Een ongepatcht beveiligingslek in Adobe Acrobat Reader maakt het mogelijk voor een aanvaller om via een kwaadaardig pdf-document de NTLMv2-wachtwoordhash van het slachtoffer te achterhalen. In afwachting van een beveiligingsupdate kunnen gebruikers zich beschermen via de Protected View-optie.
De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund. In het verleden zijn er vaker aanvallen waargenomen waarbij er Word- en pdf-documenten naar een doelwit werden verstuurd. Zodra het doelwit een dergelijk document opende werd de hash van zijn NTLM-wachtwoord naar de aanvallers teruggestuurd. Die konden vervolgens proberen om de wachtwoordhash te kraken en zo toegang tot het account te krijgen.
In het verleden heeft Adobe verschillende keren beveiligingslekken gepatcht waardoor het mogelijk was voor een aanvaller om de NTLM-hash te stelen. Onderzoeker Alex Inführ ontdekte dat dergelijke aanvallen tegen de pdf-lezer nog steeds mogelijk zijn. Inführ ontwikkelde een proof-of-concept-exploit om de aanval te demonstreren. Op Twitter laat hij weten dat hij het probleem niet bij Adobe heeft gemeld. Wel stelt de onderzoeker dat gebruikers zich kunnen beschermen door het inschakelen van Protected View. Dit kan via Edit > Settings > Security (Advanced) > Protected View: Enable for all files.
Deze posting is gelocked. Reageren is niet meer mogelijk.