Post132 nn

Introduccion


Bad-PDF crea archivos PDF maliciosos para robar Hashes NTLM (NTLMv1 / NTLMv2) de las máquinas de Windows, utiliza la vulnerabilidad revelada por el equipo de checkpoint para crear el archivo PDF malicioso. Bad-Pdf lee los hashes NTLM utilizando el oyente Responder.

Este método funciona en todos los lectores de PDF (cualquier versión) y los scripts de Java no son necesarios para este ataque.

Paper de checkpoint: ntlm-credentials-theft-via-pdf-files


Dependencia


  1. Responder/Kali Linux

Uso


git clone https://github.com/deepzec/Bad-Pdf.git badPdf
cd badPdf
python badpdf.py


bad-pdf.PNG


Responder esperando por los NTLM hash:


alt text


Ejecutar el archivo Bad-PDF generado en una máquina Windows y obtener el hash NTLM


alt text


Mitigaciones


1) Los parches de proveedor no están disponibles para esta vulnerabilidad.

2) Microsoft emitió una mejora de seguridad opcional [0] a fines del año pasado que brinda a los clientes la capacidad de deshabilitar la autenticación NTLM SSO como método para recursos públicos.
3) Deshabilite el acceso SMB externo en el firewall para evitar la pérdida de hash NTLM a internet



Artículos que te pueden interesar