Malicious Pdf Contrasena Ntlm

El tema del robo de contraseñas en Windows no es una novedad, pues desde hace tiempo se conoce la reputación con la que cuentan los sistemas de cifrado de este SO, que pueden ser violentados por simples ataques por fuerza bruta. Por fortuna, el cifrado Hash LM ya fue eliminado de este SO debido a que era realmente vulnerable a los ataques, sin embargo, aún cuenta con el cifrado Hash NTLM (NTLan Manager) , que aunque aparentemente es el más robusto, no es tan óptimo, pues un investigador descubrió que  las filtraciones de hash NTLM también se pueden lograr a través de archivos PDF.

De acuerdo con el reporte de un equipo de investigación de la firma Check Point, descubrieron que es muy sencillo hacerse con las contraseñas de Windows desde un archivo PDF; 

Según los investigadores de la firma de seguridad, los atacantes aprovechan la edición de los PDF, esta característica permite  incrustar documentos y archivos remotos dentro de un archivo en este formato.  El atacante puede usar esta característica para inyectar contenido malicioso en el archivo y, al abrirlo, el objetivo filtra automáticamente las credenciales en forma de hash NTLM. 

El PDF modificado por sí solo no puede extraer la contraseña en texto plano, sino que se queda con el hash.  

Lo más aterrador de todo esto, es que el usuario no necesita interactuar con el PDF, una vez abierto el archivo, el virus actúa de inmediato, sin evidenciar alguna actividad sospechosa por parte del atacante.

Los detalles del hash se filtran mediante el protocolo SMB de Windows y se envían al server del atacante. Según los investigadores,  todos los visualizadores de PDF en Windows son vulnerables a este problema.

Así mismo, la compañía indicó que reportó el fallo a Adobe y estos respondieron sin aportar una solución al respecto, diciendo lo siguiente: “Gracias por registrarte en este caso. Microsoft emitió una mejora de seguridad opcional [0] a fines del año pasado, que brinda a los clientes la capacidad de deshabilitar la autenticación NTLM SSO como método para recursos públicos. Con esta mitigación disponible para los clientes, no estamos planeando realizar cambios en Acrobat “.

Según el reporte, los investigadores aún no han recibido respuesta de Foxit, otro de los visualizadores PDF de Windows.