Сброс (взлом) пароля к документам MS Word путем вскрытия мета-данных

Into

И так, всем нам давно известный случай, когда документ MS Word что у на руках защищен от изменений, то есть доступен только "для чтения". Эта старая фича в MS Office позволяющая при сохранении документа установить пароль на его изменение. В принципе механизм защиты - да! работает - да! А что же можно сделать что бы получить доступ к документу на редактирование?

Один из вариантов, что нам предлагает гугл или "знатоки безопасности" это заюзать специальные тулзы для получения пароля путем брута, то есть перебора. Конечно, вариант рабочий, отметать его совсем нельзя, но это как то выглядит сильно банально и "в лоб" что ли. Мы поступим более изящно:)

Ограничение

Данный метод проверен на версиях MS Office от 2003 до 2007, более же поздние релизы Офиса могут быть уже вылечены от этого бага, так что 100% гарантий нет, но узнать этом можно только на практике, так что пробуйте.

Ну и как известно, есть был найден этоn баг то рано или поздно может появиться другой метод подходящий и для самых свежих выпусков MS Office.

Уязвимость в документах MS Office

Исследователем безопасности был обнаружена уязвимость в механизме защиты документов, созданных при помощи популярного текстового процессора Microsoft Word. Исследователь утверждает, что подобную защиту можно очень просто обойти, используя любой 16-ричный (HEX) редактор. Подобный механизм выбирается при помощи последовательности действий: "Tools" -> "Protection" -> "Forms" c заданием пароля в соотв. поле ("Сервис" -> "Установить защиту" -> далее запрет действий вне полей форм и ввод пароля в русской версии).

При сохранении документа в HTML-формате пароль сохраняется внутри определённого тэга в виде контрольной суммы, вычисляемой по алгоритму, подобному CRC32. И, хотя точный алгоритм вычисления суммы не известен, однако автор заметил, что, если изменить это значение на число вида 0x00000000, пароль будет представлять собой пустую строку. Для снятия защиты автор предлагает найти 16-ричное число внутри тэгов <w:UnprotectPassword> </w:UnprotectPassword>. Затем запомнить число и записать его в обратном порядке . Затем открыть соотв. DOC-файл в 16-ричном редакторе — найти соотв. число и заменить все 4 двойных байта на 0x00 и сохранить. После этого: Открыть документ, "Tools / Unprotect Document" — пароль пустой.

Практика

Изменение формата файла

1. Запустите программу Microsoft Word (не файл) и перейдите в меню «Файл».

2. Выберите пункт «Открыть» и укажите путь к документу, который нужно разблокировать. Для поиска файла используйте кнопку «Обзор».

3. Открыть для редактирования его на данном этапе не получится, но нам этого и не нужно.

Все в том же меню «Файл» выберите пункт «Сохранить как».

4. Укажите место для сохранения файла, выберите его тип: «Веб-страница».

5. Нажмите «Сохранить» для сохранения файла в качестве веб-документа.

Примечание: Если в документе, который вы повторно сохраняете, применены особые стили форматирования, может появится уведомление о том, что некоторые свойства данного документа не поддерживаются веб-браузерами. В нашем случае это границы знаков. К сожалению, ничего не остается, как это изменение принять, нажав на кнопку «Продолжить».

Поиск пароля

1. Перейдите в папку, в которую вы сохранили защищенный документ в качестве веб-страницы, расширение файла будет «HTM».

2. Кликните по документу правой кнопкой мышки и выберите пункт «Открыть с помощью».

3. Выберите программу Notepad++.

Примечание: В контекстном меню может содержаться пункт «Edit with Notepad++». Следовательно, выберите его для открытия файла.

4. В открывшемся окне программы в разделе «Поиск» выберите пункт «Найти».

5. Введите в строке поиска в угловых скобках (<>) тег w:UnprotectPassword. Нажмите «Искать далее».

6. В подсвеченном фрагменте текста найдите строку схожего содержания: w:UnprotectPassword>00000000, где цифры «00000000», расположенные между тегами, это и есть пароль.

Примечание: Вместо цифр «00000000», указанных и использованных в нашем примере, между тегами будут находиться совсем иные цифры и/или буквы. В любом случае, это и есть пароль.

7. Скопируйте данные между тегами, выделив их и нажав «CTRL+C».

8. Откройте оригинальный документ Word, защищенный паролем (не его HTML-копию) и вставьте в строку ввода пароля скопированное значение (CTRL+V).

9. Нажмите «ОК» для открытия документа.

10. Запишите этот пароль или измените его на любой другой, который вы точно не забудете. Сделать это можно в меню «Файл» — «Сервис» — «Защита документа».

Альтернативный метод

Если вышеописанный метод вам не помог или же по каким-то причинам он вас не устроил, рекомендуем попробовать альтернативное решение. Данный метод подразумевает преобразование текстового документа в архив, изменение одного элемента, содержащегося в нем, и последующее преобразование файла обратно в текстовый документ. Нечто похожее мы проделывали с документом для извлечения из него изображений.

Изменение расширения файла

Откройте папку, в которой содержится защищенный файл, и измените его расширение с DOCX на ZIP. Для этого выполните следующее:

1. Кликните по файлу и нажмите F2.

2. Удалите расширение DOCX.

3. Введите вместо него ZIP и нажмите «ENTER».

4. Подтвердите свои действия в появившемся окне.

Изменение содержимого архива

1. Откройте zip-архив, перейдите в папку word и найдите там файл «settings.xml».

2. Извлеките его из архива, нажав на кнопку на панели быстрого доступа, через контекстное меню или путем простого перемещения из архива в любое удобное место.

3. Откройте этот файл с помощью Notepad++.