Recuperação de senhas de documentos Office
Desbloqueando documentos empresariais protegidos por senha
O que você vai descobrir
🎯 Por que isso importa
A quebra de senhas de documentos Microsoft Office representa um dos desafios mais frequentemente encontrados em testes de penetração e forense digital. Organizações rotineiramente protegem planilhas sensíveis, apresentações e documentos com senhas, acreditando que isso fornece segurança adequada. Durante avaliações de segurança, pentesters regularmente descobrem arquivos Office protegidos por senha contendo informações comerciais críticas, diagramas de rede, listas de senhas e dados confidenciais. Entender como quebrar senhas de documentos Office permite que profissionais de segurança avaliem a eficácia real das políticas de proteção de documentos e demonstrem vetores de ataque do mundo real que adversários exploram para acessar informações corporativas protegidas.
🔍 O que você vai aprender
Você dominará ferramentas profissionais de quebra de senhas Office incluindo office2john, hashcat e John the Ripper, entenderá as diferenças críticas entre a criptografia legada do Office 97-2003 e a criptografia moderna do Office 2007+, e aprenderá a extrair e quebrar senhas de arquivos Word (.doc, .docx), Excel (.xls, .xlsx) e PowerPoint (.ppt, .pptx). Essas técnicas são essenciais para cenários de testes de penetração onde documentos protegidos contêm credenciais de rede, investigações forenses que requerem acesso a evidências criptografadas, e avaliações de segurança das práticas de proteção de documentos organizacionais.
🚀 Sua primeira vitória
Nos próximos 15 minutos, você extrairá hashes de senhas de documentos Office protegidos, entenderá por que arquivos Office legados quebram dramaticamente mais rápido que os modernos, e recuperará senhas usando ferramentas de segurança profissionais.
🔧 Experimente agora
Vamos criar um documento Word protegido por senha e extrair seu hash para entender o fluxo de trabalho completo:
# Instalar John the Ripper (inclui office2john)
# Ubuntu/Debian
sudo apt update && sudo apt install john
# macOS com Homebrew
brew install john-jumbo
# Verificar se office2john está disponível
which office2john
# Para esta demonstração, crie um documento Word protegido por senha:
# 1. Abra o Microsoft Word
# 2. Crie um documento simples com o texto: "HackerDNA Test Document"
# 3. Salvar como → Ferramentas → Opções gerais → Senha para abrir: "test123"
# 4. Salvar como: protected_document.docx
# Extrair hash do documento Office protegido
office2john protected_document.docx > office_hash.txt
# Visualizar o formato do hash extraído
cat office_hash.txt
# O formato do hash revela a versão do Office e tipo de criptografia
# Office moderno (2007+): $office$*2007*... (criptografia AES forte)
# Office legado (97-2003): $oldoffice$... (criptografia RC4 fraca)
# Quebrar a senha usando John the Ripper
john --wordlist=/usr/share/wordlists/rockyou.txt office_hash.txt
# Mostrar senha quebrada
john --show office_hash.txtVocê verá: O formato do hash imediatamente informa se é um documento Office legado (rápido para quebrar) ou documento Office moderno (muito mais lento). A senha "test123" será quebrada rapidamente do rockyou.txt, demonstrando por que senhas fracas não fornecem proteção real independentemente da força da criptografia.
Habilidades que você dominará
✅ Compreensão fundamental
- Evolução da criptografia Office e implicações de segurança
- Extração de hashes de arquivos Word, Excel, PowerPoint
- Identificação da versão Office a partir do formato do hash
- Diferenças entre criptografia Office legada e moderna
🔍 Habilidades avançadas
- Otimização avançada de quebra de senhas Office
- Fluxos de trabalho de processamento em lote multi-documentos
- Estratégias de ataque personalizadas para documentos corporativos
- Extração e quebra de senhas de macros VBA
Entendendo a criptografia de documentos Office
A criptografia de documentos Microsoft Office passou por uma transformação dramática através das versões, criando uma divisão crítica de segurança entre arquivos legados e modernos. Documentos Office 97-2003 usavam criptografia proprietária baseada em RC4 com chaves fracas de 40 bits, tornando-os extremamente vulneráveis a ataques de quebra de senha. Office 2007 introduziu uma redesenho fundamental com criptografia AES-128 e derivação de chave apropriada, enquanto Office 2010+ aprimorou isso ainda mais com AES-256 e contagens de iteração aumentadas. Entender esses métodos de criptografia é essencial para avaliar a segurança real de documentos protegidos por senha e estimar a viabilidade de ataques.
