Printesting: la seguridad de las impresoras también importa

Dentro de las redes corporativas, las impresoras y dispositivos multifunción a menudo son dejadas de lado cuando se habla de seguridad.

En muchas ocasiones, estos dispositivos pueden ser aprovechados por un insider o atacante para acceder a información confidencial que ha sido previamente escaneada, obtener listados de correos electrónicos e incluso llegar a obtener credenciales de usuarios.

En este post vamos a ver algunas pruebas de concepto identificadas durante diversos test de intrusión. A continuación vemos un dispositivo multifunción el cual no dispone de credenciales para acceder al portal web, si no ha sido configurado previamente.
[Read more…]

Aprovechando la vulnerabilidad MS15-078 + DLL Hijacking (III)

En la primera parte y segunda parte de esta serie de artículos vimos cómo aprovechar la vulnerabilidad MS15-078 para escribir en una ruta privilegiada y luego cómo identificar posibles aplicaciones y servicios vulnerables a DLL hijacking.

En este último post aprovecharemos estas dos vulnerabilidades juntas para obtener privilegios de SYSTEM a partir de un usuario sin privilegios de administrador.

[Read more…]

Aprovechando la vulnerabilidad MS15-078 + DLL Hijacking (II)

En este post vamos a cubrir qué es el DLL hijacking y cómo podemos identificar posibles aplicaciones vulnerables, con el fin de realizar un ataque de escalada de privilegios.

Los conceptos básicos son simples: cuando una aplicación carga dinámicamente una DLL sin especificar un nombre de ruta de acceso completa o ha sido compilada por los desarrolladores con una DLL que ya no está en esa carpeta, Windows intenta localizar las DLLs siguiendo una estructura de carpetas predefinidas en un orden predeterminado, que es el siguiente:

[Read more…]

Aprovechando la vulnerabilidad MS15-078 + DLL Hijacking (I)

En esta serie de artículos, hablaremos de cómo aprovechar la vulnerabilidad (MS15-078: creación de archivo en una ruta privilegiada) + dll hijacking para obtener privilegios de SYSTEM con un usuario no privilegiado.

En el boletín de seguridad del pasado 14 de julio, Microsoft publicó varios parches de seguridad que corrigen varias vulnerabilidades de escalada de privilegios. Entre ellas «DCOM DCE/RPC Local NTLM Reflection Elevation of Privilege», esta vulnerabilidad permite realizar un ataque reflejado sobre una conexión local DCOM hacia un socket TCP que esté en escucha, lo que permite el acceso a un desafío de autenticación NTLM del usuario LocalSystem, el cuál puede ser reenviado al servicio de activación local DCOM.

[Read more…]

How to drop Shells in Windows

En este post vamos a ver dos maneras de droppear shells en equipos Windows, no voy a entrar en detalles de cómo llegar a comprometer un equipo, asumo que ya está hecho y que habéis volcado los hashes o credenciales en texto plano utilizando Mimikatz o alguna herramienta similar.

La primera de ellas será utilizando Metasploit y psexec_scanner,un grandioso módulo de Darkoperator, la segunda mediante psexec.py de IMPACKET.

[Read more…]

Detección de código malicioso con YARA (II)

En el post anterior (Detección de código malicioso con YARA (I)) os explicamos la funcionalidad de YARA y cómo crear reglas básicas para detectar malware especifico. En este post vamos a usar YARA con Volatility sobre un volcado de memoria RAM para la detección de un Troyano bancario ‘Zeus’. Para los que no sepáis que es Volatily, es una herramienta de código abierto para el análisis de la memoria RAM. Es compatible con el análisis para Linux, Windows, Mac y sistemas Android.

Para el propósito de demostrar la funcionalidad de Volatility con Yara hemos obtenido un volcado de memoria que esta infectado por uno de los troyanos bancarios mas conocidos, ‘Zeus’.

Actualmente Zeus es muy «difícil» de detectar incluso con antivirus y otros softwares de seguridad, ya que usa algunas técnicas de ofuscación. Se considera que esta es la razón principal por la cual se ha convertido en una de las mayores botnets de Internet.

[Read more…]

Detección de código malicioso con YARA (I)

¿Qué es YARA y para qué sirve?

YARA es una herramienta de código abierto para la identificación de malware la cual utiliza una gran variedad de técnicas. Su principal característica es su flexibilidad. Además, es de gran ayuda en situaciones de respuesta a incidentes, en las cuales tanto las herramientas como el tiempo, suelen ser limitados.

En este post vamos a crear un par de reglas para detectar payloads específicos de Metasploit y de Veil-evasion.

Escribir reglas para YARA es bastante sencillo. Aunque YARA ofrece multitud de opciones para crear reglas, solo hay que entender unos conceptos básicos para empezar. Observemos el siguiente ejemplo.

Regla YARA de ejemplo

[Read more…]

Un ejemplo de mala comunicación de seguridad de Google

Jugando un poco con Google Apps Script, que es un entorno de scripting de gran alcance proporcionado por Google, se pueden hacer solicitudes autenticadas contra los datos de un usuario en Google. ... Leer Más