Share 
## https://sploitus.com/exploit?id=C5367E0D-4C8F-52E1-B586-984938FB4697
# Explotaci贸n de CVE-2024-21413 (Outlook)

Estado del proyecto: En pausa (pr谩ctica incompleta; no se logr贸 capturar hashes NTLM)

## Objetivos

Intentar explotar la vulnerabilidad CVE-2024-21413, que permite la fuga de hashes NTLM en Outlook al interactuar con enlaces maliciosos.

El objetivo de la pr谩ctica no era construir desde cero todas las herramientas utilizadas en el ataque, sino comprender a fondo su funcionamiento central y experimentar con los errores reales al montar una infraestructura propia.

He utilizado c贸digos de exploits y servidores SMTP/POP3 desarrollados por terceros, publicados por la comunidad, a la cual agradezco profundamente.


## Contenido

- Requisitos
- M谩quinas virtuales
- Instalaci贸n
- Flujo de la explotaci贸n
- Pruebas y resultados
- Lecciones aprendidas


## Requisitos

- Python 3.10+
- Outlook 2016
- Kali linux
- Servidores propios SMTP/POP3
- Exploit
- Maquinas virtuales

## M谩quinas virtuales

### M谩quina v铆ctima (Windows)

- **SO**: Windows 10 Home (x32)
- **Outlook**: Microsoft Outlook 2016 (versi贸n 16.0.4266.1001)
- **Red**: Adaptador 1: NAT, Adaptador 2: Red interna

### M谩quina atacante (Kali)

- **SO**: Kali Linux 2025.1
- **Herramientas y bibliotecas instaladas**: 
  - Python 3.10+
  - smtplib
  - email
  - socket
  - threading 
  - os
  - aiosmtpd
  - servidor-smtp.py
  - servidor-pop3.py
  - exploit.py
- **Red**: Adaptador 1: NAT, Adaptador 2: Red interna

### Infraestructura

- Se montaron los servidores SMTP y POP3 en la m谩quina atacante (Kali) manualmente usando scripts en Python.


Las m谩quinas fueron ejecutadas en VirtualBox.


## Instalaci贸n

### Instalaci贸n (Kali)

#### Instalaci贸n servidor SMTP
- **Venv**: Entorno virtual con Python 3
  - **Paso 1**: Crear un directorio para el servidor y el entorno virtual (mkdir smtp-lab) y accede a 茅l (cd smtp-lab)
  - **Paso 2**: Crea un entorno virtual dentro del directorio (python3 -m venv venv)
  - **Paso 3**: Activa el entorno virtual (source venv/bin/activate)
  - **Paso 4**: Instalar aiosmtpd dentro del entorno virtual (pip install aiosmtpd)
  - **Paso 5**: Crear el codigo del servidor (nano servidor-smtp.py)
  - **Paso 6**: Ejecutar el servidor (python3 servidor-smtp.py)

##### C贸digo del servidor SMTP
El c贸digo del servidor SMTP se encuentra en el archivo [`src/servidor-smtp.py`](./src/servidor-smtp.py).

#### Instalaci贸n servidor POP3:
- **Paso 1**: Crear un directorio para el servidor (mkdir pop3-server) y acceder a 茅l (cd pop3-server)
- **Paso 2**: Crear el c贸digo del servidor (nano server-pop3.py) 
- **Paso 3**: Ejecutar el servidor (python3 server-pop3.py)

##### C贸digo del servidor POP3
El c贸digo del servidor POP3 se encuentra en el archivo [`src/servidor-pop3.py`](./src/servidor-pop3.py).

#### Instalaci贸n exploit
- **Paso 1**: Crear el c贸digo, este c贸digo lo he extra铆do de [CMNatic](https://github.com/CMNatic), pero ha sido adaptado para mi infraestructura (nano exploit.py)

##### C贸digo del exploit
El c贸digo del exploit se encuentra en el archivo [`src/exploit.py`](./src/exploit.py).

### Instalaci贸n (Windows 10)
- **Paso 1**: Instalar ISO Microsoft Office 2016, yo use la p谩gina archive.org e instale la versi贸n de Microsoft Office 2016 Professional Plus x86
- **Paso 2**: Una vez instalada la ISO descargar Microsoft office y acceder a Outlook 2016
- **Paso 3**: Configurar correctamente Outlook

#### Configuraci贸n de Outlook 2016
Aqu铆 se muestra c贸mo configurar Outlook para que funcione con el servidor SMTP y POP3 de prueba.
- Tanto en el punto de "Incoming mail server" como "Outgoing mail server(SMTP)" se debe de poner la ip de la interfaz de red interna de la m谩quina atacante (Kali).
- La contrase帽a es irrelevante para el ataque, se puede elegir cualquiera.