🔐 Evolução da criptografia Office
Office 97-2003: RC4 com chave de 40 bits (extremamente fraco, quebra em segundos)
Office 2007-2010: AES-128, SHA-1, 50.000 iterações (segurança moderada)
Office 2013+: AES-256, SHA-512, 100.000 iterações (forte com boas senhas)
A fraqueza
Documentos Office legados usam algoritmos de criptografia fundamentalmente quebrados com derivação de chave fraca, permitindo recuperação de senhas em segundos a minutos mesmo com senhas fortes.
O ataque
Extrair hashes de documentos usando office2john, identificar a versão Office e método de criptografia, então aplicar estratégias de ataque apropriadas baseadas na força da criptografia.
O resultado
Acesso ao conteúdo de documentos protegidos, revelando dados empresariais sensíveis, credenciais, diagramas de rede e informações confidenciais destinadas a permanecer seguras.
Avaliadores de segurança profissionais entendem que a versão Office impacta dramaticamente a viabilidade da quebra. A documentação de provedores criptográficos do Microsoft Office detalha as especificações de criptografia, mas a maioria dos usuários permanece inconsciente de que salvar arquivos em formatos Office legados compromete completamente a proteção por senha independentemente da força da senha. Documentos Office 97-2003 legados usam uma chave RC4 de 40 bits com verificação de senha fraca, permitindo que atacantes testem milhões de senhas por segundo em GPUs modernas.
A implementação técnica varia significativamente entre versões Office. Office 97-2003 usa um método de verificação de senha proprietário onde um hash da senha é armazenado diretamente, permitindo teste rápido de senhas. Office 2007+ implementa derivação de chave baseada em senha apropriada usando PBKDF2 com SHA-1 (2007-2010) ou SHA-512 (2013+), aplicando 50.000 a 100.000 iterações. Embora isso melhore dramaticamente a segurança comparado a formatos legados, senhas fracas permanecem vulneráveis a ataques de dicionário e híbridos. A contagem de iterações desacelera a quebra mas não pode compensar escolhas de senhas pobres.
Ferramentas e técnicas
🔨 office2john: extração profissional de hashes
A ferramenta office2john, parte da suíte John the Ripper, extrai hashes de senhas de documentos Microsoft Office em um formato otimizado para quebra de senhas. Este utilitário manipula arquivos Word (.doc, .docx), Excel (.xls, .xlsx) e PowerPoint (.ppt, .pptx), detectando automaticamente a versão Office e método de criptografia para extrair os dados criptográficos apropriados.
# Instalar John the Ripper com office2john
# Ubuntu/Debian
sudo apt update && sudo apt install john
# macOS (Homebrew - use a versão jumbo para office2john)
brew install john-jumbo
# Fedora/RHEL
sudo dnf install john
# Extrair hash de um único documento Office
office2john document.docx > office_hash.txt
# Extração em lote de múltiplos documentos
for doc in *.docx *.xlsx *.pptx; do
[ -f "$doc" ] && office2john "$doc" >> all_office_hashes.txt
done
# Examinar formato do hash extraído
cat office_hash.txt
# O formato do hash revela a versão Office e criptografia:
# Office legado: document.doc:$oldoffice$1*hash_data...
# Office 2007: document.docx:$office$*2007*20*128*16*...
# Office 2010: document.docx:$office$*2010*100000*128*16*...
# Office 2013: document.docx:$office$*2013*100000*256*16*...
# Extração de senha de macro VBA (tipo de hash diferente)
office2john --vba macros.xlsm > vba_hash.txt
O formato do hash extraído fornece inteligência crítica sobre a viabilidade do ataque. O prefixo
$oldoffice$
indica documentos Office 97-2003 legados com criptografia RC4 fraca, enquanto
$office$
denota Office 2007+ moderno com criptografia AES. Os números seguintes indicam a versão específica, contagem de iterações e comprimento de chave, permitindo seleção de estratégias de quebra apropriadas.
