RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Windows Security – Vulnerabilidad CVE-2019-0708 a.k.a BlueKeep

1. Introducción

A mediados del mes de mayo de este año, 2019, se ha reportado una nueva vulnerabilidad que afecta a los sistemas operativos Microsoft Windows 7, 2008, 2003 y XP. ̶P̶e̶r̶o̶ ̶c̶l̶a̶r̶o̶.̶.̶.̶ ̶e̶n̶ ̶n̶u̶e̶s̶t̶r̶a̶s̶ ̶e̶m̶p̶r̶e̶s̶a̶s̶ ̶y̶a̶ ̶n̶o̶ ̶u̶t̶i̶l̶i̶z̶a̶m̶o̶s̶ ̶e̶s̶t̶o̶s̶ ̶s̶i̶s̶t̶e̶m̶a̶s̶ ̶o̶p̶e̶r̶a̶t̶i̶v̶o̶s̶ ̶o̶b̶s̶o̶l̶e̶t̶o̶s̶,̶ ̶¿̶v̶e̶r̶d̶a̶d̶?̶. La vulnerabilidad recibe el código CVE-2019-0708 y es también conocido como BlueKeep.

Esta vulnerabilidad, CVE-2019-0708, es un candidato fuerte a ser considerado como una las principales vulnerabilidades del año 2019 para sistemas operativos Microsoft Windows. ̶A̶l̶ ̶i̶g̶u̶a̶l̶ ̶q̶u̶e̶ ̶l̶o̶ ̶f̶u̶e̶ ̶e̶l̶ ̶M̶S̶1̶7̶-̶0̶1̶0̶ ̶E̶t̶e̶r̶n̶a̶l̶B̶l̶u̶e̶.̶ ̶

2. ¿Qué es CVE-2019-0708 – BlueKeep?

BlueKeep, CVE-2019-0708, es un nuevo fallo de seguridad asociado a los sistemas operativos Microsoft Windows y al servicio RDP (Remote Desktop Protocol TCP/3389) que permite a un atacante informático ejecutar código remoto en el servidor o computador que tiene el servicio de “Escritorio Remoto” y cuyo sistema operativo no ha sido actualizado.

Vamos…. para que se pueda entender, si un atacante informático se encuentra en la misma red de datos puede lanzar un exploit a tu servidor y/o computador y ejecutar código remoto en el mismo. Pero no pienses que sólo esto funciona si es que el atacante está en la misma red de datos, de hecho, puede funcionar desde cualquier punto en Internet si es que se tiene acceso al servicio de Escritorio Remoto – TCP/3389.

3. ¿Existe exposición de servicios RDP a Internet?

Aunque parezca raro ̶e̶n̶ ̶r̶e̶a̶l̶i̶d̶a̶d̶ ̶e̶s̶ ̶m̶a̶s̶ ̶c̶o̶m̶ú̶n̶ ̶d̶e̶ ̶l̶o̶ ̶q̶u̶e̶ ̶p̶e̶n̶s̶a̶m̶o̶s̶ existen organizaciones que exponen el servicio RDP a Internet sin ningún filtrado a nivel de Firewall.

Para esto nos puede ayudar nuestro querido buscador SHODAN. Para aquellos que no hayan escuchado hablar del buscador, SHODAN es un buscador que nos ayudar a identificar dispositivos de red expuestos a Internet y clasificados por países. Aquí puedes leer más sobre SHODAN: https://es.wikipedia.org/wiki/Shodan

Después de una búsqueda básico en SHODAN, hemos identificado 3274 servidores en Perú que tienen expuesto el servicio RDP a Internet. ̶A̶u̶n̶q̶u̶e̶ ̶l̶u̶e̶g̶o̶ ̶c̶o̶m̶p̶a̶r̶é̶ ̶P̶e̶r̶ú̶ ̶c̶o̶n̶t̶r̶a̶ ̶C̶o̶l̶o̶m̶b̶i̶a̶ ̶y̶ ̶y̶a̶ ̶n̶o̶ ̶m̶e̶ ̶s̶e̶n̶t̶í̶ ̶t̶a̶n̶ ̶m̶a̶l̶

image

image

4. ¿Cómo se si mi empresa se encuentra expuesta a BlueKeep?

Aunque la vulnerabilidad es muy nueva y ha sido identificada hace menos de un (01) mes, ya es posible identificar de manera automatizada si nuestros servidores y/o computadores son vulnerables a BlueKeep.

Existen muchos mecanismos de identificación y hoy voy a mostrar dos de ellos:

A. Tenable Nessus (https://www.tenable.com/downloads/nessus)

Si cuentas con el software para escanear vulnerabilidades Tenable Nessus, es posible que al realizar tu escaneo periódico identifiques esta nueva vulnerabilidad.

