Falha no processamento de ações remotas em arquivos PDF permite que a abertura do documento acione tráfego SMB e revele hash NTLM, desafio, usuário, host e domínio ao servidor do operador.
| Componente | Visualizadores de PDF no Windows que processam ações de abertura de página e referências remotas em objetos PDF, incluindo Adobe Reader antes da correção associada a CVE-2018-4993. |
| Vetor | Um PDF especialmente preparado usa a entrada AA e ações GoToR ou GoToE com o campo F apontando para um recurso remoto via SMB controlado pelo operador. |
| Impacto | Ao abrir o PDF, o sistema pode enviar tráfego SMB que expõe hash NTLM, desafio, nome de usuário, nome do host e domínio, com possibilidade posterior de abuso em ataques de relay SMB. |
| Prioridade | Atualizar leitores de PDF afetados, bloquear ou restringir SMB de saída para redes não confiáveis e caçar tentativas de autenticação NTLM disparadas por processos de leitura de PDF. |
| Versões | Adobe Reader recebeu correção na versão liberada em maio de 2018 para CVE-2018-4993; o contexto não informa números exatos de versão. |
| Artefatos | Entradas PDF relevantes incluem AA, O, C, S, F, D, além das ações GoToR e GoToE. |
A pesquisa descreve uma técnica de exposição de credenciais NTLM a partir de arquivos PDF, sem depender da exploração de OLE no Outlook ou do tratamento de RTF em documentos do Microsoft Word. O ponto central é o uso de uma funcionalidade legítima do formato PDF: a capacidade de definir ações associadas à abertura ou ao fechamento de uma página e de referenciar documentos externos ou incorporados. Quando essa lógica é manipulada para apontar para um recurso remoto sob controle do operador, a simples abertura do arquivo pode induzir o ambiente Windows a iniciar uma autenticação SMB. O resultado observado é a transmissão de material NTLM para fora do endpoint, incluindo hash, desafio, usuário, nome do host e domínio.
O risco é relevante porque o fluxo não exige que a vítima interaja com links, confirme diálogos ou execute um anexo separado. A ação maliciosa fica embutida na estrutura do documento, e o usuário pode ver apenas um PDF aparentemente comum. O material NTLM capturado não equivale, por si só, a uma senha em texto claro, mas é sensível o suficiente para alimentar tentativas de quebra offline ou ataques de relay SMB, dependendo da topologia, das políticas de autenticação e dos controles de rede. A correção informada para Adobe Reader foi vinculada a CVE-2018-4993, publicada em uma versão de maio de 2018, enquanto o contexto também indica que visualizadores de PDF no Windows eram afetados pela forma como processavam esse tipo de referência remota.
Um arquivo PDF é composto por objetos que descrevem páginas, estrutura do documento, fluxos de conteúdo e metadados de comportamento. Entre esses objetos, dicionários armazenam pares de chave e valor que orientam como o leitor deve interpretar páginas e ações. A técnica explorada abusa da entrada AA, usada para associar ações automáticas a eventos de página. Dentro desse mecanismo, a entrada O se relaciona ao evento de abertura e a entrada C ao fechamento. O dicionário de ação usa campos como S, F e D para definir o tipo de ação, o arquivo de destino e o destino dentro do arquivo referenciado. Esse encadeamento é suficiente para transformar a abertura do documento em um gatilho de resolução e acesso remoto.
As ações GoToR e GoToE são relevantes porque permitem saltar para destinos em outro PDF remoto ou em conteúdo incorporado. O campo F descreve a localização do documento externo. Quando esse campo é direcionado para um caminho SMB controlado pelo operador, o Windows pode tentar autenticar automaticamente para acessar o recurso. Essa autenticação produz tráfego SMB observável e transmite dados NTLM para o servidor remoto. Do ponto de vista do usuário, o documento pode não apresentar sinais visuais do acesso externo. A consequência técnica confirmada é a exposição do material de autenticação NTLM; efeitos posteriores, como relay SMB, dependem de condições adicionais fora do próprio PDF, como permissividade de rede, ausência de bloqueio de NTLM e existência de serviços internos que aceitem autenticação relay.
A superfície principal são estáções Windows em que usuários abrem PDFs recebidos por e-mail, mensageria, portais, compartilhamentos de arquivos ou fluxos documentais internos. O documento não precisa carregar binários externos nem apresentar um exploit tradicional de execução de código; o abuso ocorre no processamento da própria estrutura do PDF e na tentativa de acessar um recurso remoto. Ambientes corporativos que permitem SMB de saída para a internet ou para redes pouco controladas ficam mais expostos, porque a autenticação NTLM pode sair do perímetro sem bloqueio de firewall ou inspeção adequada.