⚡ Ataques Office com John the Ripper
John the Ripper fornece quebra abrangente de senhas Office com detecção automática de formato e estratégias de ataque otimizadas. Ele se destaca na quebra de documentos Office legados e performa bem em arquivos Office modernos quando combinado com wordlists direcionadas.
# Ataque por dicionário em documentos Office
john --wordlist=/usr/share/wordlists/rockyou.txt office_hash.txt
# Ataque baseado em regras com mutações de senha
john --rules --wordlist=/usr/share/wordlists/rockyou.txt office_hash.txt
# Mostrar senhas quebradas
john --show office_hash.txt
# Modo incremental (força bruta) - eficaz para Office legado
john --incremental office_hash.txt
# Regras personalizadas para documentos Office corporativos
echo '[List.Rules:OfficeRules]' > office.conf
echo 'cAz"2024"' >> office.conf # Maiúscula + ano
echo 'cAz"!"' >> office.conf # Maiúscula + exclamação
echo 'Az"[0-9][0-9]"' >> office.conf # Adicionar dois dígitos
john --rules=OfficeRules --wordlist=corporate.txt office_hash.txt
# Gerenciamento de sessão para ataques longos
john --session=hdna_office office_hash.txt
john --restore=hdna_office # Retomar sessão interrompida
# Ataques específicos de formato
john --format=office office_hash.txt # Office moderno
john --format=oldoffice office_hash.txt # Office legadoA detecção automática de formato do John the Ripper simplifica o fluxo de trabalho, mas especificar o formato exato pode melhorar o desempenho. Documentos Office legados quebram extremamente rápido - mesmo senhas complexas podem cair em minutos. Documentos Office 2013+ modernos com senhas fortes podem resistir à quebra indefinidamente, tornando o sucesso do ataque inteiramente dependente da qualidade da senha.
🚀 Quebra de senhas Office com Hashcat
Hashcat fornece quebra de senhas Office acelerada por GPU com modos especializados para diferentes versões Office. Isso o torna a opção mais rápida para quebrar documentos Office, particularmente formatos legados que podem ser atacados a bilhões de tentativas por segundo.
# Modos Hashcat para documentos Office
# Modo 9400: Office 2007 (AES-128, SHA-1, 50000 iterações)
# Modo 9500: Office 2010 (AES-128, SHA-1, 100000 iterações)
# Modo 9600: Office 2013 (AES-256, SHA-512, 100000 iterações)
# Modo 9700: MS Office <= 2003 MD5 + RC4, oldoffice$0
# Modo 9710: MS Office <= 2003 MD5 + RC4, oldoffice$1
# Modo 9800: MS Office <= 2003 SHA1 + RC4, oldoffice$3
# Modo 9810: MS Office <= 2003 SHA1 + RC4, oldoffice$4
# Primeiro, identificar o modo correto da saída office2john
cat office_hash.txt
# Procurar: $office$*2013* = modo 9600
# $oldoffice$1* = modo 9710
# Ataque por dicionário contra documento Office 2013
hashcat -m 9600 -a 0 office_hash.txt rockyou.txt
# Office 97-2003 legado (extremamente rápido)
hashcat -m 9710 -a 0 office_hash.txt rockyou.txt
# Ataque por máscara para padrões de senha conhecidos
# Exemplo: Maiúscula + 6 minúsculas + 2 dígitos
hashcat -m 9600 -a 3 office_hash.txt '?u?l?l?l?l?l?l?d?d'
# Ataque híbrido: wordlist + números
hashcat -m 9600 -a 6 office_hash.txt corporate.txt '?d?d?d?d'
# Ataque por combinação: duas wordlists
hashcat -m 9600 -a 1 office_hash.txt wordlist1.txt wordlist2.txt
# Ataque baseado em regras com regras personalizadas
hashcat -m 9600 -a 0 office_hash.txt rockyou.txt -r rules/best64.rule
# Ajuste de carga de trabalho para otimização de GPU
hashcat -m 9600 -a 0 office_hash.txt rockyou.txt -w 3 # Carga altaAceleração por GPU fornece melhorias dramáticas de desempenho para quebra de senhas Office. Documentos Office legados podem ser quebrados a velocidades excedendo 100 milhões de tentativas por segundo em GPUs de ponta, tornando mesmo senhas complexas vulneráveis dentro de horas. Documentos Office 2013+ modernos são significativamente mais lentos devido ao PBKDF2 com 100.000 iterações, reduzindo velocidades para milhares ou dezenas de milhares de tentativas por segundo, tornando senhas fortes praticamente inquebráveis.
