Mostra tutti

Come rubare le credenziali di un account Microsoft Windows usando Word

Come rubare le credenziali di un account Windows usando un documento Microsoft Word

Cyber-criminali possono rubare le credenziali di accesso al sistema operativo Windows sfruttando la funzione subDoc in Microsoft Word

I componenti del Team di cyber-security statunitense di Rhino Labs  hanno scoperto che cyber-criminali possono utilizzare una funzionalità di Microsoft Word denominata subDoc per “ingannare” un computer con sistema operativo Windows ed a rendere pubbliche i loro hash NTLM, che è il solito formato in cui vengono salvate le credenziali dell’ account utente.

La funzione subDoc – Microsoft Office Exploitation

Questa funzione è stata creata per caricare un documento nel corpo di un documento diverso, in modo da includere i dati di un documento nell’ altro, consentendo al tempo stesso l’ aggiornamento e la visualizzazione dei dati da soli.

La funzione subDoc facilita l’ aggiornamento e l’ esportazione di parti di un documento anche di grandi dimensioni. La funzione non è ideale solo per i documenti di grandi dimensioni, ma anche per quelli più piccoli che hanno molte sezioni apparentemente indipendenti. I sottodocumenti possono anche essere divisi o fusi con altri sottodocumenti.Tradotto con

I ricercatori di Rhino hanno affermato che la funzione può essere utilizzata per caricare file subDoc esterni (Internet-hosted) nel documento host, consentendo così uno sfruttamento dannoso in determinate e specifiche condizioni.

Secondo i ricercatori di Rhino Lab:

This feature peaked our curiosity as it resembled a similar Office feature we’ve seen abused in the wild, attachedTemplate. Using the attachedTemplate method, an attacker would be able to send an arbitrary document to a target that would, upon opening, open an authentication prompt in the Windows style. It is this innocent looking functionality that usually catches the target by surprise and provides us the opportunity to harvest credentials remotely.

Per sfruttare questa vulnerabilità i cyber-aggressori possono mettere insieme un file Word che carica un sottodocumento da un server malevolo.

Può essere utilizzato un server SMB  esterno o effettuare una richiesta di autenticazione HTTP Basic,e inviare il sottodocumento richiesto, ingannando il computer dell’ utente nel consegnare l’ hash NTLM o le credenziali cleartext necessaria per l’ autenticazione.

SubDoc Injector, Microsoft Office Exploitation,

PoC Tool: SubDoc Injector

SubDoc Injector è uno strumento (creato da Hector Monsegur) che genera un Word SubDoc per un URL definito dall’ utente e lo integra in un documento Word’ genitore’ specificato dall’ utente. Questo URL dovrebbe puntare all’ URL Responder (come detto sopra) per raccogliere i hash delle PMI.

Identificatori di riferimento Subdoc

Come parte della specifica Word, è richiesto un subdoc “identificatore di riferimento”. Questo non ha un ruolo particolarmente importante se non quello di rendere unici i documenti, ma in passato sono stati utilizzati indicatori simili per identificare documenti dannosi. Per evitare l’ identificazione dei documenti creati da Subdoc Injector, viene aggiunto un numero identificativo di riferimento (-d) per rendere unici i documenti ed eluderne le “banali” firme.

SubDoc Injector può essere scaricato sulla piattaforma GitHub seguendo questo => link

Uso SubDoc

SubDoc è semplice da usare, prendendo il nome del file per iniettare il subDoc, il nome del documento da creare, l’ URL a cui puntare e un identificatore del documento. Come accennato in precedenza, l’ offuscamento manuale del link dovrà essere fatto manualmente.

python subdoc_injector.py -i mydoc.docx -o infected.docx -u ///127.0.0.1/subdoctest -d 100

Rilevamento antivirus SubDoc

Poiché questa caratteristica non è stata riconosciuta pubblicamente come vettore di attacco per azioni dannose, e di conseguenza non è riconosciuta dai software antivirus. E’ stata eseguita una  scansione utilizzando 17 motori antivirus popolari e nessuna ha rilevato questo file come dannoso.

Microsoft Office ha una miriade di caratteristiche poco documentate che devono ancora essere esplorate. Con l’ intensificarsi delle ricerche su queste funzioni, è probabile che vengano scoperte più vulnerabilità e funzioni “abusabili” da parte di hackers e cyber-criminali, rendendo la situazione difficile per chi volesse proteggere al meglio i propri sistemi.

libro vita da hacker

Ti potrebbero interessare

8 Gennaio 2024

Hacker: mito e realtà nelle profondità della rete

Continua
22 Dicembre 2023

Vita da Hacker: Dal Commodore 64 all’Intelligenza Artificiale

Continua
26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
2 Maggio 2019

Come mandare messaggi WhastApp multipli a tutti i contatti da pc

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
9 Febbraio 2019

Password Checkup – Lo strumento di Google che controlla le credenziali compromesse

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
21 Gennaio 2019

Mac lento? Come Riparare il disco tramite Utility Disco sul Mac

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua
17 Dicembre 2018

Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

Continua
10 Dicembre 2018

#OpPaperstorm.it – Come diventare un attivista di Anonymous Italia

Continua
27 Novembre 2018

Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

Continua
13 Novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua
3 Novembre 2018

Quali sono le differenze tra Boot UEFI e Legacy BIOS

Continua
2 Novembre 2018

Come e perchè devi mettere in sicurezza il tuo sito web

Continua
29 Ottobre 2018

Come migliorare la sicurezza informatica del mio computer

Continua
26 Ottobre 2018

Ransonware GandCrab – Rilasciato lo strumento di decrittografia dei file

Continua
16 Ottobre 2018

Come compremettere il tuo account di WhatsApp rispondendo ad una videochiamata

Continua
15 Ottobre 2018

Anonymous Million Mask March 2018

Continua
11 Ottobre 2018

WordPress security – Come creare un registro delle attività per i siti usando WP Security Audit Log

Continua
10 Ottobre 2018

Inviare e condividere file criptati e protetti gratuitamente con Firefox send

Continua
9 Ottobre 2018

Come migliorare la sicurezza della propria rete domestica

Continua
8 Ottobre 2018

Facebook Data Breach – Nel dark web in vendita le credenziali

Continua
5 Ottobre 2018

LoJax, il primo rootkit UEFI che infetta il computer

Continua
29 Settembre 2018

Come proteggersi da Virus, Malware, Trojan e codice malevolo

Continua
28 Settembre 2018

Analisi di una Botnet – Come la Botnet Torii attacca i dispositivi IoT

Continua