O contexto informa que visualizadores de PDF no Windows foram considerados vulneráveis a esse comportamento, com correção específica registrada para Adobe Reader em maio de 2018 como CVE-2018-4993. Como o texto não fornece uma matriz completa de produtos, versões e builds, a resposta defensiva não deve assumir apenas um único leitor. Inventários de software, associação padrão de arquivos PDF, plugins de navegador e leitores alternativos precisam ser revisados como parte da superfície real. Também é necessário considerar que o vetor depende de um usuário abrir o documento, mas não depende de cliques adicionais dentro dele.
- Endpoints Windows que abrem PDFs de origem externa ou não verificada.
- Leitores de PDF que interpretam ações automáticas de página e referências remotas.
- Redes que permitem conexões SMB de saída para destinos fora do ambiente confiável.
- Contas de domínio cujo material NTLM pode ser usado em cenários de relay quando controles adicionais não estão presentes.
A caça deve começar pelo cruzamento entre processos de leitura de PDF e conexões SMB inesperadas. Eventos de rede em que AcroRd32.exe, leitores alternativos de PDF, plugins ou processos filhos associados tentam acessar porta 445 fora de segmentos internos conhecidos são sinais fortes para triagem. Em ambientes com proxy, EDR, firewall de host ou sensores de rede, a investigação deve procurar conexões SMB iniciadas imediatamente após a abertura de anexos PDF. O objetivo não é localizar um payload executável, mas identificar uma autenticação NTLM acionada por uma cadeia documental anômala.
No endpoint, a telemetria útil inclui abertura recente de arquivos PDF vindos de e-mail, diretórios temporários, downloads do navegador ou compartilhamentos de colaboração, seguida por tentativas de autenticação NTLM ou resolução de caminho remoto. No domínio, eventos de autenticação podem revelar usuários e hosts tentando autenticar em servidores incomuns. Na rede, consultas e sessões SMB para destinos externos, endereços desconhecidos ou nomes que não pertencem ao ambiente corporativo devem receber prioridade. Como o documento pode não exibir alerta ao usuário, relatos de tela ou comportamento visual têm baixo valor; a trilha confiável está nos eventos de processo, rede e autenticação.
- Processo de leitor de PDF iniciando conexão SMB para destino não reconhecido.
- Autenticação NTLM partindo de estáção de usuário logo após abertura de anexo PDF.
- Acesso a porta 445 para fora de segmentos internos autorizados.
- Arquivos PDF com entradas
AA,GoToR,GoToEou campoFapontando para recurso remoto. - Eventos de domínio indicando usuário, host e domínio enviados em tentativa de autenticação não esperada.
A primeira medida é aplicar a atualização do leitor de PDF afetado, especialmente em instalações de Adobe Reader que ainda não receberam a correção de maio de 2018 relacionada a CVE-2018-4993. Como o contexto indica impacto em visualizadores de PDF no Windows de forma ampla, a mitigação deve incluir revisão de todos os leitores instalados e do aplicativo padrão para abertura de PDFs. Controles de hardening também devem reduzir a possibilidade de autenticação automática para destinos remotos, porque a correção do aplicativo não substitui a necessidade de bloquear vazamento de credenciais por canais de rede.
A defesa de rede é decisiva: SMB de saída para a internet deve ser bloqueado, e tentativas para destinos não aprovados devem gerar alerta. Organizações que dependem de SMB internamente devem segmentar o tráfego e restringir autenticação NTLM onde for viável. Em resposta a um evento suspeito, a equipe deve identificar o usuário e o host que abriram o PDF, preservar o arquivo para análise segura, revisar conexões SMB associadas, verificar se houve relay ou autenticação subsequente em serviços internos e avaliar rotação de credenciais quando o material NTLM tiver sido exposto a servidor externo. A validação final deve confirmar que leitores foram atualizados, regras de firewall impedem saída indevida e a telemetria detecta novas tentativas do mesmo padrão.
- Atualizar Adobe Reader e demais leitores de PDF usados no ambiente.
- Bloquear SMB de saída para redes não confiáveis, especialmente porta 445.
- Criar alerta para leitor de PDF iniciando autenticação NTLM ou sessão SMB externa.
- Revisar políticas de NTLM e reduzir aceitação de relay onde a infraestrutura permitir.
- Analisar PDFs suspeitos em ambiente isolado, sem conexão SMB externa liberada.
- Investigar autenticações subsequentes quando hash NTLM, desafio, usuário, host e domínio tiverem sido enviados a destino desconhecido.
0 Comentários