🎯 Técnicas de ataque Office especializadas
Além de ataques padrão de dicionário e força bruta, avaliadores profissionais empregam técnicas especializadas adaptadas às características de documentos Office e padrões de senhas corporativas.
# Quebra de senha de macro VBA (separada da senha do documento)
# Extrair hash VBA
office2john --vba protected_macros.xlsm > vba_hash.txt
# Quebrar senha VBA (geralmente mais fraca que a senha do documento)
john --wordlist=rockyou.txt vba_hash.txt
# Coleta de inteligência de senhas corporativas
# Criar wordlist personalizada de informações da empresa
# Nome da empresa, produtos, departamentos, frases comuns
echo "CompanyName2024" > corporate_passwords.txt
echo "Q1Financial2024" >> corporate_passwords.txt
echo "Budget2024" >> corporate_passwords.txt
# Análise de metadados para dicas de senha
# Verificar propriedades do documento e informações do autor
exiftool document.docx
strings document.docx | grep -i password
# Processamento em lote para múltiplos documentos
#!/bin/bash
for doc in *.docx; do
echo "Processando: $doc"
office2john "$doc" > "${doc}.hash"
john --wordlist=rockyou.txt "${doc}.hash"
done
# Verificar todos os resultados
john --show *.hash
# Conversão de formato para diferentes ferramentas
# Às vezes precisa ajustar o formato do hash entre ferramentas
# A saída office2john pode ser usada diretamente com john
# Para hashcat, pode precisar de pequenos ajustes de formatoAvaliações de segurança profissionais frequentemente revelam que senhas de macros VBA são significativamente mais fracas que senhas de documentos, pois usuários as veem como menos críticas para segurança. Adicionalmente, organizações frequentemente usam padrões de senhas previsíveis baseados em nomes de empresas, trimestres fiscais, nomes de projetos ou identificadores de departamento, tornando wordlists personalizadas altamente eficazes durante testes de penetração corporativos.
Contramedidas defensivas
🛡️ Imposição de formatos Office modernos
Organizações devem proibir formatos Office 97-2003 legados e exigir formatos Office 2013+ modernos para todos os documentos protegidos por senha. O guia de configuração de segurança do Microsoft Office fornece recomendações detalhadas para impor padrões de criptografia modernos em toda a organização.
- Políticas de restrição de formato: Bloquear salvamento de documentos em formatos Office 97-2003 via Política de Grupo
- Imposição de padrão de criptografia: Exigir Office 2016+ com AES-256 para documentos sensíveis
- Varredura de documentos legados: Detecção e conversão automatizada de arquivos de formato antigo
- Educação de usuários: Treinamento sobre diferenças de criptografia entre versões Office
🔐 Políticas de senha para documentos
Proteção eficaz de documentos requer políticas de senha especificamente projetadas para criptografia em nível de arquivo. Senhas de documentos Office devem assumir que o arquivo criptografado pode ser obtido por atacantes e submetido a tentativas de quebra offline com recursos ilimitados.
