BADPDF – Stealing Windows Credentials via PDF Files
Microsoft NTLM is protocol is an authentication protocol used on networks that include systems running the Windows operating system and stand-alone systems. Despite Microsoft's implementation of Kerberos, NTLM is still in use in order to support older systems. Many exploits in the past targeted Microsoft Office and Windows OS internal functions in order to cause the leaking of Windows user's NTLM hashes, which can then be cracked and disclose the original passwords. Are those the only products vulnerable to NTLM credential theft? Find out how PDF files can be weaponized to automatically achieve NTLM hash leaks with no user interaction.
Shortly after it was reported that malicious actors can exploit a vulnerability in MS outlook to leak a Windows user’s NTLM hashes, our research team revealed that NTLM hash leak can be achieved via PDF files with no user interaction or exploitation. Rather than exploiting a vulnerability in Microsoft Office files or Outlook, attackers can weaponize a PDF file by exploiting a feature that allows embedding remote documents and files within it. By pointing the embedded object to a remote SMB server, the target automatically leaks credentials in the form of NTLM hashes when the PDF is opened.
In this presentation I will first cover the basic structure of a PDF file and its objects, in particular the Dictionary object where this vulnerability lies.
Next I will present our team’s Proof of Concept, injecting malicious code into a benign PDF file, weaponizing it, and causing an NTLM hash leak upon opening the file.
I will then discuss the impact of this attack, by showing the leaked NTLM hash captured on the remote SMB server and how it can be cracked to retrieve the victim’s original password.
Additional information
| Type | Vortrag (kurz) |
|---|---|
| Language | English |
More sessions
| 5/30/19 |
Der Besuchs eines Chaosevents kann entweder spontan oder geplant erfolgen. Dargelegt wird, was bei der Vorbereitung und beim Besuch eines Chaosevents alles zu beachten ist. Dabei wird auf unterschiedliche Arten von Events und deren Besonderheiten eingegangen.
|
| 5/30/19 |
Das bytewerk bringt zur GPN19 eine Neuauflage der Schlangenprogrammiernacht inkl. neuem Backend mit. In diesem Vortrag zeigen wir für Neulinge kurz das Konzept und stellen die Änderungen gegenüber der letzten Version vor.
|
| 5/31/19 |
Wie man für unter 100€ zu einer echten VR-Brille kommt, und was man damit unterwegs / ohne dicken Gaming-PC so anstellen kann. Kurzer Überblick über den Stand der Technik in Indie-VR.
|
| 5/31/19 |
Was für APIs bietet die Bahn eigentlich an? Sind die alle Sinnvoll struktiert und einheitlich? Oder eher nicht? Ein Einblick in die Datengrundlage von https://marudor.de
|
| 5/31/19 |
Apps lassen sich super einfach auf dem Handy installieren, aber was genau machen diese eigentlich? Wie sollte man vorgehen, wenn man in seiner Firma "die neue Mailapp" freigibt?
|
| 5/31/19 |
Online tracking is not exclusive to websites, but also widespread in eMails. We built an open platform to detect eMail tracking, and we'd like to show some results and invite you to participate.
|
| 5/31/19 |
Telematik und Digitalisierung in der Medizin - ein Jahr unterwegs - ein Reisebericht
|
