武器化的文档几乎是任何垃圾邮件和鱼叉式网络钓鱼活动的主要组成部分，让我们看看如何通过特制的PDF文件盗取windows证书。

在没有任何用户交互的情况下，恶意行动者可以使用武器化的PDF文件来窃取Windows的凭证，准确的说是相关的NTLM哈希。

据Check Point的安全专家Assaf Baharav发表的一项研究，攻击者只需要欺骗受害者打开文件即可。

根据Check Point研究人员的说法，攻击者既不是利用了微软Word文件的漏洞，也不是利用Outlook处理RTF文件的漏洞，而是利用了一个允许将远程文档和文件嵌入PDF文件的特性。

Baharav解释说，攻击者可以利用PDF标准文件中的功能来盗取NTLM哈希，而不是利用微软Word文件或RTF文件中的漏洞。Baharav写道，

攻击者可以使用此方法将恶意内容注入到PDF中，因此当打开该PDF时，目标会自动以NTLM哈希的形式泄漏凭证。

研究人员使用了一份特别制作的PDF文档作为他的概念证明。

当一个受害者打开PDF文档时，该文档会自动联系由攻击者控制的远程SMB服务器，但是需要注意的是，SMB请求包含身份验证过程的NTLM哈希。

SMB通信会泄漏NTLM细节并将其发送到攻击者的服务器，该服务器可以进一步用于引发各种SMB中继攻击。

使用这个技巧，攻击者可以获得NTLM哈希，并使用在线可用工具来恢复原始密码。

这种攻击是隐形的，受害者不可能注意到任何异常行为。

在过去，恶意行动者使用过类似利用SMB请求的技术执行过这类攻击，但是他们利用的是其他类型的文档或操作系统特性(例如Office文档、共享文件夹身份验证、Outlook)。

根据Check Point，几乎所有的Windows PDF阅读器都受到这个安全缺陷的影响，并将显示NTLM证书。

Baharav成功地测试了对Adobe Acrobat和FoxIT阅读器的攻击效果。

专家们遵循90天的信息披露政策，将该漏洞通知了Adobe和Foxit。

Adobe回复表示，他们没有解决该问题的计划，因为他们认为缺陷与操作系统有关，而FoxIT仍然没有回应。

Adobe专家指的是在2017年10月发布的Microsoft Security Advisory（微软安全咨询） ADV170014 ，它实现了一种机制，并提供了关于用户如何禁用Windows操作系统上的NTLM单点登录（SSO）认证的说明。

以下是Adobe的回复:

感谢您在该事件上进行检查。去年年底，微软发布了一项可选安全增强功能[0]，为客户提供了禁用NTLM SSO身份验证的功能，其属于公共资源中的一种方法。鉴于已经有了客户可以获得的缓解措施，我们将不再对Acrobat做出改进。