如何利用CVE-2018-0950漏洞自動竊取Windows密碼
這篇文章將為大家詳細(xì)講解有關(guān)如何利用CVE-2018-0950漏洞自動竊取Windows密碼��,文章內(nèi)容質(zhì)量較高�����,因此小編分享給大家做個參考�,希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解�。
0x01 對象連接與嵌入(OLE)
OLE是Microsoft于1990年發(fā)布的一項技術(shù)�����,它允許將來自一個程序的內(nèi)容嵌入到另一個程序處理的文檔中。 例如���,在Windows 3.x中�����,Microsoft Write提供了嵌入“畫筆圖片”對象以及“聲音”或“包”的功能��。 這些是可以插入Write文檔中的三個可用的OLE對象:
一旦插入�,我們就有一個嵌入了畫筆內(nèi)容的文檔。
0x02 服務(wù)器報文塊協(xié)議(SMB)
SMB是一種協(xié)議���,它擴(kuò)展了用于本地文件訪問的DOS API(中斷21h)以包含網(wǎng)絡(luò)功能�。也就是說�,操作者可以像訪問本地驅(qū)動器上的文件一樣訪問遠(yuǎn)程服務(wù)器上的文件���。微軟在Windows for Workgroups3.1中包含了SMB功能�����,該版本于1992年發(fā)布�����。
2.1 Microsoft Outlook
Microsoft Outlook是Microsoft Office附帶的電子郵件客戶端�。 Outlook包括發(fā)送富文本(RTF)電子郵件的功能���。 這些消息可以包含OLE對象�。
當(dāng)使用Microsoft Outlook客戶端查看電子郵件時,富文本電子郵件將會以更為酷炫的方式展現(xiàn)郵件內(nèi)容。
0x03 前述內(nèi)容小結(jié)
你可能已經(jīng)知道我的想法了,如果仍不明晰�,就讓我們總結(jié)一下目前為止所了解到的內(nèi)容:
1.Microsoft Outlook可以創(chuàng)建和呈現(xiàn)RTF電子郵件�。
2.RTF文檔(包括電子郵件消息)可以包含OLE對象��。
3.由于SMB����,OLE對象可以位于遠(yuǎn)程服務(wù)器上����。
3.1 觀察Microsoft Outlook行為
互聯(lián)網(wǎng)上的HTML電子郵件比富文本電子郵件更為常見����,因此,讓我們首先查看在Web服務(wù)器上具有遠(yuǎn)程圖像的HTML消息時Microsoft Outlook的行為:
在這里我們可以看到遠(yuǎn)程圖像沒有自動加載���。為什么會出現(xiàn)這樣的情況�����?原因是如果Outlook允許遠(yuǎn)程映像自動加載����,它可能會泄露客戶端系統(tǒng)的IP地址和其他元數(shù)據(jù),例如查看電子郵件的時間�����。 此限制有助于防止電子郵件中使用的網(wǎng)絡(luò)錯誤?���,F(xiàn)在讓我們以富文本格式的形式來查看同樣的內(nèi)容�,現(xiàn)在它并不是遠(yuǎn)程圖像文件,而是從遠(yuǎn)程SMB服務(wù)器上加載的OLE文檔:
這種現(xiàn)象是意料之外的��。由于網(wǎng)絡(luò)錯誤的隱私風(fēng)險�,Outlook會阻止遠(yuǎn)程Web內(nèi)容。 但是�����,如果使用富文本電子郵件,則OLE對象將被加載而沒有用戶交互��。讓我們看一下Wireshark(網(wǎng)絡(luò)封包分析軟件)中的流量來弄清由于這種自動遠(yuǎn)程對象加載泄露了什么內(nèi)容:
在這里我們可以看到���,SMB連接正在自動協(xié)商。觸發(fā)此協(xié)商的唯一操作是Outlook對發(fā)送給它的電子郵件進(jìn)行了預(yù)覽操作�����。 在上面的屏幕截圖中�,我可以看到以下內(nèi)容正在泄露:
1、IP地址
2�、域名
3、用戶名
4�����、主機(jī)名
5�����、SMB會話密鑰
富文本電子郵件中的遠(yuǎn)程OLE對象的作用就類似于網(wǎng)絡(luò)錯誤中的興奮劑�。在2016年末的分析中,我通知了微軟這個問題�。
0x04 OLE網(wǎng)絡(luò)錯誤的影響
這個錯誤將導(dǎo)致兩個主要的問題�����,如下所述:
4.1 客戶端崩潰
我們知道在這一點(diǎn)上�,我們可以出發(fā)Outlook啟動到任意主機(jī)的SMB連接�����。2017年2月1日����,披露了Windows SMB客戶端漏洞(VU#867968)。 連接到惡意SMB服務(wù)器時�����,Windows會崩潰�����。如果我們在Outlook中創(chuàng)建了富文本電子郵件����,但指向利用此漏洞的SMB服務(wù)器,該怎么辦��?
