SantrY Jul 26 2022 at 12:03

Бесконтрольный доступ и рассеянность: итоги одного пентеста

8 min

13K

Бастион corporate blogInformation Security*Web services testing*Personnel Management*

+34

Comments 13

OlgaRode Jul 26 2022 at 12:33

Такое вот необходимое занудство — время от времени напоминать, что хранить пароли в почтовых ящиках и мессенджерах — это не комильфо.

Мне сегодня приехал ежедневник с Озона, там была милая такая вкладка: https://clck.ru/sP2Hg (ссылка на фото в ВК). Особенно умилили "кровавые" пятна, которые кагбэ напоминают о цене такого листика.

akhalat Jul 26 2022 at 12:39

В этот момент происходит автоматическая аутентификация учетной записи, под которой был открыт документ. На стороне нашего сервера фиксируется имя учетной записи и NTLMv2-хеш пароля.

От чего именно это учетка и пароль?

SantrY Jul 26 2022 at 12:46

Речь о доменной учетной записи. Добавлю уточнение в текст

akhalat Jul 26 2022 at 12:53

А откуда ее знает офис, или чем там открывается этот документ?

SantrY Jul 26 2022 at 13:23

Документ открывается в Word. В структуру документа (.docx) встраивается ссылка на объект, которая ведет на SMB-сервер. Когда документ открывается, Word пытается загрузить этот объект с нашего сервера. Он приходит туда и стучится, используя учетную запись пользователя, открывшего документ. В результате на сервере остается NetNTLM хеш пароля, имя учетки и IP. Это уже достаточно старая техника, кажется, впервые ее описали в 2018 году.

akhalat Jul 26 2022 at 17:00

используя учетную запись пользователя, открывшего документ.

Это в новых вордах такое накрутили, что он так запросто имеет доступ к учетке винды?
Мда уж.

mayorovp Jul 26 2022 at 20:08

Это так сетевые папки в винде работают, с древних времён.

nochkin Jul 27 2022 at 17:28

Вроде как это не сам ворд имеет доступ, а системный вызов, которым этот ворд пользуется. Ворд не может получить этот хеш напрямую.

UltraMax Jul 27 2022 at 11:38

Я правильно понимаю, что при открытии Office документа на редактирование, можно отправить запрос на любой адрес (не только внутри домена компании, например) со всеми вышеупомянутями данными? Как же тогда редактировать документы, в принципе? OpenOffice что-ли использовать? А если вся инфраструктура на Microsoft технологиях?

EURO_KOLYAN Jul 27 2022 at 14:53

Ааааа.. В последнее время столько уже говорили что пикселизировать текст нельзя! Его легко распознают нейросети, самое надёжное черным цветом заливать! Но нет тут все просто замылено.

SantrY Jul 27 2022 at 14:53

Эх, я ждал, что кто нибудь восстановит текст и найдет пасхалку, а вы просто так сразу с плеча и не проверив. Придется раскрыть секрет.

Пикселизация просто художественный прием, поэтому чувствительная информация на скриншотах сначала заменена на безобидную, а уже потом наложен фильтр.

nochkin Jul 27 2022 at 17:30

Точно. Под пикселами есть надпись "покупайте наших слонов!".

EURO_KOLYAN Jul 28 2022 at 21:10

Ахах, ну ладно)