Microsoft Word opcion subDoc
La opcion de Microsoft Word denominado subDoc puede engañar a las computadoras de Windows para que entreguen sus hash NTLM
El equipo de investigación de seguridad de Rhino Labs, una compañía de seguridad cibernética con sede en Estados Unidos, ha descubierto que personas maliciosos pueden utilizar una menos conocida característica de Microsoft Word denominado subDoc para engañar a las computadoras de Windows para que entreguen sus hash NTLM, el formato estándar en el que el usuario credenciales de la cuenta se almacenan.El corazón de esta técnica es un ataque de paso a la clásica-hash NTLM, que ha sido conocido durante años. Lo que es diferente, de acuerdo con Rhino Labs, es la forma en que esto se puede llevar a cabo, a través de una característica llamada Palabra subDoc que permite que los archivos de Word "para cargar subdocumentos de un documento maestro."
¿Cómo funciona el ataque subDoc?
Rhino Labs expertos dicen que los atacantes pueden armar un archivo de Word que carga un sub-documento desde un servidor malicioso.Los atacantes pueden alojar un servidor SMB malicioso en el otro extremo de esta solicitud, y en lugar de la entrega de la sub-documento solicitado, que engañar a la PC de la víctima para que entreguen el hash NTLM necesaria para la autenticación en un dominio falso.
Existen numerosas herramientas disponibles en línea para el craqueo de hash NTLM y la obtención de las credenciales de Windows en su interior. Los atacantes pueden utilizar estos inicios de sesión para acceder a la computadora o la red de la víctima, haciéndose pasar por el usuario original.
Este tipo de hackeo es ideal para campañas de phishing dirigidas a objetivos de alto valor, tales como empresas o agencias gubernamentales.
El ataque es algo similar a otras técnicas, como el uso de archivos de SCF y peticiones SMB de Windows para engañar a la entrega de los hash NTLM, según lo descrito por el investigador de seguridad Columbian Juan Diego o de una empresa de seguridad cibernética DefenseCode.
También este no es el primer método de ataque que abusa de un menos conocido de características de Microsoft Word. Otras técnicas incluyen el uso de la Microsoft dinámico de intercambio de datos (DDE) característica o la vieja redacción de ecuaciones.
Actualmente, la detección de ataques subDoc es problemático.
"A medida que esta característica no ha sido reconocido públicamente como un vector de ataque para las acciones maliciosas, no es algo que es reconocido por el software antivirus," dice Rhino Labs, destacando que ninguno de los antivirus en VirusTotal detecta documentos de Word en armas a través de la método subDoc.Microsoft tiene el soporte de discapacitados DDE en Word, debido a repetidos abusos de los distribuidores de malware. El destino de subDoc se desconoce porque esta característica no es tan útil para las campañas de distribución de malware regulares y podría no reunir la misma atención por parte de Microsoft de que los ataques tienen DDE.