Post132 nn

Robar los hashes NTLM con Bad-PDF


Introduccion


Bad-PDF crea archivos PDF maliciosos para robar Hashes NTLM (NTLMv1 / NTLMv2) de las máquinas de Windows, utiliza la vulnerabilidad revelada por el equipo de checkpoint para crear el archivo PDF malicioso. Bad-Pdf lee los hashes NTLM utilizando el oyente Responder.

Este método funciona en todos los lectores de PDF (cualquier versión) y los scripts de Java no son necesarios para este ataque.

Paper de checkpoint: ntlm-credentials-theft-via-pdf-files


Dependencia


  1. Responder/Kali Linux

Uso


git clone https://github.com/deepzec/Bad-Pdf.git badPdf
cd badPdf
python badpdf.py


bad-pdf.PNG


Responder esperando por los NTLM hash:


alt text


Ejecutar el archivo Bad-PDF generado en una máquina Windows y obtener el hash NTLM


alt text


Mitigaciones


1) Los parches de proveedor no están disponibles para esta vulnerabilidad.

2) Microsoft emitió una mejora de seguridad opcional [0] a fines del año pasado que brinda a los clientes la capacidad de deshabilitar la autenticación NTLM SSO como método para recursos públicos.
3) Deshabilite el acceso SMB externo en el firewall para evitar la pérdida de hash NTLM a internet



Artículos que te pueden interesar

Cómo compartir nuestra gema en rubygems.org

Ahora que ha creado su gema, probablemente esté listo para compartirla. Si bien es perfectamente razonable crear gemas privadas únicamente para organizar el código en grandes proyectos privados, es más común construir gemas para que puedan ser utilizadas por múltiples proyectos. Esta guía analiza las diversas formas en que puede compartir su gema con el mundo..

Qué es el ataque CRLF

El término CRLF se refiere al retorno de carro (ASCII 13, \r) de un avance de línea (ASCII 10, \n). Normalmente estamos acostumbrados a notar la terminación de una línea, sin embargo, se trata de manera diferente en los populares sistemas operativos actuales. Por ejemplo: en Windows, se requieren tanto CR como LF para anotar el final de una línea, mientras que en Linux / UNIX solo se requiere un LF. En el protocolo HTTP, la secuencia CR-LF siempre se usa para terminar una línea..