Windows NT LAN Manager Tokens可能面临新攻击

关键要点

攻击者可利用自定义的Microsoft Access文件，通过强制身份验证来窃取Windows NT LAN Manager (NTLM) 令牌。该攻击利用Access的链接表功能，可以将指向远程SQL Server数据库链接的accdb文件嵌入到Microsoft Word文档中。一旦用户打开文件并点击链接表，就会触发身份验证过程，信息会发送到NTLM服务器。攻击可利用任意TCP端口，攻击者控制的服务器可随时接收NTLM令牌。

根据The Hacker News的报道，威胁行为者可以通过强制身份验证攻击手段，将Windows NT LAN Manager (NTLM)令牌暴露出来。最近来自Check Point的报告显示，攻击者可以利用Access的链接表功能，将包含远程SQL Server数据库链接的accdb文件添加到Microsoft Word文档中。当用户打开该文件并点击链接表时，身份验证过程将被触发，并将有效的响应传送至NTLM服务器。

研究员Haifei Li指出：攻击者可以滥用此功能，自动泄露Windows用户的NTLM令牌到任何攻击者控制的服务器，通过任何TCP端口，例如80端口。只要受害者打开accdb或mdb文件，就可以发起攻击。实际上，任何更常见的Office文件类型如rtf也可以起作用。

这种攻击方式的出现，是在微软宣布将在Windows 11中用Kerberos取代NTLM，以增强安全性后，带来的新一波安全威胁。以下是一些相关的列举，帮助您更好理解这个攻击方式的影响：

攻击方式细节文件类型accdb mdb rtf 等攻击触发机制打开包含链接表的Word文档，点击链接NTLM令牌流向可发送至攻击者控制的服务器，利用任意TCP端口

这样的安全隐患提醒我们，保持警惕，定期更新和评估我们的网络安全措施是多么重要。

蓝灯加速器安全性