Windows NTLM 令牌通过强制认证漏洞进行外泄的可能性 媒体
Windows NT LAN Manager Tokens可能面临新攻击
关键要点
攻击者可利用自定义的Microsoft Access文件,通过强制身份验证来窃取Windows NT LAN Manager (NTLM) 令牌。该攻击利用Access的链接表功能,可以将指向远程SQL Server数据库链接的accdb文件嵌入到Microsoft Word文档中。一旦用户打开文件并点击链接表,就会触发身份验证过程,信息会发送到NTLM服务器。攻击可利用任意TCP端口,攻击者控制的服务器可随时接收NTLM令牌。根据The Hacker News的报道,威胁行为者可以通过强制身份验证攻击手段,将Windows NT LAN Manager (NTLM)令牌暴露出来。最近来自Check Point的报告显示,攻击者可以利用Access的链接表功能,将包含远程SQL Server数据库链接的accdb文件添加到Microsoft Word文档中。当用户打开该文件并点击链接表时,身份验证过程将被触发,并将有效的响应传送至NTLM服务器。
研究员Haifei Li指出:攻击者可以滥用此功能,自动泄露Windows用户的NTLM令牌到任何攻击者控制的服务器,通过任何TCP端口,例如80端口。只要受害者打开accdb或mdb文件,就可以发起攻击。实际上,任何更常见的Office文件类型如rtf也可以起作用。
小火箭流量购买
这种攻击方式的出现,是在微软宣布将在Windows 11中用Kerberos取代NTLM,以增强安全性后,带来的新一波安全威胁。以下是一些相关的列举,帮助您更好理解这个攻击方式的影响:
攻击方式细节文件类型accdb mdb rtf 等攻击触发机制打开包含链接表的Word文档,点击链接NTLM令牌流向可发送至攻击者控制的服务器,利用任意TCP端口这样的安全隐患提醒我们,保持警惕,定期更新和评估我们的网络安全措施是多么重要。
中东组织遭受亲胡塞武装的网络攻击 媒体
2025-08-18 15:02:32
中东组织正遭受贺主义者的网路攻击重要要点中东多个组织受到贺主义者支持的威胁行为者的网路攻击。自2019年以来,使用GuardZoo监控工具进行文档和照片的窃取。对于多个国家的军事机构,约450个IP地址遭到侵害。威胁行为者主要利用WhatsApp和浏览器下载散布GuardZoo间谍软体。也有针对也门...
ShadowPad,CobaltStrike 在 APT41 攻击中被部署 媒体
中国APT41骇客组织的网络攻击主要要点中国国家赞助的APT41组织利用ShadowPad和Cobalt Strike攻击台湾政府相关的研究机构,盗取资料。APT41利用Web Shell和旧版Microsoft Office IME程式码保持持久性。该组织利用PowerShell脚本和Mimika...