中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

發布時間:2021-12-20 21:58:53 來源:億速云 閱讀:167 作者:柒染 欄目:網絡安全

這篇文章將為大家詳細講解有關如何利用CVE-2018-0950漏洞自動竊取Windows密碼,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

0x01 對象連接與嵌入(OLE)

OLE是Microsoft于1990年發布的一項技術,它允許將來自一個程序的內容嵌入到另一個程序處理的文檔中。 例如,在Windows 3.x中,Microsoft Write提供了嵌入“畫筆圖片”對象以及“聲音”或“包”的功能。 這些是可以插入Write文檔中的三個可用的OLE對象:

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

一旦插入,我們就有一個嵌入了畫筆內容的文檔。

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

0x02 服務器報文塊協議(SMB)

SMB是一種協議,它擴展了用于本地文件訪問的DOS API(中斷21h)以包含網絡功能。也就是說,操作者可以像訪問本地驅動器上的文件一樣訪問遠程服務器上的文件。微軟在Windows for Workgroups3.1中包含了SMB功能,該版本于1992年發布。

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

2.1 Microsoft Outlook

Microsoft Outlook是Microsoft Office附帶的電子郵件客戶端。 Outlook包括發送富文本(RTF)電子郵件的功能。 這些消息可以包含OLE對象。

當使用Microsoft Outlook客戶端查看電子郵件時,富文本電子郵件將會以更為酷炫的方式展現郵件內容。

0x03 前述內容小結

你可能已經知道我的想法了,如果仍不明晰,就讓我們總結一下目前為止所了解到的內容:

1.Microsoft Outlook可以創建和呈現RTF電子郵件。

2.RTF文檔(包括電子郵件消息)可以包含OLE對象。

3.由于SMB,OLE對象可以位于遠程服務器上。

3.1 觀察Microsoft Outlook行為

互聯網上的HTML電子郵件比富文本電子郵件更為常見,因此,讓我們首先查看在Web服務器上具有遠程圖像的HTML消息時Microsoft Outlook的行為:

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

在這里我們可以看到遠程圖像沒有自動加載。為什么會出現這樣的情況?原因是如果Outlook允許遠程映像自動加載,它可能會泄露客戶端系統的IP地址和其他元數據,例如查看電子郵件的時間。 此限制有助于防止電子郵件中使用的網絡錯誤。現在讓我們以富文本格式的形式來查看同樣的內容,現在它并不是遠程圖像文件,而是從遠程SMB服務器上加載的OLE文檔:

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

這種現象是意料之外的。由于網絡錯誤的隱私風險,Outlook會阻止遠程Web內容。 但是,如果使用富文本電子郵件,則OLE對象將被加載而沒有用戶交互。讓我們看一下Wireshark(網絡封包分析軟件)中的流量來弄清由于這種自動遠程對象加載泄露了什么內容:

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

在這里我們可以看到,SMB連接正在自動協商。觸發此協商的唯一操作是Outlook對發送給它的電子郵件進行了預覽操作。 在上面的屏幕截圖中,我可以看到以下內容正在泄露:

1、IP地址

2、域名

3、用戶名

4、主機名

5、SMB會話密鑰

富文本電子郵件中的遠程OLE對象的作用就類似于網絡錯誤中的興奮劑。在2016年末的分析中,我通知了微軟這個問題。

0x04 OLE網絡錯誤的影響

這個錯誤將導致兩個主要的問題,如下所述:

4.1 客戶端崩潰

我們知道在這一點上,我們可以出發Outlook啟動到任意主機的SMB連接。2017年2月1日,披露了Windows SMB客戶端漏洞(VU#867968)。 連接到惡意SMB服務器時,Windows會崩潰。如果我們在Outlook中創建了富文本電子郵件,但指向利用此漏洞的SMB服務器,該怎么辦?

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

如上所述,一旦Outlook預覽了這樣一封電子郵件,Windows就會崩潰,出現藍屏死機(藍屏)。除此之外,每次遇到這種情況后Outlook都會啟動,Windows將再次崩潰,因為Outlook會記住最后一封打開的電子郵件。這相當于拒絕服務攻擊行為。在這一點上,我與微軟分享了攻擊細節。最終,微軟解決了這個SMB漏洞,幸運的是,我們沒有聽說任何基于郵件的大規模電子郵件攻擊。

4.2 收集密碼哈希值

除了SMB的漏洞之外,我決定深入挖掘客戶端試圖啟動SMB連接到攻擊者服務器的風險。 根據我在Wireshark(網絡封包分析軟件)中看到的,我已經知道它泄露的不僅僅是受害者的IP地址。這次我同時使用了Responder)(響應系統)和John the Ripper(快速密碼破解工具)。

首先,我發送了一個富文本電子郵件,該電子郵件具有指向運行響應程序的系統的遠程OLE對象。在響應系統上,我在Outlook中預覽電子郵件后立即看到以下內容:

[SMB] NTLMv2-SSP Client   : 192.168.153.136[/size]

[size=3][SMB] NTLMv2-SSP Username : DESKTOP-V26GAHF\test_user[/size]

[size=3][SMB] NTLMv2-SSP Hash     : test_user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