如上所述,一旦Outlook預(yù)覽了這樣一封電子郵件���,Windows就會崩潰����,出現(xiàn)藍(lán)屏死機(jī)(藍(lán)屏)��。除此之外�,每次遇到這種情況后Outlook都會啟動�,Windows將再次崩潰,因為Outlook會記住最后一封打開的電子郵件�����。這相當(dāng)于拒絕服務(wù)攻擊行為��。在這一點(diǎn)上���,我與微軟分享了攻擊細(xì)節(jié)����。最終��,微軟解決了這個SMB漏洞,幸運(yùn)的是�����,我們沒有聽說任何基于郵件的大規(guī)模電子郵件攻擊�����。
4.2 收集密碼哈希值
除了SMB的漏洞之外��,我決定深入挖掘客戶端試圖啟動SMB連接到攻擊者服務(wù)器的風(fēng)險�����。 根據(jù)我在Wireshark(網(wǎng)絡(luò)封包分析軟件)中看到的�,我已經(jīng)知道它泄露的不僅僅是受害者的IP地址。這次我同時使用了Responder)(響應(yīng)系統(tǒng))和John the Ripper(快速密碼破解工具)�����。
首先��,我發(fā)送了一個富文本電子郵件�����,該電子郵件具有指向運(yùn)行響應(yīng)程序的系統(tǒng)的遠(yuǎn)程OLE對象。在響應(yīng)系統(tǒng)上�����,我在Outlook中預(yù)覽電子郵件后立即看到以下內(nèi)容:
[SMB] NTLMv2-SSP Client : 192.168.153.136[/size]
[size=3][SMB] NTLMv2-SSP Username : DESKTOP-V26GAHF\test_user[/size]
[size=3][SMB] NTLMv2-SSP Hash : test_user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
這里我們有一個NTLMv2哈希�,我們可以將它交給John the Ripper(快速密碼破解工具)。 如下所示�,我將哈希復(fù)制并粘貼到名為test_user.john的文件中:
john test_user.john[/size]
[size=3]Using default input encoding: UTF-8[/size]
[size=3]Loaded 1 password hash (netntlmv2, NTLMv2 C/R [MD4 HMAC-MD5 32/64])[/size]
[size=3]Will run 24 OpenMP threads[/size]
[size=3]Press 'q' or Ctrl-C to abort, almost any other key for status[/size]
[size=3]test (test_user)[/size]
[size=3]Session completed
在不到1秒的時間內(nèi),我就可以確定打開我富文本電子郵件的用戶“test_user”的密碼是“test”�����。 更強(qiáng)密碼的散列(更長和更多類型的字符)需要更長時間才能破解�。我已經(jīng)做了一些基本的測試��,在單個中檔GPU(NVIDIA GTX 960)上破解8字符密碼的整個解決方案空間需要多長時間:
1�����、小寫字母 - 16分鐘
2����、混合大小寫字母 - 3天
3、混合大小寫字母和數(shù)字 - 12天
4、混合大小寫字母�,數(shù)字和符號 - 1年
以上統(tǒng)計數(shù)據(jù)是暴力破解隨機(jī)生成密碼的最壞情況。任何文字(比如“test”)或模式(比如“asdf”)的密碼比隨機(jī)生成的密碼更容易破解���,因為大多數(shù)破解工具都有規(guī)則來檢查這些事情�����。
另外�,攻擊者可以訪問具有多個高端GPU的系統(tǒng)����,這些GPU可以將他們的時間縮減為上述數(shù)字的一小部分。不過�����,添加到密碼長度的每個字符對暴力破解密碼所需的時間都有指數(shù)效應(yīng)�����。例如�,雖然我的中檔GPU需要1年的時間才能耗盡8個字符的密碼(混合大小寫字母,數(shù)字和符號)的整個解決方案空間���,但將密碼長度增加到9個字符也會增加耗時��,將需84年來獲取全部解決方案空間�!