Para aquellos que quieren identificar la vulnerabilidad de BlueKeep puedes identificar el plugin asociada a dicha vulnerabilidad en la categoría: Microsoft Windows Bulletins.

image

B. Metasploit Framework (https://www.metasploit.com/)

Si eres de los que les gusta lanzar comandos puedes utilizar METASPLOIT para identificar la vulnerabilidad de BlueKeep. Ten presente que como la vulnerabilidad es nueva, tienes que actualizar el repositorio y módulos de la herramienta.

De manera específica se ha creado un módulo AUXILIAR para la identificación de la vulnerabilidad.

Si quieres identificar la vulnerabilidad en un segmento de red esta es tu mejor opción, puedes lograr identificar la vulnerabilidad en un segmento de red de manera rápida en sólo unos minutos.

image

5. Exploits en Internet

La última semana de mayo de 2019 empezaron a pulular en Internet pruebas de concepto (PoC) sobre la vulnerabilidad BlueKeep y aunque algunos tenían videos a modo de demostración del funcionamiento del exploit gran parte de ellos eran FAKES. Algunos hasta te pedían algún dinero de depósito previo para poder enviarte el exploit que mostraban en el video, lo cierto es que no era una buena idea pagar por estos exploits ya que sólo era cuestión de tiempo para que el exploit se haga público ya que es una vulnerabilidad conocida. ̶O̶j̶a̶l̶a̶ ̶n̶o̶ ̶h̶a̶y̶a̶n̶ ̶d̶e̶p̶o̶s̶i̶t̶a̶d̶o̶ ̶y̶ ̶l̶o̶s̶ ̶h̶a̶y̶a̶n̶ ̶e̶s̶t̶a̶f̶a̶d̶o̶.̶

El 30 de mayo han publicado un exploit en el portal de EXPLOIT-DB, lo he descargado, probado y está totalmente funcional. El exploit logra generar ejecutar código remoto a través del protocolo RDP y genera una DoS (Denied of Service) logrando reiniciar el servidor.

El exploit lo puedes descargar desde aquí: https://www.exploit-db.com/exploits/46946

image

6. Tiempo de la Demostración

Bueno, ahora que ya explicamos que es BlueKeep, como funciona y como podría identificarlo. vamos a ejecutar una demostración breve de cómo podría identificar si tu organización se encuentra expuesta a esta vulnerabilidad.

El video lo pueden ver aquí: https://youtu.be/J1yjb118Jwc

7. ¿Cómo protejo mi organización de este ataque?

1. Si el sistema operativo Microsoft del servidor/computador aún tiene soporte, se deben aplicar las actualizaciones sobre el mismo lo antes posible.

2. Si, por otro lado, el sistema operativo ya no cuenta con soporte oficial, Microsoft ha sacado un parche especial para esta vulnerabilidad así que puedes instalar el parche desde la siguiente dirección URL:

https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/

3. Se recomienda aplicar regalas a nivel de Firewall local o de red que no permitan el acceso al protocolo RDP a través del puerto TCP/3389 para cualquier dispositivo, se recomienda restringir el acceso a segmentos debidamente autorizados.

4. Si tienes publicado el protocolo RDP hacia Internet para el uso de algún servicio, se recomienda utilizar otros mecanismos de conexión remota, por ejemplo, a través de una VPN. No expongas el protocolo RDP a Internet.

5. Finalmente, si cuentas con soluciones avanzadas del tipo IPS/IDS, actualiza las firmas del dispositivo a fin de que puedan detectar los ataques del tipo BlueKeep.

Popularity: 2% [?]

Post Relacionados

Las peores contraseñas utilizadas del 2018 en el Mundo ……. y en Perú

Como todos los finales de año, las noticias en Internet nos muestran las contraseñas más absurdas y ridículas utilizadas en el mundo. Una de las más renombradas viene de la empresa SPLASHDATA (https://www.splashdata.com/), empresa de seguridad que tiene soluciones para gestionar la contraseña de personas naturales y empresas.

Resulta por lo menos curioso que una empresa que cuenta con soluciones que gestionan contraseñas de terceros, haya realizado una estadística de las peores contraseñas. Los mal pensados y paranoicos pensarían que la empresa SPLASHDATA gestiona, fisgonea las contraseñas y las procesan para obtener estadísticas. Personalmente no confío en almacenar mis contraseñas en la nube y que otros gestionen mis contraseñas, para eso prefiero utilizar soluciones como KeePass (https://keepass.info/).