這里我們有一個NTLMv2哈希,我們可以將它交給John the Ripper(快速密碼破解工具)。 如下所示,我將哈希復制并粘貼到名為test_user.john的文件中:

john test_user.john[/size]

[size=3]Using default input encoding: UTF-8[/size]

[size=3]Loaded 1 password hash (netntlmv2, NTLMv2 C/R [MD4 HMAC-MD5 32/64])[/size]

[size=3]Will run 24 OpenMP threads[/size]

[size=3]Press 'q' or Ctrl-C to abort, almost any other key for status[/size]

[size=3]test             (test_user)[/size]

[size=3]Session completed

在不到1秒的時間內,我就可以確定打開我富文本電子郵件的用戶“test_user”的密碼是“test”。 更強密碼的散列(更長和更多類型的字符)需要更長時間才能破解。我已經做了一些基本的測試,在單個中檔GPU(NVIDIA GTX 960)上破解8字符密碼的整個解決方案空間需要多長時間:

1、小寫字母 - 16分鐘

2、混合大小寫字母 - 3天

3、混合大小寫字母和數字 - 12天

4、混合大小寫字母,數字和符號 - 1年

以上統計數據是暴力破解隨機生成密碼的最壞情況。任何文字(比如“test”)或模式(比如“asdf”)的密碼比隨機生成的密碼更容易破解,因為大多數破解工具都有規則來檢查這些事情。

另外,攻擊者可以訪問具有多個高端GPU的系統,這些GPU可以將他們的時間縮減為上述數字的一小部分。不過,添加到密碼長度的每個字符對暴力破解密碼所需的時間都有指數效應。例如,雖然我的中檔GPU需要1年的時間才能耗盡8個字符的密碼(混合大小寫字母,數字和符號)的整個解決方案空間,但將密碼長度增加到9個字符也會增加耗時,將需84年來獲取全部解決方案空間!


0x05 微軟的修復

微軟針對Outlook自動加載遠程OLE內容(CVE-2018-0950)的問題發布了一個修復程序。一旦安裝了此修復程序,預覽的電子郵件將不再自動連接到遠程SMB服務器。 此修復有助于防止上面列出的攻擊。但意識到即使使用這個補丁,用戶仍然只需點擊一下即可成為上述攻擊類型的受害者,這一點很重要。例如,如果電子郵件消息具有以“\\”開頭的UNC樣式鏈接,則單擊此鏈接會啟動到指定服務器的SMB連接。

如何利用CVE-2018-0950漏洞自動竊取Windows密碼

其他詳細信息可在CERT漏洞注釋VU#974272中找到。

0x06 結論與建議

在Windows平臺上,有幾種方法可以使客戶端啟動SMB連接。 任何時候SMB連接啟動時,客戶端的IP地址,域名,用戶名,主機名和密碼哈希都可能泄漏。 為了防止涉及導致受害者機器啟動SMB連接的攻擊,請考慮以下緩解措施:

安裝Microsoft更新CVE-2018-0950。此更新防止在預覽富文本電子郵件時自動檢索Microsoft Outlook中的遠程OLE對象。 但是,如果用戶單擊SMB鏈接,此行為仍會導致密碼散列泄漏。

在您的網絡邊界處阻止入站和出站SMB連接。這可以通過阻止端口445/tcp,137/udp,139/udp以及137/udp和139/udp來完成。

按照Microsoft安全通報ADV170014中的規定,阻止NTLM單點登錄(SSO)身份驗證。從Windows10和Server2016開始,如果創建EnterpriseAccountSSO注冊表值并將其設置為0,則將禁用外部和未指定網絡資源的SSO身份驗證。通過此注冊表更改,仍然允許訪問SMB資源,但外部和未指定的SMB資源將需要用戶輸入憑據,而不是自動嘗試使用當前登錄的用戶的散列。

假設您的客戶端系統在某個時候會嘗試與攻擊者的服務器建立SMB連接。 因此,請確保任何Windows登錄名都有足夠復雜的密碼,以防止破解。以下兩種策略可以幫助實現這一目標:

1.使用密碼管理器來幫助生成復雜的隨機密碼 此策略可以幫助確保跨所用資源使用唯一密碼,并確保密碼具有足夠的復雜性和隨機性。

2.使用更長的密碼(使用混合大小寫字母,數字和符號)而不是密碼。這種策略可以產生令人難忘的憑證,不需要額外的軟件來存儲和檢索。

關于如何利用CVE-2018-0950漏洞自動竊取Windows密碼就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

卓尼县| 武城县| 汕头市| 于田县| 军事| 金阳县| 夏津县| 宁城县| 浦北县| 望都县| 会东县| 山东省| 文化| 连江县| 保康县| 青河县| 河津市| 中牟县| 新密市| 崇阳县| 永春县| 建阳市| 商丘市| 瑞昌市| 赣榆县| 榆树市| 太仆寺旗| 鄂托克前旗| 拜城县| 广宗县| 班玛县| 沅江市| 武平县| 唐山市| 拉萨市| 邵武市| 斗六市| 隆回县| 西乌| 柳河县| 成武县|