RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Archive for the ‘ Videos Seguridad ’ Category

1. Introducción

A mediados del mes de mayo de este año, 2019, se ha reportado una nueva vulnerabilidad que afecta a los sistemas operativos Microsoft Windows 7, 2008, 2003 y XP. ̶P̶e̶r̶o̶ ̶c̶l̶a̶r̶o̶.̶.̶.̶ ̶e̶n̶ ̶n̶u̶e̶s̶t̶r̶a̶s̶ ̶e̶m̶p̶r̶e̶s̶a̶s̶ ̶y̶a̶ ̶n̶o̶ ̶u̶t̶i̶l̶i̶z̶a̶m̶o̶s̶ ̶e̶s̶t̶o̶s̶ ̶s̶i̶s̶t̶e̶m̶a̶s̶ ̶o̶p̶e̶r̶a̶t̶i̶v̶o̶s̶ ̶o̶b̶s̶o̶l̶e̶t̶o̶s̶,̶ ̶¿̶v̶e̶r̶d̶a̶d̶?̶. La vulnerabilidad recibe el código CVE-2019-0708 y es también conocido como BlueKeep.

Esta vulnerabilidad, CVE-2019-0708, es un candidato fuerte a ser considerado como una las principales vulnerabilidades del año 2019 para sistemas operativos Microsoft Windows. ̶A̶l̶ ̶i̶g̶u̶a̶l̶ ̶q̶u̶e̶ ̶l̶o̶ ̶f̶u̶e̶ ̶e̶l̶ ̶M̶S̶1̶7̶-̶0̶1̶0̶ ̶E̶t̶e̶r̶n̶a̶l̶B̶l̶u̶e̶.̶ ̶

2. ¿Qué es CVE-2019-0708 – BlueKeep?

BlueKeep, CVE-2019-0708, es un nuevo fallo de seguridad asociado a los sistemas operativos Microsoft Windows y al servicio RDP (Remote Desktop Protocol TCP/3389) que permite a un atacante informático ejecutar código remoto en el servidor o computador que tiene el servicio de “Escritorio Remoto” y cuyo sistema operativo no ha sido actualizado.

Vamos…. para que se pueda entender, si un atacante informático se encuentra en la misma red de datos puede lanzar un exploit a tu servidor y/o computador y ejecutar código remoto en el mismo. Pero no pienses que sólo esto funciona si es que el atacante está en la misma red de datos, de hecho, puede funcionar desde cualquier punto en Internet si es que se tiene acceso al servicio de Escritorio Remoto – TCP/3389.

3. ¿Existe exposición de servicios RDP a Internet?

Aunque parezca raro ̶e̶n̶ ̶r̶e̶a̶l̶i̶d̶a̶d̶ ̶e̶s̶ ̶m̶a̶s̶ ̶c̶o̶m̶ú̶n̶ ̶d̶e̶ ̶l̶o̶ ̶q̶u̶e̶ ̶p̶e̶n̶s̶a̶m̶o̶s̶ existen organizaciones que exponen el servicio RDP a Internet sin ningún filtrado a nivel de Firewall.

Para esto nos puede ayudar nuestro querido buscador SHODAN. Para aquellos que no hayan escuchado hablar del buscador, SHODAN es un buscador que nos ayudar a identificar dispositivos de red expuestos a Internet y clasificados por países. Aquí puedes leer más sobre SHODAN: https://es.wikipedia.org/wiki/Shodan

Después de una búsqueda básico en SHODAN, hemos identificado 3274 servidores en Perú que tienen expuesto el servicio RDP a Internet. ̶A̶u̶n̶q̶u̶e̶ ̶l̶u̶e̶g̶o̶ ̶c̶o̶m̶p̶a̶r̶é̶ ̶P̶e̶r̶ú̶ ̶c̶o̶n̶t̶r̶a̶ ̶C̶o̶l̶o̶m̶b̶i̶a̶ ̶y̶ ̶y̶a̶ ̶n̶o̶ ̶m̶e̶ ̶s̶e̶n̶t̶í̶ ̶t̶a̶n̶ ̶m̶a̶l̶

image

image

4. ¿Cómo se si mi empresa se encuentra expuesta a BlueKeep?

Aunque la vulnerabilidad es muy nueva y ha sido identificada hace menos de un (01) mes, ya es posible identificar de manera automatizada si nuestros servidores y/o computadores son vulnerables a BlueKeep.

