Vulnerabilidade Crítica em Formato de Arquivo de Etiquetas Permite Roubo de Credenciais do Active Directory
Uma pesquisa de segurança revelou uma vulnerabilidade de alto impacto em um formato de arquivo corporativo amplamente utilizado para impressão de etiquetas de remessa. O formato .nlbl, associado a softwares de labeling empresarial, pode ser explorado para roubar credenciais do Active Directory em servidores Windows. O ataque se aproveita de uma funcionalidade documentada pelo fornecedor que permite a execução de código Python, acesso a sockets TCP e leitura de arquivos arbitrários no sistema.
O mecanismo de exploração é engenhoso e diretamente ligado ao design do formato. Quando um arquivo .nlbl malicioso é processado pelo software alvo, ele pode configurar o motor para ler arquivos sensíveis do sistema, como o arquivo SYSTEM do Windows, que contém hashes de senha. Esses hashes são então transmitidos via protocolo SMB para um servidor controlado pelo atacante, resultando no roubo de hashes NTLMv2. Esses hashes podem ser subsequentemente quebrados ou usados em ataques de pass-the-hash para mover-se lateralmente pela rede.
A gravidade reside no fato de que essa capacidade não é um bug não documentado, mas uma característica de projeto do formato de arquivo. Especificações oficiais do fornecedor permitem explicitamente a execução de scripts Python e operações de rede, transformando um arquivo de etiqueta em um vetor de ataque completo. Isso expõe uma falha sistêmica na segurança de ecossistemas de labeling corporativo, onde formatos legados ou especializados são tratados como inofensivos.
O potencial de dano é amplificado pelo uso generalizado desses arquivos em operações logísticas e de supply chain. Um único arquivo .nlbl malicioso, enviado como parte de uma remessa ou anexo de e-mail, pode comprometer servidores críticos. Ataques poderiam ser automatizados e direcionados a empresas de todos os tamanhos, especialmente aquelas que processam etiquetas de remessa de fornecedores externos sem escrutínio rigoroso.
Este caso é um lembrete severo de que superfícies de ataque se estendem muito além dos aplicativos tradicionais. Formatos de arquivo especializados, especialmente aqueles com capacidades de script ou automação, representam riscos significativos se validados e processados em ambientes corporativos. Organizações devem reavaliar imediatamente a segurança de todos os processadores de arquivos não padrão, implementar listas de permissões estritas e monitorar tráfego SMB anômalo para detectar tentativas de exfiltração de dados.