0x05 微軟的修復(fù)
微軟針對Outlook自動加載遠(yuǎn)程OLE內(nèi)容(CVE-2018-0950)的問題發(fā)布了一個修復(fù)程序。一旦安裝了此修復(fù)程序�����,預(yù)覽的電子郵件將不再自動連接到遠(yuǎn)程SMB服務(wù)器�����。 此修復(fù)有助于防止上面列出的攻擊���。但意識到即使使用這個補(bǔ)丁���,用戶仍然只需點(diǎn)擊一下即可成為上述攻擊類型的受害者�����,這一點(diǎn)很重要����。例如,如果電子郵件消息具有以“\\”開頭的UNC樣式鏈接,則單擊此鏈接會啟動到指定服務(wù)器的SMB連接�����。
其他詳細(xì)信息可在CERT漏洞注釋VU#974272中找到�。
0x06 結(jié)論與建議
在Windows平臺上,有幾種方法可以使客戶端啟動SMB連接��。 任何時候SMB連接啟動時�����,客戶端的IP地址�����,域名�����,用戶名���,主機(jī)名和密碼哈希都可能泄漏����。 為了防止涉及導(dǎo)致受害者機(jī)器啟動SMB連接的攻擊,請考慮以下緩解措施:
安裝Microsoft更新CVE-2018-0950�。此更新防止在預(yù)覽富文本電子郵件時自動檢索Microsoft Outlook中的遠(yuǎn)程OLE對象。 但是���,如果用戶單擊SMB鏈接����,此行為仍會導(dǎo)致密碼散列泄漏��。
在您的網(wǎng)絡(luò)邊界處阻止入站和出站SMB連接�����。這可以通過阻止端口445/tcp��,137/udp���,139/udp以及137/udp和139/udp來完成�����。
按照Microsoft安全通報ADV170014中的規(guī)定,阻止NTLM單點(diǎn)登錄(SSO)身份驗證��。從Windows10和Server2016開始,如果創(chuàng)建EnterpriseAccountSSO注冊表值并將其設(shè)置為0����,則將禁用外部和未指定網(wǎng)絡(luò)資源的SSO身份驗證。通過此注冊表更改���,仍然允許訪問SMB資源�,但外部和未指定的SMB資源將需要用戶輸入憑據(jù)����,而不是自動嘗試使用當(dāng)前登錄的用戶的散列。
假設(shè)您的客戶端系統(tǒng)在某個時候會嘗試與攻擊者的服務(wù)器建立SMB連接�����。 因此�����,請確保任何Windows登錄名都有足夠復(fù)雜的密碼����,以防止破解。以下兩種策略可以幫助實現(xiàn)這一目標(biāo):
1.使用密碼管理器來幫助生成復(fù)雜的隨機(jī)密碼 此策略可以幫助確?���?缢觅Y源使用唯一密碼�����,并確保密碼具有足夠的復(fù)雜性和隨機(jī)性��。
2.使用更長的密碼(使用混合大小寫字母�,數(shù)字和符號)而不是密碼��。這種策略可以產(chǎn)生令人難忘的憑證��,不需要額外的軟件來存儲和檢索�����。
關(guān)于如何利用CVE-2018-0950漏洞自動竊取Windows密碼就分享到這里了���,希望以上內(nèi)容可以對大家有一定的幫助�,可以學(xué)到更多知識����。如果覺得文章不錯�,可以把它分享出去讓更多的人看到��。