- Requisitos de alta complexidade: Mínimo de 16 caracteres com tipos de caracteres mistos
- Proibição de termos corporativos: Banir nomes de empresas, códigos de projetos, nomes de departamentos, trimestres fiscais
- Senhas únicas por documento: Nunca reutilizar senhas em múltiplos documentos ou contas
- Compartilhamento de senha fora de banda: Transmitir senhas através de canais separados dos documentos
⚡ Gerenciamento de direitos de informação empresarial
Para documentos empresariais sensíveis, proteção por senha representa uma abordagem desatualizada. Organizações devem implementar soluções de gerenciamento de direitos de informação (IRM) que fornecem segurança superior, auditoria e controle de acesso comparados a arquivos protegidos por senha.
- Azure Information Protection: Gerenciamento de direitos baseado em nuvem da Microsoft com proteção persistente
- Controles de acesso a documentos: Permissões granulares (visualizar, editar, imprimir, encaminhar) vinculadas à identidade do usuário
- Capacidades de revogação: Capacidade de revogar acesso a documentos mesmo após distribuição
- Registro de auditoria: Rastreamento abrangente de acesso a documentos, modificações e compartilhamentos
🔍 Prevenção de perda de dados e monitoramento
Organizações devem implementar sistemas de monitoramento para detectar criação suspeita de documentos Office, padrões de proteção por senha e tentativas potenciais de exfiltração de dados. Sistemas de prevenção de perda de dados (DLP) podem identificar documentos protegidos por senha no tráfego de rede e prevenir transferência não autorizada de dados.
- Integração DLP: Detectar e analisar transmissão de documentos Office protegidos por senha
- Varredura de segurança de email: Varredura automatizada de anexos protegidos por senha para violações de política
- Monitoramento de endpoints: Rastrear atividade de proteção por senha de documentos Office e sinalizar anomalias
- Conscientização de segurança: Treinamento regular sobre práticas apropriadas de proteção e compartilhamento de documentos
FAQ
Básico de quebra de senhas Office
Como quebrar um documento Microsoft Office protegido por senha?
Para quebrar senhas de documentos Office, use office2john (parte do John the Ripper) para extrair o hash da senha de arquivos Word, Excel ou PowerPoint. O formato do hash revela se é Office 97-2003 legado (extremamente rápido para quebrar) ou Office 2007+ moderno (muito mais lento). Então use John the Ripper ou hashcat com ataques de dicionário, mutações baseadas em regras ou força bruta dependendo da versão Office. Documentos Office legados podem ser quebrados em minutos mesmo com senhas complexas, enquanto Office 2013+ moderno com senhas fortes pode resistir à quebra indefinidamente.
Qual a diferença entre quebrar documentos Office 97-2003 vs Office 2007+?
A diferença é dramática. Office 97-2003 usa criptografia RC4 fraca com chaves de 40 bits e verificação de senha pobre, permitindo quebra a velocidades excedendo 100 milhões de tentativas por segundo em GPUs modernas. Mesmo senhas aleatórias complexas podem ser quebradas dentro de horas. Office 2007+ usa criptografia AES com derivação de chave PBKDF2 (50.000 a 100.000 iterações), reduzindo velocidades de quebra para milhares de tentativas por segundo. Office 2013+ com AES-256 e senhas fortes fornece proteção genuína contra capacidades de quebra atuais. Sempre verifique o formato do hash do office2john para identificar com qual versão você está lidando.
Qual modo hashcat usar para diferentes versões Office?
Hashcat usa diferentes modos para versões Office: modo 9700/9710 para Office 97-2003 com MD5+RC4, modo 9800/9810 para Office 97-2003 com SHA1+RC4, modo 9400 para Office 2007, modo 9500 para Office 2010 e modo 9600 para Office 2013. A saída office2john indica qual modo usar - procure por $oldoffice$ (modos legados) ou $office$*2007*, $office$*2010*, $office$*2013* no hash. Usar o modo correto é crítico para quebra bem-sucedida.
Implementação técnica
Posso quebrar senhas de macros VBA separadamente das senhas de documentos?