KUNAK, ha desarrollado un cuadro de las peores contraseñas más utilizadas por las organizaciones privadas y públicas peruanas durante el año 2018, información basada en los proyectos de Ethical Hacking que ha realizado la empresa en el último año y en foros privados relacionados al tema.

image

Los resultados del año 2018 en el mundo

La empresa SPLASHDATA nos muestra el siguiente resultado, de las contraseñas más utilizadas en el año 2018.

image

Sobresale como siempre la infame e infaltable “123456”, contraseña que ha sido utilizada desde mucho antes que existieran las computadoras personales y cuyo uso sigue vigente tras el paso de los años.

Más interesante aun, es la estadística de los últimos ocho (08) años de las contraseñas más utilizadas, en donde la contraseña “123456” se erige como vencedor indiscutible.

clip_image004

Estadísticas en el Perú

La motivación de la realización de este documento, resulta en aterrizar las estadísticas mundiales a la realidad peruana y es que como todos debemos imaginar, en el Perú casi nadie nadie realmente utilizaría contraseñas como: “sunshine”, “iloveyou”, “princess”, “football” y menos “donald”; y es que, aunque en el Perú Donald Trump no sea el personaje más querido y adorado por todos los peruanos, Donald pasa extremadamente desapercibido por estos lares.

image

Contexto peruano

Antes de mostrar los resultados de las contraseñas más utilizadas en el Perú, debemos hacer algunas aclaraciones sobre lo que hemos identificado en base a la gestión de contraseñas en organizaciones peruanas. Las características que debemos resaltar corresponden a la mayoría de las organizaciones, no a todas claramente, pero si a la mayoría de las empresas peruanas.

  1. La mayoría de las empresas gestionan la contraseña con el Directorio Activo de Microsoft. Si señores, Microsoft ha triunfado en el Perú y salvo extrañas y marcianas excepciones, las empresas peruanas usan Microsoft.
  2. Las contraseñas de servidores (Windows y Unix), equipos de comunicaciones (switches, routers, etc) y servicios (bases de datos, servicios web, etc), son gestionadas por los sysadmins, en archivos del tipo Excel o Word. Si señores, aunque hemos intentado persuadir a las organizaciones de ésta mala práctica, los sysadmins aun almacenan clandestinamente sus contraseñas en archivos Excel, Word o peor aún, en archivos TXT. Archivos que son transferidos entre administradores casi de contrabando por la red.
  3. Finalmente, las empresas peruanas suelen utilizar Single Sign On (SSO) para casi todos sus servicios, es decir, la misma contraseña con la que ingresamos al computador, es la misma que utilizamos para ingresar al correo electrónico, ingresar a la red VPN e ingresar a casi todos los servicios que se exponen en Internet.

Si estás leyendo esto y hasta el momento te sientes identificado, este post definitivamente es para ti.

Los resultados en el Perú

Sin más preámbulo, veamos los resultados de las peores contraseñas utilizadas en el Perú y que son la prueba fehaciente que aún nos falta mucho para madurar en ciberseguridad.

image

Aunque algunas personas necesiten una provisión de aire para asimilar los resultados, esto es lo que nos arroja la estadística en el Perú (en la parte inferior de este documento encontrarán los detalles técnicos que dieron estos resultados). Parece increíble, lo sabemos, pero resulta mejor conocer la realidad para tratar de cambiarla.

Lo más resaltante de los resultados es lo siguiente:

  1. En el Perú somos unos fanáticos de la palabra “password”, somos tan fanáticos que hemos buscados combinaciones que no resultan de uso común en otras partes del mundo.
  2. En el Perú somos unos respetuosos de la política de seguridad, ¡sí señores! Y es que los incisivos apuntes realizados por los Oficiales de Seguridad de Información no han sido despilfarrados. La política de seguridad de la mayoría de las empresas debe cumplir por lo menos tres (03) de los cuatro (04) siguientes criterios:

Longitud mínima de 08 caracteres

Caracteres alfanuméricos

Al menos una mayúscula

Al menos un carácter especial

Aunque aún no hayamos advertido, claro que cumplimos con la política de seguridad porque ahora solemos utilizar contraseñas del tipo:

Noviembre2018

Diciembre2018

Enero2019

Empresa2018

Empresa2019

Empresa2020

3. Y finalmente, la última atrocidad característica de las contraseñas peruanas, es que colocamos como contraseña el mismo nombre de usuario, característica muy utilizada sobre todo en servicios de red, por ejemplo, es muy común identificar un usuario de Base de Datos llamado “app_logistica” cuya contraseña es idéntica.

