MDB文件怎么打开

过渡时期的方法被错误使用：攻击者利用Microsoft Access的“链表”功能实施NTLM强制身份验证攻击

微软在10月宣布了新的过渡计划，旨在淘汰NTLM身份验证方式，推动企业用户向Kerberos过渡。

Microsoft Access（作为Office套件的一部分）拥有一个名为“链接到远程SQL Server表”的功能。攻击者可能滥用此功能，通过任意TCP端口（如端口80）使Windows用户的NTLM令牌给攻击者控制的任何服务器。只要打开.accdb或.mdb文件，攻击即可发起。实际上，更常见的Office文件类型（如.rtf）也可以采用类似方式运行。这种技术允许攻击者绕过现有的防火墙规则，这些规则旨在阻止由外部攻击发起的NTLM信息窃取。

那么，什么是NTLM？它遭受的常见攻击有哪些？

NTLM是NT LAN Manager的缩写，是Windows NT早期版本的标准安全协议。它是一种身份验证协议，由Microsoft在1993年引入，现在已被视为陈旧并逐渐被淘汰。微软在今年10月的声明中宣布弃用NTLM身份认证，推广更安全的Kerberos协议。Kerberos提供了更好的安全保证，并且比NTLM更具扩展性，现已成为Windows中的首选默认协议。

尽管企业可以关闭NTLM身份验证，但那些硬连线（hardwired）的应用程序和服务可能会遇到问题。为此，微软引入了两个身份验证功能：Initial and Pass Through Authentication Using Kerberos（IAKerb）和Kerberos的本地密钥分发中心 (KDC)。通过上述两项功能的推进，Kerberos将成为唯一的Windows身份验证协议。

针对NTLM的三种最著名的攻击方式包括：

1. 攻击利用NTLM哈希函数规范中的漏洞来从服务器上存储的NTLM哈希恢复原始密码。

2. 传递哈希攻击滥用了NTLM哈希的挑战/响应模型来证实客户端的身份。

3. 中继攻击，也被称为“中间人”攻击，攻击者拦截握易，在与服务器交谈时假扮成客户端，反之亦然，以此将他们的消息相互传递，直到会话验证的关键时刻，此时攻击者会切断合法客户端并代替他们进行对话。

对于任何想要保留NTLM服务器的用户来说，微软设计了一个过渡机制，即阻止通过NTLM协议使用的端口（如139和445）的所有出站流量，这使得上述攻击更加难以执行。攻击者总能找到新的方法来绕过这些防护措施。我们介绍了一种新方法，可以绕过这些端口使缓解措施失效，即直接针对内部用户进行NTLM攻击。这种方法是通过滥用MS-Access应用程序中的“Access链表”功能来实现的。