Hack phpMyAdmin – Un bug consente di eliminare tabelle e record dal database
6 gennaio 2018
Cosa è il Blue Monday – Il giorno più triste dell’anno
10 gennaio 2018
Mostra tutti

Come rubare le credenziali di un account Microsoft Windows usando Word

Come rubare le credenziali di un account Windows usando un documento Microsoft Word

Cyber-criminali possono rubare le credenziali di accesso al sistema operativo Windows sfruttando la funzione subDoc in Microsoft Word

I componenti del Team di cyber-security statunitense di Rhino Labs  hanno scoperto che cyber-criminali possono utilizzare una funzionalità di Microsoft Word denominata subDoc per “ingannare” un computer con sistema operativo Windows ed a rendere pubbliche i loro hash NTLM, che è il solito formato in cui vengono salvate le credenziali dell’ account utente.

La funzione subDoc – Microsoft Office Exploitation

Questa funzione è stata creata per caricare un documento nel corpo di un documento diverso, in modo da includere i dati di un documento nell’ altro, consentendo al tempo stesso l’ aggiornamento e la visualizzazione dei dati da soli.

La funzione subDoc facilita l’ aggiornamento e l’ esportazione di parti di un documento anche di grandi dimensioni. La funzione non è ideale solo per i documenti di grandi dimensioni, ma anche per quelli più piccoli che hanno molte sezioni apparentemente indipendenti. I sottodocumenti possono anche essere divisi o fusi con altri sottodocumenti.Tradotto con

I ricercatori di Rhino hanno affermato che la funzione può essere utilizzata per caricare file subDoc esterni(Internet-hosted) nel documento host, consentendo così uno sfruttamento dannoso in determinate e specifiche condizioni.

Secondo i ricercatori di Rhino Lab:

This feature peaked our curiosity as it resembled a similar Office feature we’ve seen abused in the wild, attachedTemplate. Using the attachedTemplate method, an attacker would be able to send an arbitrary document to a target that would, upon opening, open an authentication prompt in the Windows style. It is this innocent looking functionality that usually catches the target by surprise and provides us the opportunity to harvest credentials remotely.

Per sfruttare questa vulnerabilità i cyber-aggressori possono mettere insieme un file Word che carica un sottodocumento da un server malevolo.

Può essere utilizzato un server SMB  esterno o effettuare una richiesta di autenticazione HTTP Basic,e inviare il sottodocumento richiesto, ingannando il computer dell’ utente nel consegnare l’ hash NTLM o le credenziali cleartext necessaria per l’ autenticazione.

SubDoc Injector, Microsoft Office Exploitation,

PoC Tool: SubDoc Injector

SubDoc Injector è uno strumento (creato da Hector Monsegur) che genera un Word SubDoc per un URL definito dall’ utente e lo integra in un documento Word’ genitore’ specificato dall’ utente. Questo URL dovrebbe puntare all’ URL Responder (come detto sopra) per raccogliere i hash delle PMI.

Identificatori di riferimento Subdoc

Come parte della specifica Word, è richiesto un subdoc “identificatore di riferimento”. Questo non ha un ruolo particolarmente importante se non quello di rendere unici i documenti, ma in passato sono stati utilizzati indicatori simili per identificare documenti dannosi. Per evitare l’ identificazione dei documenti creati da Subdoc Injector, viene aggiunto un numero identificativo di riferimento (-d) per rendere unici i documenti ed eluderne le “banali” firme.

SubDoc Injector può essere scaricato sulla piattaforma GitHub seguendo questo => link

Uso SubDoc

SubDoc è semplice da usare, prendendo il nome del file per iniettare il subDoc, il nome del documento da creare, l’ URL a cui puntare e un identificatore del documento. Come accennato in precedenza, l’ offuscamento manuale del link dovrà essere fatto manualmente.

python subdoc_injector.py -i mydoc.docx -o infected.docx -u ///127.0.0.1/subdoctest -d 100

Rilevamento antivirus SubDoc

Poiché questa caratteristica non è stata riconosciuta pubblicamente come vettore di attacco per azioni dannose, e di conseguenza non è riconosciuta dai software antivirus. E’ stata eseguita una  scansione utilizzando 17 motori antivirus popolari e nessuna ha rilevato questo file come dannoso.

Microsoft Office ha una miriade di caratteristiche poco documentate che devono ancora essere esplorate. Con l’ intensificarsi delle ricerche su queste funzioni, è probabile che vengano scoperte più vulnerabilità e funzioni “abusabili” da parte di hackers e cyber-criminali, rendendo la situazione difficile per chi volesse proteggere al meglio i propri sistemi.

Valutazione Media
Last Reviewer
Reviewed Item
Come rubare le credenziali di un account Microsoft Windows usando Word
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer | IT Cybersecurity Senior Manager
Rocco Balzamà
Rocco Balzamà