Existen muchos mecanismos de identificación y hoy voy a mostrar dos de ellos:

A. Tenable Nessus (https://www.tenable.com/downloads/nessus)

Si cuentas con el software para escanear vulnerabilidades Tenable Nessus, es posible que al realizar tu escaneo periódico identifiques esta nueva vulnerabilidad.

Para aquellos que quieren identificar la vulnerabilidad de BlueKeep puedes identificar el plugin asociada a dicha vulnerabilidad en la categoría: Microsoft Windows Bulletins.

image

B. Metasploit Framework (https://www.metasploit.com/)

Si eres de los que les gusta lanzar comandos puedes utilizar METASPLOIT para identificar la vulnerabilidad de BlueKeep. Ten presente que como la vulnerabilidad es nueva, tienes que actualizar el repositorio y módulos de la herramienta.

De manera específica se ha creado un módulo AUXILIAR para la identificación de la vulnerabilidad.

Si quieres identificar la vulnerabilidad en un segmento de red esta es tu mejor opción, puedes lograr identificar la vulnerabilidad en un segmento de red de manera rápida en sólo unos minutos.

image

5. Exploits en Internet

La última semana de mayo de 2019 empezaron a pulular en Internet pruebas de concepto (PoC) sobre la vulnerabilidad BlueKeep y aunque algunos tenían videos a modo de demostración del funcionamiento del exploit gran parte de ellos eran FAKES. Algunos hasta te pedían algún dinero de depósito previo para poder enviarte el exploit que mostraban en el video, lo cierto es que no era una buena idea pagar por estos exploits ya que sólo era cuestión de tiempo para que el exploit se haga público ya que es una vulnerabilidad conocida. ̶O̶j̶a̶l̶a̶ ̶n̶o̶ ̶h̶a̶y̶a̶n̶ ̶d̶e̶p̶o̶s̶i̶t̶a̶d̶o̶ ̶y̶ ̶l̶o̶s̶ ̶h̶a̶y̶a̶n̶ ̶e̶s̶t̶a̶f̶a̶d̶o̶.̶

El 30 de mayo han publicado un exploit en el portal de EXPLOIT-DB, lo he descargado, probado y está totalmente funcional. El exploit logra generar ejecutar código remoto a través del protocolo RDP y genera una DoS (Denied of Service) logrando reiniciar el servidor.

El exploit lo puedes descargar desde aquí: https://www.exploit-db.com/exploits/46946

image

6. Tiempo de la Demostración

Bueno, ahora que ya explicamos que es BlueKeep, como funciona y como podría identificarlo. vamos a ejecutar una demostración breve de cómo podría identificar si tu organización se encuentra expuesta a esta vulnerabilidad.

El video lo pueden ver aquí: https://youtu.be/J1yjb118Jwc

7. ¿Cómo protejo mi organización de este ataque?

1. Si el sistema operativo Microsoft del servidor/computador aún tiene soporte, se deben aplicar las actualizaciones sobre el mismo lo antes posible.

2. Si, por otro lado, el sistema operativo ya no cuenta con soporte oficial, Microsoft ha sacado un parche especial para esta vulnerabilidad así que puedes instalar el parche desde la siguiente dirección URL:

https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/

3. Se recomienda aplicar regalas a nivel de Firewall local o de red que no permitan el acceso al protocolo RDP a través del puerto TCP/3389 para cualquier dispositivo, se recomienda restringir el acceso a segmentos debidamente autorizados.

4. Si tienes publicado el protocolo RDP hacia Internet para el uso de algún servicio, se recomienda utilizar otros mecanismos de conexión remota, por ejemplo, a través de una VPN. No expongas el protocolo RDP a Internet.

5. Finalmente, si cuentas con soluciones avanzadas del tipo IPS/IDS, actualiza las firmas del dispositivo a fin de que puedan detectar los ataques del tipo BlueKeep.

Popularity: 1% [?]

image

 

Las inyecciones  de código SQL (aquí pueden ver el TOP 10 – 2013 de OWASP) son una vulnerabilidad muy conocida, a pesar de eso no sorprende aun encontrarse con diversas páginas web que tengan esta vulnerabilidad. Lo que aun me sorprende es que me escriban correos pidiendo ayuda para realizar acciones de dudosa “legalidad” con la efímera y absurda esperanza que yo me juegue el pellejo por alguien que no conozco, por alguien que no me interesa y peor aún me juegue la cárcel por alguien que no tuvo las ganas de estudiar el ciclo de la universidad. Así que aquellos que están cursando la universidad con esfuerzo, aquellos que son bachilleres y los que ya son ingenieros, siéntanse orgullosos de su título que mucho esfuerzo ha costado.

