Adobe heeft voor de tweede keer deze maand een beveiligingsupdate uitgebracht voor een ernstig beveiligingslek in Acrobat Reader waardoor het mogelijk was om NTLMv2-wachtwoordhashes van gebruikers te achterhalen. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft-accounts. Het wordt onder andere door Active Directory-omgevingen ondersteund.
In het verleden zijn er vaker aanvallen waargenomen waarbij er Word- en pdf-documenten naar een doelwit werden verstuurd. Zodra het doelwit een dergelijk document opende werd de hash van zijn NTLM-wachtwoord naar de aanvallers teruggestuurd. Die konden vervolgens proberen om de wachtwoordhash te kraken en zo toegang tot het account te krijgen.
Adobe heeft de afgelopen jaren verschillende keren beveiligingslekken gepatcht waardoor het mogelijk was voor een aanvaller om de NTLM-hash te stelen. Onderzoeker Alex Inführ ontdekte onlangs dat dergelijke aanvallen tegen de pdf-lezer nog steeds mogelijk zijn. De onderzoeker maakte details van het beveiligingslek bekend voordat er een update van Adobe beschikbaar was. Op dinsdag 12 februari verscheen er een update van het softwarebedrijf om gebruikers te beschermen.
De oplossing van Adobe bleek niet adequaat en kon door een aanvaller worden omzeild, waardoor het nog steeds mogelijk was om via een kwaadaardig pdf-document wachtwoordhashes van slachtoffers te stelen. Daarom heeft Adobe weer een update uitgebracht. Informatielekken worden meestal niet als ernstig bestempeld. Aangezien het in dit geval mogelijk is om wachtwoordhashes te stelen spreekt Adobe nu wel van een ernstige kwetsbaarheid.
Gebruikers krijgen het advies om "snel" te updaten naar Acrobat DC of Acrobat Reader versie 2019.010.20098, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30127, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30482 voor Windows en macOS. Updaten kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Het softwarebedrijf zegt niet bekend te zijn met exploits die misbruik van de nu verholpen kwetsbaarheden maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.