RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

Posts Tagged ‘ exploit ’

1. Introducción

A mediados del mes de mayo de este año, 2019, se ha reportado una nueva vulnerabilidad que afecta a los sistemas operativos Microsoft Windows 7, 2008, 2003 y XP. ̶P̶e̶r̶o̶ ̶c̶l̶a̶r̶o̶.̶.̶.̶ ̶e̶n̶ ̶n̶u̶e̶s̶t̶r̶a̶s̶ ̶e̶m̶p̶r̶e̶s̶a̶s̶ ̶y̶a̶ ̶n̶o̶ ̶u̶t̶i̶l̶i̶z̶a̶m̶o̶s̶ ̶e̶s̶t̶o̶s̶ ̶s̶i̶s̶t̶e̶m̶a̶s̶ ̶o̶p̶e̶r̶a̶t̶i̶v̶o̶s̶ ̶o̶b̶s̶o̶l̶e̶t̶o̶s̶,̶ ̶¿̶v̶e̶r̶d̶a̶d̶?̶. La vulnerabilidad recibe el código CVE-2019-0708 y es también conocido como BlueKeep.

Esta vulnerabilidad, CVE-2019-0708, es un candidato fuerte a ser considerado como una las principales vulnerabilidades del año 2019 para sistemas operativos Microsoft Windows. ̶A̶l̶ ̶i̶g̶u̶a̶l̶ ̶q̶u̶e̶ ̶l̶o̶ ̶f̶u̶e̶ ̶e̶l̶ ̶M̶S̶1̶7̶-̶0̶1̶0̶ ̶E̶t̶e̶r̶n̶a̶l̶B̶l̶u̶e̶.̶ ̶

2. ¿Qué es CVE-2019-0708 – BlueKeep?

BlueKeep, CVE-2019-0708, es un nuevo fallo de seguridad asociado a los sistemas operativos Microsoft Windows y al servicio RDP (Remote Desktop Protocol TCP/3389) que permite a un atacante informático ejecutar código remoto en el servidor o computador que tiene el servicio de “Escritorio Remoto” y cuyo sistema operativo no ha sido actualizado.

Vamos…. para que se pueda entender, si un atacante informático se encuentra en la misma red de datos puede lanzar un exploit a tu servidor y/o computador y ejecutar código remoto en el mismo. Pero no pienses que sólo esto funciona si es que el atacante está en la misma red de datos, de hecho, puede funcionar desde cualquier punto en Internet si es que se tiene acceso al servicio de Escritorio Remoto – TCP/3389.

3. ¿Existe exposición de servicios RDP a Internet?

Aunque parezca raro ̶e̶n̶ ̶r̶e̶a̶l̶i̶d̶a̶d̶ ̶e̶s̶ ̶m̶a̶s̶ ̶c̶o̶m̶ú̶n̶ ̶d̶e̶ ̶l̶o̶ ̶q̶u̶e̶ ̶p̶e̶n̶s̶a̶m̶o̶s̶ existen organizaciones que exponen el servicio RDP a Internet sin ningún filtrado a nivel de Firewall.

Para esto nos puede ayudar nuestro querido buscador SHODAN. Para aquellos que no hayan escuchado hablar del buscador, SHODAN es un buscador que nos ayudar a identificar dispositivos de red expuestos a Internet y clasificados por países. Aquí puedes leer más sobre SHODAN: https://es.wikipedia.org/wiki/Shodan

Después de una búsqueda básico en SHODAN, hemos identificado 3274 servidores en Perú que tienen expuesto el servicio RDP a Internet. ̶A̶u̶n̶q̶u̶e̶ ̶l̶u̶e̶g̶o̶ ̶c̶o̶m̶p̶a̶r̶é̶ ̶P̶e̶r̶ú̶ ̶c̶o̶n̶t̶r̶a̶ ̶C̶o̶l̶o̶m̶b̶i̶a̶ ̶y̶ ̶y̶a̶ ̶n̶o̶ ̶m̶e̶ ̶s̶e̶n̶t̶í̶ ̶t̶a̶n̶ ̶m̶a̶l̶

image

image

4. ¿Cómo se si mi empresa se encuentra expuesta a BlueKeep?

Aunque la vulnerabilidad es muy nueva y ha sido identificada hace menos de un (01) mes, ya es posible identificar de manera automatizada si nuestros servidores y/o computadores son vulnerables a BlueKeep.

Existen muchos mecanismos de identificación y hoy voy a mostrar dos de ellos:

A. Tenable Nessus (https://www.tenable.com/downloads/nessus)

Si cuentas con el software para escanear vulnerabilidades Tenable Nessus, es posible que al realizar tu escaneo periódico identifiques esta nueva vulnerabilidad.

Para aquellos que quieren identificar la vulnerabilidad de BlueKeep puedes identificar el plugin asociada a dicha vulnerabilidad en la categoría: Microsoft Windows Bulletins.

image

B. Metasploit Framework (https://www.metasploit.com/)

Si eres de los que les gusta lanzar comandos puedes utilizar METASPLOIT para identificar la vulnerabilidad de BlueKeep. Ten presente que como la vulnerabilidad es nueva, tienes que actualizar el repositorio y módulos de la herramienta.