Créanme que hay gente que me pide cambiar las notas, es decir, que hackee a la universidad y cambie un “09” por un “11” para que sean felices; les muestro sólo algunos ejemplos que mas recuerdo:

image

30

 

Oferta y demanda: la economía y el mercado se mueve

Ya saben, toda demanda tiene una oferta, gracias a este principio nuestra economía se mueve. Obviamente el mundo del hacking no es ajeno a esto, basta con buscar en Internet si alguien ofrece realizar “trabajitos” de hacking para cambiar nuestras calificaciones. Me llamó la atención una página web donde encontré una persona seria, que nos ofrecía un trabajo serio, garantizado, discreto y sobre todas las cosas “profesional”, porque eso es lo que necesitamos en este país, Perú, profesionales de alta calidad que cambien notas para obtener más profesionales de alta calidad. WTF!!!!

Como no soy especialista en temas de derecho, habrá que preguntarle a Erick (@coyotegris) de que tipo de delito estamos hablando y supongo que tanto el que realiza estos “trabajitos” como el que los solicita están cometiendo un delito.

 

image

 

Entonces…. ¿ se puede ser profesional sin haber estudiado?

De pronto si, obviamente de manera trucha, ilícita e ilegal. Es aquí donde me pregunté “¿Qué tantas instituciones educativas han sido hackeadas en el Perú?”, pues como sabrán nadie lleva un registro exacto de estas cosas y tampoco es que cada vez que alguien hackee a una universidad pues se promocione por internet diciendo que lo ha logrado, de hecho, a mi me han contratado universidades para realizarles un “Ethical Hacking” y las cosas que se pueden lograr, son alucinantes!!!

¿Entonces, no hay donde saberlo? pues… aquí nos puede ayudar “ZONE-H”, como ya sabrán cada vez que algún “super hacker” logra un defacement lo publica en esta página para crear un mirror de como quedó la página después de haber sido hackeada. Mayúscula fue mi sorpresa cuando encontré, 1444 páginas hackeadas que tienen el dominio EDU.PE. WTF!! hasta una página de la Universidad Nacional de San Marcos(UNMSM) se encuentra allí. Si no me creen miren aquí:

 

image

 

Parece ser que el ilícito negocio no es tan complicado como parece  – habiendo tantas páginas educativas que han sido hackeadas – , de pronto hasta el negocio les resulta bastante atractivo habiendo un mercado tan grande de estudiantes, ese es un motivo para que las universidades se preocupen por la seguridad de su información, además, siendo las universidades donde se forman profesionales en ingeniería creería que deberían dar el ejemplo de un buen desarrollo y seguro de sistemas de información, ¿no creen?

Ahora sí, las inyecciones sobre SQL SERVER

La idea de este post es mostrar las diferencias entre las inyecciones SQL sobre MySQL y sobre otro motor de base de datos, por ejemplo, SQL SERVER. Para poder entenderlo mejor les recomiendo haber visto antes estos posts:

Debido a que explicar las diferencias se puede hacer extenso, he decidido realizar un video tutorial con las principales particularidades de realizar inyecciones sobre Microsoft SQL Server. El video contiene las siguientes partes:

  1. Ejecución de funciones básicas sobre MSSQL para obtener información: usuario utilizado, base de datos actual, versión de la base de datos.
  2. Listado del total de bases de datos
  3. Listado de tablas de una base de datos específica
  4. Listado de registros de una tabla
  5. Concatenación  de “querys” y alteración de información a través de inyecciones (muy importante)

 

 

Finalmente, ¿ alguien podría realmente cambiar las notas de cursos en la universidad?

Como esa pregunta me seguía dando vueltas en la cabeza y sentía que no podía vivir con esa duda existencial, decidí probar en la página web de una universidad que no estaba en listado de “Zone-H” e identificar si son tan descuidados como para permitir inyecciones de código SQL. Obviamente no voy a decir que universidad he probado, sólo que es una universidad Nacional del Perú y que la manera que he probado es colocando la super-archi conocida comilla simple (‘) y una UNION para observar que comportamiento de la página web, no he ahondado más porque mi objetivo es sólo verificar que es vulnerable y no hackear la página, de hecho la he reportado con la esperanza de que solucionen el problema. Es importante mencionar que utiliza Microsoft SQL Server y que eventualmente se podrían modificar los registros, es decir, es muy probable que si se puedan cambiar las notas de la universidad y ser profesionales de dudosa reputación.