Conclusiones

  1. Las organizaciones peruanas, por lo general, aún están hacen uso de contraseñas débiles, dentro de la que destacan variables de la palabra “PASSWORD”.
  2. Un patrón de contraseña muy utilizado en las organizaciones peruanas está asociado al nombre de la organización, seguido del año. Por ejemplo, si la empresa es KUNAK, las contraseñas utilizadas serian Kunak2018, Kunak2019 y/o Kunak2020.
  3. Finalmente, otro patrón de contraseña identificados en las organizaciones peruanas corresponde al nombre del mes seguido del año. Por ejemplo, Noviembre2018, Diciembre2018 y la próxima contraseña será Enero2019.

image

    Popularity: 2% [?]

    Post Relacionados

    Sorteo souvenirs EKOPARTY 2018

    Señores, les traje algunos recuerditos de la última EKOPARTY 20018 que se realizó en setiembre de este año. Y es que si pensaron que no me acordaba de ustedes ( ̶e̶s̶t̶a̶b̶a̶n̶ ̶e̶n̶ ̶l̶o̶ ̶c̶o̶r̶r̶e̶c̶t̶o̶) estaban muy equivocados.

    Aunque las bases son muy sencillas, toca colocarlas para que luego ninguna persona  ̶d̶e̶s̶e̶s̶p̶e̶r̶a̶d̶i̶t̶a̶ ̶y̶ ̶r̶o̶m̶p̶e̶ ̶b̶o̶l̶a̶s̶  se sienta vulnerada:

    • Fecha del sorteo: Jueves 11 de Octubre
    • Horario: 20:00 (-5GMT ) esta es hora peruana
    • ¿Quienes pueden ganar?: peruanos (sólo peruanos, enviar los souvenirs a otro país tendría un costo superior al valor del producto sorteado)
    • ¿Cómo hago para ganar?
      1. Darle “Me gusta” a la imagen del sorteo (https://www.facebook.com/El.Palomo.Seguridad.Informacion/)
      2. Comenta invitando a un amigo para que también participe.
      3. Comparte el post del sorteo.

    ¿ Y qué sorteamos?

    Pues sorteamos tres (03) souvenirs, aunque no existe algún orden de importancia entre lo sorteado, esta es la manera más ordenada para hacerlo.

    • Primer premio: una (01) camiseta color ploma que dice “BYTE ME”
    • Segundo premio:  una (01) camiseta color negro que  dice “EKOPARTY”
    • Tercer premio: una taza + stickers de la EkoParty.

    ¿Quién ocupa el primer, segundo y tercer puesto?

    • Nadie  ̶e̶s̶t̶o̶ ̶e̶s̶ ̶u̶n̶a̶ ̶d̶i̶c̶t̶a̶d̶u̶r̶a̶, del total de personas que cumplan con las condiciones del sorteo, obtendré al azar un listado de tres (03) ganadores y de esos tres suertudos, también estableceré un orden al azar para determinar el ganador del primer, segundo y tercer premio del concurso.

    Aquí dejo algunas fotos de los souvenirs sorteados para una mayor referencia. Mucha suerte a todos.

    IMG_4521 IMG_4523
    IMG_4530 IMG_4586

    Popularity: 2% [?]

    Post Relacionados

    • No Related Posts
    Presentación ISACA Student Group – PUCP 2016

    Señores, sin  mucho más que decir, les adjunto la presentación del evento “ISACA Student Group – PUCP 2016”.

    banner

     

    Descarga la presentación: [AQUÍ]

    Popularity: 7% [?]

    Post Relacionados

    Estúpido y sensual EXCEL: Me robo tu información con una encuesta

    portada

     

    Realizar hacking es más fácil de lo que parece o al menos eso es lo que trato de hacer parecer con este blog y hago lo propio cada vez que dicto capacitaciones en diversas empresas. Lo cierto es que lo único que necesitamos muchas veces es tan sólo un momento de lucidez, un momento de espiración, un poco de alcohol y dejar que las ideas fluyan a la buena o a la mala (cuando el cliente nos mete presión peor que Diego Godín cuando defiende a su selección) .

    Después de una semana de agonía donde vi caer una vez mas a la selección peruana por las clasificatorias Rusia 2018, he decidido escribir sobre unas de las técnicas que suelo utilizar cuando nos solicitan realizar pruebas de Ingeniería Social, sólo necesitamos mezclar algunas técnicas del tipo spear phishing y obtendremos resultados muy interesantes. Vamos a utilizar un programa que todos suelen utilizar, el estúpido y sensual EXCEL.

    ¿Cómo lo vamos hacer?