Sim, senhas de macros VBA são separadas das senhas de documentos e são extraídas diferentemente usando office2john com a flag --vba. Senhas de macros VBA tipicamente usam criptografia mais fraca que senhas de documentos e frequentemente quebram mais facilmente. Muitas organizações usam senhas simples para macros porque as veem como menos críticas para segurança que o conteúdo do documento. Extraia hashes VBA com "office2john --vba file.xlsm" e quebre-os usando ataques de dicionário padrão. Quebrar com sucesso senhas VBA pode revelar macros perigosas que executam código quando documentos são abertos.
Quanto tempo leva para quebrar diferentes tipos de senhas Office?
O tempo de quebra varia enormemente por versão Office e força da senha. Documentos Office 97-2003 legados com senhas fracas quebram em segundos, enquanto senhas complexas podem levar horas a dias mesmo com hardware forte. Documentos Office 2007-2010 com senhas fracas quebram em minutos a horas, enquanto senhas fortes podem levar semanas. Office 2013+ com senhas fracas pode quebrar em horas a dias, mas senhas fortes (16+ caracteres, alta entropia) se tornam praticamente inquebráveis, potencialmente requerendo décadas ou séculos de computação. A contagem de iterações PBKDF2 (50.000-100.000) desacelera dramaticamente a quebra de Office moderno comparado a formatos legados.
Aplicações práticas
Quais padrões de senha funcionam melhor para documentos Office corporativos?
Documentos Office corporativos frequentemente usam padrões de senha previsíveis: nome da empresa + ano, nome do projeto + trimestre, departamento + "Secure" + ano, ou identificadores de período fiscal (Q1, Q2, etc.). Crie wordlists personalizadas incorporando termos específicos da empresa coletados de OSINT (LinkedIn, site da empresa, comunicados à imprensa), estrutura organizacional (nomes de departamentos, códigos de projetos), e padrões temporais (ano atual, trimestres fiscais, eventos recentes). Combine essas palavras base com mutações comuns (capitalização, números, caracteres especiais) usando regras hashcat ou o motor de regras do John the Ripper para quebra de senhas corporativas altamente eficaz.
Organizações ainda devem usar documentos Office protegidos por senha?
Para dados altamente sensíveis, documentos Office protegidos por senha representam uma abordagem de segurança desatualizada. Organizações devem implementar soluções de gerenciamento de direitos de informação (IRM) como Azure Information Protection ou sistemas DRM empresariais que fornecem controle de acesso baseado em identidade, proteção persistente, capacidades de revogação e registro de auditoria abrangente. Proteção por senha é aceitável para documentos moderadamente sensíveis ao usar Office 2013+ com senhas únicas fortes (16+ caracteres), mas nunca para dados críticos. Formatos Office legados devem ser completamente proibidos para quaisquer documentos protegidos. Considere proteção por senha uma camada de segurança básica, não uma solução completa.
O que fazer se ataques padrão falharem em documentos Office modernos?
Quando ataques padrão falham em documentos Office 2013+, mude para abordagens baseadas em inteligência: analise metadados do documento (nome do autor, empresa, data de criação) para dicas de senha, examine padrões de nomeação de arquivos para pistas, conduza OSINT sobre criadores de documentos para construir wordlists direcionadas, verifique reuso de senha com outras credenciais descobertas, e procure dicas de senha em comunicações por email ou documentação. Considere que algumas senhas podem ser genuinamente inquebráveis com tecnologia atual - Office 2013+ com senhas aleatórias fortes pode resistir até mesmo a recursos de quebra de nível estatal. Concentre esforços em coleta de inteligência e engenharia social em vez de abordagens computacionais brutas.
🎯 Você domina a quebra de senhas de documentos Office!
Você agora entende como extrair e quebrar senhas de documentos Microsoft Office, pode identificar força de criptografia a partir de formatos de hash, e conhece as diferenças críticas entre criptografia Office 97-2003 legada (fraca) e Office 2013+ moderna (forte). Essas habilidades são essenciais para testes de penetração, forense digital, resposta a incidentes e avaliações de segurança envolvendo documentos empresariais protegidos por senha.
Pronto para explorar técnicas de quebra de senhas de redes sem fio