Image
Stealing Password Hashes with Office 365

Stealing Password Hashes with Office 365

¡Hola a todos!

En este artículo se va a explicar el descubrimiento que nuestro compañero Fabián Cuchietti hizo de una vulnerabilidad en Microsoft Office Word, y que permite la exfiltración del hash NTLM del usuario que tiene abierta la sesión con que se ejecuta el editor de textos.

Microsoft Office, aprovechando algunas de sus numerosas vulnerabilidades, ha sido durante años una vía importante para la propagación de malware. Pero con las mejoras implementadas a lo largo de estos últimos años, tanto a nivel del propio producto, como del sistema operativo Windows, cada vez es más difícil explotar alguna debilidad en él.

En el caso que nos ocupa hoy, existe una función de Microsoft Word que permite al autor de un documento insertar videos, llamado precisamente "Video en línea".

Ilustración – Menú

La función Video en línea está diseñada para cargar un video mediante cualquier tipo de etiquetas HTML (<embed>, <video>, <iframe>, etc.) sobre el navegador embebido, en el cuerpo de un documento Word. Tras una inspección más profunda, determinamos que podíamos realizar peticiones a servidores externos mediante SMB (alojados en Internet) en el documento anfitrión, lo que abre la posibilidad de abuso sobre la funcionalidad.

Ilustración – inserción de IFRAME

Esta característica se puede encontrar en el apartado Menú Insertar > Video en línea. Como se puede observar, es el propio Word el que nos indica que podemos insertar un video a través de un código. 

Ilustración – Video malicioso COVID-19

Para aprovechar esta función, necesitamos insertar una etiqueta <iframe> con la IP de nuestro VPS o equipo local que será el encargado de capturar el hash NTLM luego de visualizar el video insertado en el documento. 

Posteriormente, la víctima debe hacer clic en el vídeo para que se ejecute nuestro vector de ataque, y este realice la conexión Samba.

Ilustración – Visualización del video malicioso

En este punto ya tenemos nuestro Responder en ejecución, que nos permite escuchar las solicitudes SMB entrantes y capturar los hashes NTLM respectivos. Durante nuestra fase de prueba, pudimos probar con éxito interceptando hashes NTLM al abrir el video insertado.

Ilustración – Responder

El proceso a seguir durante, por ejemplo, un ataque de ingeniería social, sería enviar un documento contaminado a varios usuarios víctima mientras se ejecuta Responder en nuestro servidor C2 en Internet. 

Se trata de un ataque efectivo que trata de aprovecharse de dos factores: el primero que se trata de una funcionalidad que suscita el interés del usuario por descubrir el contenido del vídeo y segundo, que estaríamos aprovechando una funcionalidad poco sospechosa (nada que ver con la inserción de macros) y que, por tanto, puede aprovecharse de la falsa sensación de seguridad del usuario que recibe el documento.

Habrá que tener precaución con los vídeos contenidos en documentos de Word. 😉

¡Saludos a todos!


Fabián Cuchietti