    1. Primero, la idea es  utilizar Ingeniería Social para esto, hay que hacer que nuestro archivo Excel llegue a las manos de nuestra amigo víctima y que sea lo suficientemente creíble para que pueda ser abierta (aquí esta el ingenio y el verdadero trabajo).
    2. Una vez que nuestro causa víctima haya abierto el archivo, todo cae por su peso, producto de la ingenuidad, de la estupidez confianza que tienen las personas para ejecutar MACROS en los archivos Excel. Hay que admitirlo, a las personas les gusta Excel, al diablo con las Bases de Datos Oracle, MySQL, etc; la mejora base de datos para el común de los mortales un archivo XLS.
    3. El archivo Excel contiene una pequeña encuesta pero detrás de esto se ejecuta una MACRO muy linda, la macro hace lo siguiente:
      1. Crea unos archivos tipo LOGS en el directorio D:\ del computador, estos archivos sólo los utilizo como evidencia de que se puede ejecutar cualquier comando.
      2. La MACRO ejecuta comandos FTP y realiza una conexión a un servidor externo en Internet y envía archivos hacia un lugar lejano, muy lejano.
      3. Finalmente, la MACRO buscar archivos con una extensión específica, para la prueba de concepto (POC) sólo busca archivos PDF en el directorio D:\ ¿quieren algo más sofisticado? pues esfuércense un poquito.

    4. Finalmente, aparece un mensaje de agradecimiento indicando que han enviado los datos solicitados para la encuesta. A veces hasta te nuestro súper amigo víctima envía un correo indicando que ya respondió la encuesta y que merece un ascenso por ser tan proactivo.

    Les dejo una imagen de la encuesta que se me ocurrió para el evento de ISACA del año 2015, cuando dabas CLIC en el botoncito “Enviar Encuesta” has sido OWNEADO.

    2

     

    Dejen volar su imaginación: algunas variantes interesantes

    1. Que tal si …. obtenemos las contraseñas de las redes Wireless que almacenan los computadores.

    Se me ocurre que en vez de ejecutar un simple IPCONFIG como en el ejemplo anterior, ejecutamos un comando para obtener las contraseñas en texto claro de las redes inalámbricas almacenadas en el computadores de nuestra víctima.

    3

     

    Y ya está, no necesitamos hacer mucho esfuerzo para obtener la contraseña de la red inalámbrica, además,  imaginemos un hacker un poco más interesado y preocupado en poder obtener información seguro que ya realizó algo de wardriving previo al envío del archivo Excel. Aquí puedes aprender como realizar wardriving de manera rápida y sencilla [AQUÍ].

     

    2. Que tal si…. ejecutamos comandos interesantes

    Y finalmente, se me ocurren ejecutar comandos interesantes para obtener información del computador de una organización y que puede servirnos para ir escalando privilegios en otros computadores de la organización, a continuación alguno de los comandos que podríamos utilizar:

    1. Net user: Para obtener los usuarios locales del sistema operativo o para agregar usuarios.
    2. Net localgroup Administradores [Administrators]: Para obtener los usuarios que pertenecen al grupo de Administradores
    3. Arp –a: Para obtener el listado de direcciones IP con las que ha estado en comunicación el computador.
    4. Netsh advfirewall firewall show rule name=all: Para obtener las reglas del firewall del computador.
    5. dir /s/b  D:\*.pdf: Para buscar archivos PDF en el directorio D:\ del computador de manera recurrente.
    6. Lo que sea fruto de tu imaginación.

    4

     

    ¿Cómo prevenimos este tipo de ataques?

    1. Si nos encontramos en un dominio, es decir, nuestra computadora se encuentra attachada a un Active Directory, podemos configurar una GPO que deshabilite la ejecución de Macros.

      5
      Nota: Debes deshabilitar las macros para programa de Office, es decir, deshabilitar para Microsoft Word, Microsoft Excel, Microsoft Power Point, etc. Los excel son los mas peligrosos por lo general porque son los mas comunes.

      Nota2: Hay forma de sacarle la vuelta a la aplicación a la aplicación de la política del AD, toca guardar el archivo Excel en la Trusted Location, que son directorios donde la GPO no aplica. Absurdo por todos lados.

      7

    2. En general, no me da ninguna confianza ejecutar ningún archivo que contiene una MACRO. El mensaje de advertencia es tan grande que desanima a cualquiera abrir un archivo de este tipo. No lo abras!!

    6

     

    Listo señores, el resto de lo que pueden hacer con Excel se los dejo a su imaginación. Nos vemos y happy hacking!! wq!

     

    ************************************************************

    Popularity: 14% [?]

    Post Relacionados