Episodio6

From Security Weekly Wiki
Revision as of 13:02, 13 September 2011 by Pauldotcom (talk | contribs)
Jump to navigationJump to search

Media

Download Episode 6 Here

Anuncios

  • DerbyCon : Louisville, Kentucky – September 30th to October 2, 2011 with practically all of PaulDotCom Carlos Perez presenta "Automating Post Exploitation with Metasploit".
  • Los otros episodios de PaulDotCom Espanol con Julio Canto, Lorenzo Martinez, Chema Alonso y mas estan disponible aqui.

Informacion Discutida

Lombriz Morto

La lombriz morto es un "Worm" que se esta propagando por una metodología vista por primera vez, esta es usando RDP por el puerto 3389. En el siguiente articulo de Microsoft se discute la misma y dan a conocer las credenciales usadas por el mismo para propagare Worm:Win32/Morto.A Una de las mejores maneras de probar sistemas fuera del control de GPO al igual que los controles de detección del mismo es simulando el ataque hecho por Morto, para esto tomamos las credenciales mostradas en el articulo de MS y preparamos un listado de usuarios y otro de contraseñas. Para probar usando RDP la herramienta recomendada es Ncrack del proyecto de Nmap la misma nos permite hacer un “Brutecofrce” usando las mismas credenciales que Morto simulando no tan solo si estamos vulnerables o no si no el patrón de tráfico del ataque. Comenzamos usando nmap para encontrar todas las maquinas con el puerto 3389 abierto y guardamos los resultados en un archivo que podamos despues manipular con grep para obtener un listado de blancos

# nmap -sS -P0 -p 3389 192.168.1.0/24 -oG rdp_servers.txt
# cat rdp_servers.txt | grep open | cut -d " " -f2 > targets.txt

Una vez tenemos un listado blancos y las credenciales de morto podemos usar ncrack limitando a una coneccion y un timeout de 2 segundos para probar nuestras maquinas, en ambientes grandes donde puede haber un tiempo de conneccion major recomiendo 3 a 4 segundos.

# ncrack -vv -d7 -iL targets.txt -U ~/mortou.txt -P ~/pass.txt -p rdp -g CL=1,cd=2 -oA vuln

Esta metodologia es lenta, pero simula muy bien el worm, si se puede tener acceso a el puerto 445/SMB se puede hacer una prueba mucho mas rapida usando el modulo de smb_login de Metasploit

msf > use auxiliary/scanner/smb/smb_login
msf  auxiliary(smb_login) > set USER_FILE /Users/carlos/mortou.txt
msf  auxiliary(smb_login) > set RHOSTS file:/Users/carlos/targets.txt
msf  auxiliary(smb_login) > set PASS_FILE /Users/carlos/mortop.txt
msf  auxiliary(smb_login) > set VERBOSE false
msf  auxiliary(smb_login) > set BLANK_PASSWORDS false
msf  auxiliary(smb_login) > set USER_AS_PASS false
msf  auxiliary(smb_login) > set PASS_FILE /Users/carlos/mortop.txt

Apache DoS CVE-2011-3192

El aviso CVE-2011-3192 cubre un ataque contr Apache 1.3 y 2.x el cual con poco esfuerzo puede hacer un DoS aun servidor donde se consume toda la memoria del mismo usando pedidos Get con multiples Byte Range. Hay una herramienta escrita en Perl en ExploitDB llamada KillApache que hace esto supur sencillo

$ sudo cpan App::cpanminus
$ sudo cpanm Parallel::ForkManager
# Download script from pastebin
$ mv Apache_killer_-THN.txt killapache.pl
$ perl ./killapache.pl
Apache Remote Denial of Service (memory
exhaustion)
by Kingcope
usage: perl killapache.pl <host> [numforks]
example: perl killapache.pl www.example.com 50

La mayoria de las distribuciones de Linux y Sistemas operativos con la excepcion de Apple an lanzado parches para protejer contra el mismo. El articulo cubre maneras de mitigación que pueden ser usadas tambien, es recomendado que si se usan las mitigaciones recomendadas por Apache que se pruebe ya que puede romper ciertos systemas. Se recomienda que se use nmap en adición de Vulnerability Scanners como Nessus para encontrar versiones de Apache en artefactos como impresoras, router y otros donde muchas veces los fabricantes lo incluyen sin informar al usuario.

DigiNotar Fail of the Month

Para aquellos que han visto mis webcasts en ingles no deben estar muy sorprendidos cuan roto esta el sistema de validación de SSL, solo se tiene que ver el trabajo excelente hecho por el EFF en el SSL Observatory para darse cuenta SSL Observatory por este ataque se comprometieron cientos de dominios tambien se obtuvieron certificados para firmar digitalmete codigo lo que hace este fallo aun peor. Ya la mayoria de los vendors n revocado el CA de DigiNotar menos Apple y aunque Apple lo marcara o el mismo usuario lo hiciera el sistema tiene un bug el cual no verifica la validez de certificados en OSX Lion. DigiNotar Failure F-secure