Microsoft Access, un sistema di gestione di database relazionali di Microsoft, è sempre più preso di mira dagli hacker a causa di vulnerabilità che possono compromettere informazioni sensibili. I ricercatori di cybersecurity di Checkpoint hanno scoperto l’uso attivo di Microsoft Access per rubare i token NTLM degli utenti Windows.
NTLM, un protocollo di autenticazione di tipo challenge-response del 1993, è vulnerabile a vari attacchi come brute-force, pass-the-hash e attacchi di relay. Sebbene esistano mitigazioni contro gli attacchi NTLM, gli hacker hanno trovato un modo per eluderle usando le “Tabelle di Collegamento Access” di MS-Access, prendendo di mira direttamente gli utenti interni.
Le Tabelle di Collegamento Access in MS Access facilitano le connessioni a database esterni, come server SQL remoti. Questa funzionalità è attivata cliccando su ‘Database ODBC’ sotto ‘Dati Esterni’. Gli hacker possono configurare un server, di solito su una porta insolita come la 80, e inviare un file alla vittima. Se la vittima apre il file e clicca sulla tabella, viene eseguito un attacco relay NTLM utilizzando le credenziali Windows della vittima.
La sfida sta nel far aprire e cliccare la tabella alla vittima, ma le macro di MS-Access potrebbero automatizzare questo processo. Poiché la visualizzazione protetta non si applica alle semplici macro di MS-Access, gli utenti sono esposti a rischi. Microsoft Access funziona come un server di collegamento OLE su Windows, consentendo ad altre app di richiedere la gestione degli oggetti, aumentando ulteriormente il rischio.
Source: Cyber Security News
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.