Taggat med: ntlm

Informationsläckage i Microsoft Office

Jag tog en titt på CVE-2018-0950 som är en informationsläckage-bugg i Office. Denna säkerhetsbrist åtgärdades av Microsoft för några veckor sedan och upptäcktes av Will Dormann på CERT-CC.

Buggen går ut på att du kan få Outlook att automatiskt gå ut och ladda in externt innehåll utan att användaren frågas om detta.

Följande bild förevisar detta tydligt:

Genom att skicka ett RTF-mail där ett externt OLE-objekt återfinnes så laddas detta externa OLE-objekt automatiskt in.

Och vet du vad mer detta innebär? Jo, du kan köra Responder.py och få ut NTLMv2-hashen från användaren:

[SMB] NTLMv2-SSP Client   : 192.168.153.136
[SMB] NTLMv2-SSP Username : DESKTOP-V26GAHF\test_user
[SMB] NTLMv2-SSP Hash     : test_user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

Även om du applicerar patchen som släpptes av Microsoft så kvarstår problemet att du kan skicka UNC-länkar, dvs som börjar med \\.

Därav är det viktigt att blockera utgående SMB (445/tcp, 137/tcp, 139/tcp men även 137/udp och 139/udp) samt läs detta från Microsoft gällande NTLM SSO, ADV170014.

🐈 Hashcat och oclHashcat nu öppen källkod

hashcat

Hashcat och oclHashcat har nu släppts som öppen källkod på Github. Verktygen används för att knäcka lösenord och är ett bra alternativ till John the Ripper. Att Hashcat nu är öppen källkod kommer eventuellt göra att stöd för fler plattformar och algoritmer kommer in snabbare samt så är det bra för många av oss som jobbar med slutna projekt.

World’s fastest and most advanced GPGPU-based password recovery utility

Främst används oclHashcat för dess stöd när det gäller GPU:er och (AMD) OpenCL samt (Nvidia) CUDA.

Även så stödjer hashcat hela 170 olika lösenordshashar från vanliga såsom MD5, SHA-512, SHA-3 och mer ovanliga såsom Streebog, Juniper, Lastpass och 1Password.

Hashcat Prestada

För att förstå hur bra prestanda hashcat har så finnes följande exempel med fyra olika datorer utrustade med diverse hårdvara:

  • PC1: Windows 7, 32 bit
  • Catalyst 14.9
  • 1x AMD hd7970
  • 1000mhz core clock
  • oclHashcat v1.35
  • PC2: Windows 7, 64 bit
  • ForceWare 347.52
  • 1x NVidia gtx580
  • stock core clock
  • oclHashcat v1.35
  • PC3: Ubuntu 14.04, 64 bit
  • ForceWare 346.29
  • 8x NVidia Titan X
  • stock core clock
  • oclHashcat v1.36
  • PC4: Ubuntu 14.04, 64 bit
  • Catalyst 14.9
  • 8x AMD R9 290X
  • stock core clock
  • oclHashcat v1.35

 

Hash Type PC1 PC2 PC3 PC4
MD5 8581 Mh/s 2753 Mh/s 115840 Mh/s 92672 Mh/s
SHA1 3037 Mh/s 655 Mh/s 37336 Mh/s 31552 Mh/s
SHA256 1122 Mh/s 355 Mh/s 14416 Mh/s 12288 Mh/s
SHA512 414 Mh/s 104 Mh/s 4976 Mh/s 4552 Mh/s
SHA-3 (Keccak) 179 Mh/s 92 Mh/s 3400 Mh/s 2032 Mh/s
RipeMD160 1810 Mh/s 623 Mh/s 23936 Mh/s 20016 Mh/s
Whirlpool 65845 kh/s 85383 kh/s 1480000 kh/s 1122304 kh/s
LM 1388 Mh/s 450 Mh/s 15616 Mh/s 16392 Mh/s
NTLM 16916 Mh/s 4185 Mh/s 250360 Mh/s 175808 Mh/s
NetNTLMv1 9108 Mh/s 2330 Mh/s 56448 Mh/s 97800 Mh/s
NetNTLMv2 589 Mh/s 200 Mh/s 7944 Mh/s 6496 Mh/s
WPA/WPA2 142 kh/s 48 kh/s 2096 kh/s 1536 kh/s

Länk till Github:

Dekryptera lösenord

Att dekryptera eller forcera Windows-lösenord när lösenord tappas bort är en av de vanligaste kryptoproblemen för vanliga Windows-användare. Att forcera dessa lösenord är relativt lätt med hjälp av såkallade Rainbow Tables

En av de vanligaste metoderna för att använda sig av Rainbow Tables för att hitta lösenordet på sin Windows-installation är att använda sig av den bootbara cd-skivan Ophcrack.

Rainbow Tables eller Regnbågstabeller som det blir direktöversatt till Svenska innebär att alla möjliga lösenordskombinationer skapas i en stor tabell och sedan görs slagningar mot denna tabell.

Observera att denna typ av attack enbart är möjlig på den äldre NTHASH/NTLM algoritmen som Microsoft valt att implementera en gång i tiden. Dock så använder många Windows-installationer denna algoritm i dagsläget för att kunna vara bakåtkompatibla.

Så här stora blir tabellfilerna för tabellerna, storleken varierar beroende på vad lösenordet kan innehålla:

rainbow

Här kan du ladda hem dessa ISO-filer som du sedan bränner ut till en cd-skiva:

Här kan Ophcrack samt regnbågstabeller laddas hem:

http://ophcrack.sourceforge.net