute;
• Utilizarea unei soluții de securitate eficientă.

Sursă: https://cybersecuritynews.com/hackers-abuse-microsoft-access/