<\/p>
Si ayer ve\u00edamos c\u00f3mo generar documentos .odt maliciosos de Openoffice hoy veremos como generar PDFs capaces de robar hashes NTLM (NTLMv1 \/ NTLMv2) de las m\u00e1quinas Windows de las incautas v\u00edctimas.<\/p>
La t\u00e9cnica utilizada es la que descubri\u00f3 Assaf Baharav, un investigador de Check Point: \"La especificaci\u00f3n PDF permite cargar contenido remoto para las entradas GoToE & GoToR\".
Cuando alguien abre este archivo, el documento PDF autom\u00e1ticamente realiza una solicitud a un servidor SMB malicioso remoto. Por dise\u00f1o, todas las solicitudes SMB tambi\u00e9n incluyen el hash NTLM con fines de autenticaci\u00f3n as\u00ed que este hash NTLM se registrar\u00e1 en el servidor SMB. Y ya sab\u00e9is que hay herramientas disponibles que pueden romper este hash y recuperar la contrase\u00f1a original (o utilizar directamente Pass-the-hash?).<\/p>Este tipo de ataque no es nuevo, en absoluto, y en el pasado, se ha ejecutado al iniciar solicitudes SMB desde documentos de Office, Outlook, navegadores, archivos de acceso directo de Windows, carpetas compartidas y otras funciones internas del sistema operativo Windows. As\u00ed que faltaban, c\u00f3mo no, los documentos PDFs.<\/p> <\/blockquote>
http:\/\/www.hackplayers.com\/2018\/06\/pdf-malicioso-para-robar-hashes-ntlm.html<\/a>
#\u00d1<\/a> #seguridad<\/a><\/p>","generator":{"id":"tag:status.net,2009:notice-source:ostatus","objectType":"application","status_net":{"source_code":"ostatus"}},"id":"https:\/\/pod.geraspora.de\/p\/8160980","object":{"id":"https:\/\/pod.geraspora.de\/p\/8160980","objectType":"note","content":"PDF malicioso para robar hashes NTLM : hackplayers<\/h3>\n\n
<\/p>\n\n
\nSi ayer ve\u00edamos c\u00f3mo generar documentos .odt maliciosos de Openoffice hoy veremos como generar PDFs capaces de robar hashes NTLM (NTLMv1 \/ NTLMv2) de las m\u00e1quinas Windows de las incautas v\u00edctimas.<\/p>\n\n
La t\u00e9cnica utilizada es la que descubri\u00f3 Assaf Baharav, un investigador de Check Point: \"La especificaci\u00f3n PDF permite cargar contenido remoto para las entradas GoToE & GoToR\".
\nCuando alguien abre este archivo, el documento PDF autom\u00e1ticamente realiza una solicitud a un servidor SMB malicioso remoto. Por dise\u00f1o, todas las solicitudes SMB tambi\u00e9n incluyen el hash NTLM con fines de autenticaci\u00f3n as\u00ed que este hash NTLM se registrar\u00e1 en el servidor SMB. Y ya sab\u00e9is que hay herramientas disponibles que pueden romper este hash y recuperar la contrase\u00f1a original (o utilizar directamente Pass-the-hash?).<\/p>\n\nEste tipo de ataque no es nuevo, en absoluto, y en el pasado, se ha ejecutado al iniciar solicitudes SMB desde documentos de Office, Outlook, navegadores, archivos de acceso directo de Windows, carpetas compartidas y otras funciones internas del sistema operativo Windows. As\u00ed que faltaban, c\u00f3mo no, los documentos PDFs.<\/p>\n<\/blockquote>\n\n
http:\/\/www.hackplayers.com\/2018\/06\/pdf-malicioso-para-robar-hashes-ntlm.html<\/a>
#\u00d1<\/a> #seguridad<\/a><\/p>","url":"https:\/\/pod.geraspora.de\/p\/8160980","status_net":{"notice_id":null},"tags":[{"objectType":"http:\/\/activityschema.org\/object\/hashtag","displayName":"seguridad"}]},"to":[{"objectType":"http:\/\/activitystrea.ms\/schema\/1.0\/collection","id":"http:\/\/activityschema.org\/collection\/public"}],"status_net":{"conversation":"tag:bobinas.p4g.club,2018-06-08:objectType=thread:nonce=c7a5d139cc9e65a3","notice_info":{"local_id":"706244","source":"ostatus"}},"published":"2018-06-08T18:26:49+00:00","provider":{"objectType":"service","displayName":"Bobinas P4G","url":"https:\/\/bobinas.p4g.club\/"},"verb":"post","url":"https:\/\/pod.geraspora.de\/p\/8160980"}],"links":[{"url":"https:\/\/bobinas.p4g.club\/conversation\/448527","rel":"alternate","type":"text\/html"}]}