Obtener credenciales de Windows con la ayuda de un archivo PDF

Autor: Carlos David Villagómez Quezada

Los archivos PDF se han convertido en la actualidad en una herramienta indispensable cuando necesitamos enviar o distribuir documentación, este formato permite que todos puedan acceder a la información contenida en estos documentos independientemente del sistema operativo o dispositivo que tengan. A estos archivos se les pueden incrustar instrucciones maliciosas que pueden ser aprovechadas con tal solo abrir el documento.

A continuación, revisaremos un ejemplo de como los archivos PDF pueden ser utilizados de forma ventajosa por un atacante y las diferentes contramedidas que se deberían de tomar para evitar este tipo de ataques.

Como primer paso se necesita crear un documento PDF, en esta ocasión se decidió utilizar Word. El archivo se llamará “Arc_mal” y se guardará como “tipo PDF”.

.

Ilustración 1: Creación de Documento “Arc_Mal.pdf”

Una vez generado el documento (Arc_Mal.pdf), se tienen que agregar las siguientes líneas, las cuales contienen la instrucción “/AA”, la cual define las siguientes acciones que se realizarán una vez que se abra el documento.

.

Ilustración 2: Instrucciones a ejecutar en el archivo “Arc_Mal.pdf”

Es importante destacar algunas de las acciones realizadas en las líneas anteriores, como:

.

Tabla 1: Descripción de instrucciones

Las líneas anteriores fueron agregadas dentro del “objeto 1” al principio del archivo, editando el documento “Arc_Mal.pdf” con el editor de texto “Sublime Text”.

.

Ilustración 3: Editando el archivo “Arc_Mal.pdf”

Como se puede observar en la imagen, en la instrucción /F, se agregó la dirección IP 192.168.1.11 a la cual se conectará una vez que el documento sea visualizado.

Ahora, se tiene que configurar la máquina a la cual el archivo PDF se conectará para solicitar el recurso, en este caso “192.168.1.11\rec-gcly”. En esta máquina se levantará el servicio SMB, con la ayuda de la herramienta “responder” se capturará la petición realizada por el documento Arc_Mal.pdf.

.

Ilustración 4: Servicio SMB en máquina atacante (192.168.1.11)

Una vez configurado el responder, es momento de enviar el documento a la máquina víctima, la cual utilizará un lector de PDF (Nitro PDF) para visualizar el documento.

.

Ilustración 5: Archivo “Arc_Mal.pdf” en máquina víctima (Windows 10)

Al abrir el documento “Arc_Mal.pdf” en la máquina “víctima”, el servidor SMB de la máquina atacante recibe la siguiente petición, la cual contiene el hash NTLMv2.

.

Ilustración 6: Captura de Hash NTLMv2 de la máquina víctima

Este hash puede ser encontrado en el log de la herramienta “responder”, este hash NTLMv2 es básicamente el usuario y contraseña de inicio de sesión de la maquina víctima de donde se ejecutó el archivo Arc_Mal.pdf.

.

Ilustración 7: Hash NTMLv2 de la máquina víctima

Como se puede observar en la imagen anterior, se tiene capturado el usuario, pero la contraseña se encuentra “Hasheada” por lo que se tiene que crackear, para esta tarea se utilizará la herramienta Hashcat.

.

Ilustración 8: Crackeo de Hash NTMLv2 de la máquina víctima con la ayuda de Hashcat

Una vez crackeado el hash NTLMv2 se validarán las credenciales, para esta actividad se utilizó el explorador de archivos de Windows.

.

Ilustración 9: Validación de credenciales , Acceso a máquina víctima

Como se puede observar las credenciales son las válidas. Es importante mencionar que se realizaron pruebas sobre algunos lectores de PDF con la finalidad de sabes cuáles son vulnerables, a continuación, el resultado.

.

Tabla 2: Lectores de PDF vulnerables.

Posibles mitigaciones

  • Deshabilitar el acceso SMB externo en el firewall para evitar la pérdida de hash NTLM a internet.