image

 

image

 

 

Conclusiones:

  1. Existe una demanda grande de “alumnos” que desean aprobar o modificar calificaciones estudiantiles muy grande y los centros de estudio deben preocuparse por la seguridad de la información para evitar incidentes de seguridad. Obviamente los que se publicitan por Internet es muy probable que sean estafadores.
  2. Es posible modificar información de manera remota a través de vulnerabilidades del tipo Microsoft SQL Server
  3. Existe un alto número de páginas web de centros educativos que han sido hackeados en el Perú, los registrados en ZONE-H suman 1444 páginas web hackeadas con el dominio .EDU.PE.
  4. Las buenas prácticas de desarrollo a través de APIs son la mejor solución para el desarrollo seguro de aplicaciones web. Revisen ESAPI del proyecto OWASP.
  5. Los controles a nivel de acceso a las bases de datos y tener logs de monitoreo sobre las bases de datos nos permiten identificar posibles fraudes realizados muchas veces por personal de confianza como los mismos DBA.

***************************************************************

Popularity: 94% [?]

sqli_clase4

Esta es la última entrada de la primera serie de videotutoriales sobre INYECCIONES SQL basadas en uniones. Hasta aquí hemos visto todo lo básico, desde aprender algo del lenguaje SQL hasta extraer la información de las tablas, lo siguiente que vamos a analizar son las inyecciones SQL a ciegas o conocidas como Blind SQLi. Para terminar esta primera parte voy a publicar el último video y el script desarrollado en Python para automatizar los ataques.

Gracias a todos por sus comentarios enviados a mi correo, de alguna manera se siente bien que haya personas que lean este humilde blog.

Temario de la Clase 04:

  1. Automatizar ataques de SQLi con Python
  2. Ataques a páginas web con nuestro script

El material utilizado:

  1. El código de la aplicación web:  [DESCARGAR AQUÍ]
  2. La base de datos de la aplicación: [DESCARGAR AQUÍ]
  3. La presentación en PREZI: [DESCARGAR AQUÍ]

Saludos,

Omar

********************************************************

Aquí les dejo el script desarrollado para el videotutorial.

Popularity: 31% [?]

1052485_10151493036042666_45904221_oPrimero lo primero:

Gracias a todos los que están siguiendo estos videotutoriales, hay muchos que me están escribiendo para que siga con los videos y haciendo hasta pedidos alucinantes, pedidos como:

- “Hey brother hackeame esta página por favor”
- “Ayúdame a encontrar el password de esta aplicación”
- “Te pago 500 dólares si me hackeas esta página brother”

Obviamente otros me escriben para agradecerme y felicitarme por los videos, muchas gracias a todos los escriben Risa y disculpen si no puedo contestarles a todos pero realmente es humanamente imposible poder hacerlo, dicho esto, continuemos con el tercer videotutorial.

Temario de la Clase 03:

1. Obtener información(registros) de las Bases de Datos
2. Obtener información de la Base de Datos MYSQL
- Tabla User
- Doble SHA1, funcion password
3. Craking de contraseñas
- Rainbow tables
4. Ataques con SQLMAP

El material utilizado:

  1. El código de la aplicación web:  [DESCARGAR AQUÍ]
  2. La base de datos de la aplicación: [DESCARGAR AQUÍ]
  3. La presentación en PREZI: [DESCARGAR AQUÍ]

Aquí el videotutorial. Saludos a todos.

Popularity: 26% [?]

1Hoy no nada que decir, sólo publicar el segundo videotutorial de inyecciones SQL.

El temario tocado en el segundo videotutorial es:

Temario Clase 2:

  1. Herramientas que nos ayudan a identificar SQLi
  2. Obtener información a través de SQLi
  3. Inyecciones basadas en UNIONES
    - Obtener número columnas con ORDER BY: Búsqueda binaria
    - Realizando la inyección con uniones
  4. Funciones básicas de MySQL
    - Función: Database, user, current_user, datadir
  5. Funciones de concatenación: CONCAT, GROUP_CONCAT, CONCAT_WS
  6. Analizando la base de datos: INFORMATION_SCHEMA

Sin más que decirles, aquí el segundo video. Saludos,

El material utilizado:

  1. El código de la aplicación web:  [DESCARGAR AQUÍ]
  2. La base de datos de la aplicación: [DESCARGAR AQUÍ]
  3. La presentación en PREZI: [DESCARGAR AQUÍ]

Popularity: 26% [?]