Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wykradanie danych logowania do Windows „zwykłym”, uzbrojonym PDF-em

29 kwietnia 2018, 12:58 | W biegu | komentarze 3

Zacznijmy od zwykłych formatów Microsoft Office. Pisaliśmy kiedyś o namierzaniu adresu IP osoby, która od nasz plik .docx, później – o wykradaniu danych uwierzytelniających. Temat się nie zakończył – zobaczcie ostatnie badania właśnie jeśli chodzi o Microsoft Word.

Ale mamy też pewną nowość – okazuje się, że podobne sztuczki (wykradanie m.in. hasy NTLM, loginu, nazwy domeny, …) można wykonać poprzez „zwykły” PDF:

attacker can entice arbitrary targets to open the crafted PDF file which then automatically leaks their NTLM hash, challenge, user, host name and domain details.

Wystarczy w środku umieścić taki fragment:

PDF

Po otworzeniu PDF-a przez ofiarę (pod Windows 10 lub 2016 server) – bez żadnego ostrzeżenia wysyłane są stosowne informacje do serwera atakującego:

Ciekawe dane

Microsoft wydał już jakiś czas temu opcjonalną aktualizację łatającą problem.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Monter

    Wow! Podatny tylko Win10 i srv2016 – czyli jak ktoś dalej męczy starsze wersje to jest bezpieczny ;o)

    Odpowiedz
    • znowu powtarza się – co nowe, to niekoniecznie zawsze lepsze :)

      Odpowiedz
    • Gal

      Hm, ciekaw jestem skąd informacja, że podatne są tylko: Windows 10 lub 2016 server.
      Atak również działa na Windows 7 i Windows XP, więcej nie testowałem ale ciężko mi uwierzyć że np. Windows 8 nie jest podatny.

      Odpowiedz

Odpowiedz