Microsoft Access, hệ thống quản lý cơ sở dữ liệu quan hệ của Microsoft, ngày càng trở thành mục tiêu của các hacker do những lỗ hổng có thể làm lộ thông tin nhạy cảm. Các nhà nghiên cứu an ninh mạng tại Checkpoint đã phát hiện ra việc khai thác Microsoft Access để đánh cắp token NTLM của người dùng Windows.
NTLM, một giao thức xác thực theo phương thức thách đố – phản hồi từ năm 1993, dễ bị tấn công theo nhiều cách như brute-force, pass-the-hash, và tấn công relay. Mặc dù có các biện pháp giảm thiểu tấn công NTLM, các hacker đã tìm ra cách vượt qua những biện pháp này bằng cách sử dụng “Bảng Liên Kết Access” của MS-Access, nhắm trực tiếp vào người dùng nội bộ.
Bảng Liên Kết Access trong MS Access giúp thiết lập kết nối tới cơ sở dữ liệu bên ngoài, như máy chủ SQL từ xa. Tính năng này được kích hoạt bằng cách nhấp vào ‘Cơ Sở Dữ Liệu ODBC’ dưới mục ‘Dữ Liệu Bên Ngoài’. Các hacker có thể thiết lập một máy chủ, thường trên một cổng không phổ biến như cổng 80, và gửi một tệp tin cho nạn nhân. Nếu nạn nhân mở tệp và nhấp vào bảng, một cuộc tấn công relay NTLM sẽ được thực hiện sử dụng thông tin đăng nhập Windows của nạn nhân.
Thách thức nằm ở việc khiến nạn nhân mở và nhấp vào bảng, nhưng các macro MS-Access có thể tự động hóa quá trình này. Vì chế độ xem bảo vệ không áp dụng cho các macro đơn giản của MS-Access, người dùng phải đối mặt với rủi ro. Microsoft Access hoạt động như một máy chủ liên kết OLE trên Windows, cho phép các ứng dụng khác yêu cầu xử lý đối tượng, từ đó tăng thêm rủi ro.
Source: Cyber Security News
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.