De manera específica se ha creado un módulo AUXILIAR para la identificación de la vulnerabilidad.

Si quieres identificar la vulnerabilidad en un segmento de red esta es tu mejor opción, puedes lograr identificar la vulnerabilidad en un segmento de red de manera rápida en sólo unos minutos.

image

5. Exploits en Internet

La última semana de mayo de 2019 empezaron a pulular en Internet pruebas de concepto (PoC) sobre la vulnerabilidad BlueKeep y aunque algunos tenían videos a modo de demostración del funcionamiento del exploit gran parte de ellos eran FAKES. Algunos hasta te pedían algún dinero de depósito previo para poder enviarte el exploit que mostraban en el video, lo cierto es que no era una buena idea pagar por estos exploits ya que sólo era cuestión de tiempo para que el exploit se haga público ya que es una vulnerabilidad conocida. ̶O̶j̶a̶l̶a̶ ̶n̶o̶ ̶h̶a̶y̶a̶n̶ ̶d̶e̶p̶o̶s̶i̶t̶a̶d̶o̶ ̶y̶ ̶l̶o̶s̶ ̶h̶a̶y̶a̶n̶ ̶e̶s̶t̶a̶f̶a̶d̶o̶.̶

El 30 de mayo han publicado un exploit en el portal de EXPLOIT-DB, lo he descargado, probado y está totalmente funcional. El exploit logra generar ejecutar código remoto a través del protocolo RDP y genera una DoS (Denied of Service) logrando reiniciar el servidor.

El exploit lo puedes descargar desde aquí: https://www.exploit-db.com/exploits/46946

image

6. Tiempo de la Demostración

Bueno, ahora que ya explicamos que es BlueKeep, como funciona y como podría identificarlo. vamos a ejecutar una demostración breve de cómo podría identificar si tu organización se encuentra expuesta a esta vulnerabilidad.

El video lo pueden ver aquí: https://youtu.be/J1yjb118Jwc

7. ¿Cómo protejo mi organización de este ataque?

1. Si el sistema operativo Microsoft del servidor/computador aún tiene soporte, se deben aplicar las actualizaciones sobre el mismo lo antes posible.

2. Si, por otro lado, el sistema operativo ya no cuenta con soporte oficial, Microsoft ha sacado un parche especial para esta vulnerabilidad así que puedes instalar el parche desde la siguiente dirección URL:

https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/

3. Se recomienda aplicar regalas a nivel de Firewall local o de red que no permitan el acceso al protocolo RDP a través del puerto TCP/3389 para cualquier dispositivo, se recomienda restringir el acceso a segmentos debidamente autorizados.

4. Si tienes publicado el protocolo RDP hacia Internet para el uso de algún servicio, se recomienda utilizar otros mecanismos de conexión remota, por ejemplo, a través de una VPN. No expongas el protocolo RDP a Internet.

5. Finalmente, si cuentas con soluciones avanzadas del tipo IPS/IDS, actualiza las firmas del dispositivo a fin de que puedan detectar los ataques del tipo BlueKeep.

Popularity: 2% [?]

parchando windowsDespués de un buen rato de no publicar noticias en el blog decidí aprovechar el feriado y el fin de semana largo para dedicarle algo de tiempo a mi querido y fiel acompañante, mi blog.

La semana pasada algunos chicos me preguntaron porque sólo se suele explotar Apache, MySQL y demás software libres, que les daba la impresión de que el software es más vulnerable comparando las mismas con herramientas o aplicaciones de pago; lo cierto es que tenían razón, ya que es más fácil utilizar software libre para las pruebas pero definitivamente el software libre y el software propietario son igual de vulnerables y hasta me atrevería a decir (con cierto corazoncito Open Source) que el software propietario es más vulnerable que el libre y baso mi teoría en la cantidad de boletines de seguridad que envía Microsoft de manera periódica.

Dediqué gran parte de mi domingo (Wuju!!! que divertido) haciendo un video tutorial que muestre los diferentes métodos y técnicas para vulnerar un Microsoft SQL Server 2005 corriendo sobre un Windows 2003 Server y lo hice porque hay poca información en internet sobre este tema y porque aun veo muchas empresas en las cuales he podido vulnerar este motor de base de datos pero sobre todo porque me resultó divertido hacerlo a través de SQL Injection.

El video tiene el siguiente contenido:

  • Módulos auxiliares MSSQL en Metasploit
  • XP_CMDSHELL para apoderarse del sistema operativo
  • Exploits y meterpreter para acceder al sistema operativo
  • Explotación de vulnerabilidad MS09-004 a través SQL Injection
  • Vulnerando SQL Server: XP_CMDSHELL – Metasploit

La presentación mostrada en el video tutorial pueden descargarla: [AQUÍ]
Los comandos utilizados en el video tutorial pueden descargarla: [AQUÍ]

*****************************************************************

El fin de semana estuve algo pensativo y melancólico recordando la música que escuchaba cuando hacia las tareas del colegio, rebusque entre la música que solía escuchar y encontré esta canción que es extremadamente buena, la comparto para aquellos que están hartos de escuchar regueton y puedan encontrar algún consuelo para sus oídos con Pearl Jam.

Popularity: 28% [?]