![Captura de pantalla de la configuraci贸n](./capturas/configuracion-outlook.png)

## Flujo de explotaci贸n
El objetivo del exploit para CVE-2024-21413 es lograr que Outlook haga una solicitud autom谩tica de tipo SMB a un recurso controlado por el atacante, lo que resulta en el env铆o del hash NTLM de la v铆ctima, que puede ser capturado offline para crackeo.

### Preparaci贸n del entorno
1. La m谩quina atacante (Kali) lanza un servidor SMTP y POP3 personalizado.
2. Outlook en la m谩quina v铆ctima (Windows 10) est谩 configurado para recibir correos desde ese servidor.
3. La m谩quina atacante (Kali) levanta un servidor SMB falso (En mi caso utilic茅 responder)

### Env铆o del correo malicioso
- Se env铆a un correo a la v铆ctima desde el SMTP del atacante.
- El cuerpo del mensaje contiene un enlace UNC malicioso.
- La ruta est谩 dise帽ada para activar una conexi贸n SMB autom谩tica si el usuario interact煤a con el enlace.

### Interacci贸n del usuario
- La v铆ctima abre Outlook y ve el mensaje.
- Se espera que haga clic en el enlace.
- Si Outlook intenta resolver la ruta UNC, se genera una petici贸n SMB al servidor del atacante.
- A continuaci贸n, se muestra c贸mo se ver铆a el correo malicioso en Outlook desde la perspectiva de la v铆ctima:

![Correo malicioso en Outlook](./capturas/correo-victima.png)


### Captura del hash
- El servidor SMB del atacante recibe la conexi贸n.
- Outlook, al intentar autenticar, env铆a autom谩ticamente el hash NTLM del usuario.
- El atacante puede guardar ese hash para un ataque tipo hashcat.

### Notas
- En mi caso, el correo llegaba correctamente a Outlook.
- Sin embargo, al hacer clic en el enlace UNC, no se generaba la conexi贸n SMB esperada.
- A煤n desconozco la causa del fallo, aunque sospecho que puede estar relacionado con la configuraci贸n de red, la versi贸n de Outlook o un problema de accesibilidad o respuesta del servidor SMB.


## Pruebas y resultados

### Funcionalidades que s铆 funcionaron
- SMTP y POP3 configurados correctamente, Outlook sincroniz贸 con ellos sin errores.
- El correo malicioso fue recibido por Outlook.
- El mensaje mostraba el enlace UNC sin ser bloqueado.
- El entorno SMB del atacante estaba levantado y en escucha.

### Lo que no funcion贸
- Al hacer clic en el enlace UNC desde Outlook, no se produjo tr谩fico SMB visible en Wireshark.
- No se gener贸 ning煤n intento de autenticaci贸n NTLM desde la m谩quina v铆ctima
- No se registraron conexiones en el servidor SMB.

### An谩lisis con Wireshark
- Capturas tomadas en la interfaz de Kali (eth1).
- Se observ贸 el tr谩fico SMTP y POP3, pero ning煤n paquete TCP 445 ni UDP 137/138 al hacer clic en el enlace.
- Tambi茅n se intent贸 con Outlook ejecutado como administrador: sin cambios.


## Lecciones aprendidas
### Conocimientos adquiridos
- C贸mo funcionan SMTP y POP3 desde nivel bajo.
- Qu茅 espera exactamente Outlook al sincronizar cuentas.
- C贸mo Outlook interpreta enlaces UNC y qu茅 condiciones deben cumplirse para que los abra autom谩ticamente.
- El valor de Wireshark y logs como herramientas de depuraci贸n en laboratorios complejos.

### Por qu茅 decid铆 cerrarlo aqu铆
- Tras m煤ltiples intentos, el exploit no lleg贸 a la etapa de captura de hash, que era el objetivo final.
- Document茅 toda la infraestructura, pruebas y resultados, lo cual sigue siendo valioso como laboratorio educativo.
- Aunque no se logr贸 el objetivo final, el proceso me permiti贸 adquirir un conocimiento profundo de cada componente t茅cnico involucrado. Se puede retomar en el futuro.

## Cr茅ditos
El c贸digo de este exploit est谩 basado en el trabajo de CMNatic de [https://github.com/CMNatic/CVE-2024-21413](https://github.com/CMNatic/CVE-2024-21413). He realizado modificaciones para adaptarlo a mi entorno.