PDF 文件可被用于盗取 Windows 凭证

CheckPoint 的研究人员近日发布报告称 PDF 文件可被恶意攻击者利用，在无需用户交互的情况下，只需打开文件就能窃取 Windows 凭证（NTLM 哈希）。PDF 的规范特征可以为GoToE 和 GoToR 远程加载内容。如果用户打开攻击者特制的 PDF 文档，就会自动向远程恶意 SMB 服务器发送请求。

  由于所有的 SMB 请求都会 包含 NTLM 哈希用于认证，因此远程 SMB 服务器的日志中会记录相关哈希值，使用工具即可破解并获取密码。 专家表示，几乎所有 PDF 阅读器都可能受到这种攻击。FoxIT 尚未对此作出回应，而 Adobe 则表示不计划修复调整。微软则发布了 ADV170014 修复建议，指导用户关闭 Windows 操作系统中的 NTLM SSO 认证。