La ética como parte del espíritu hacker.

Hace un tiempo un conocido compañero de la comunidad underc0de redacto y compartió esto con nosotros, y la verdad me llego tan profundo que de cuando en vez me gusta releer esta exquisitez. Hoy quiero compartirlo con ustedes esperando sea de su agrado, y donde quieras que te encuentres Crazykade, desde aquí te mando un abrazo.

Hack-your-Password

 

LA CONDENA SOCIAL:

Una vez un amigo me dijo: “Me da miedo que sepas tanto sobre informática, me da miedo que te metas en mi ordenador, en mi casilla de correo electrónico y en mi Facebook”. Pasé mucho tiempo reflexionando sobre el significado de esas palabras. Finalmente pude ver la luz y me di cuenta de algo que cambió mi forma de pensar: “Para el común de los mortales, un hacker es un delincuente”.

Asombrado por este descubrimiento, comencé a tratar de descubrir la raíz de estos (errados) preconceptos. De esta forma, me di cuenta que el problema más grave no es que se le llame delincuente a un hacker, sino, y por el contrario, que se le llame hacker a un delincuente.

LA ÉTICA DEL HACKER:

De la misma forma que un cerrajero, basado en años de estudio, trabajo y experiencia, conoce la forma de abrir cualquier cerradura, (lo que supondría un riesgo de seguridad enorme para la sociedad), un hacker también conoce formas y métodos de vulnerar y abrir las cerraduras electrónicas. Es en este estadio en donde entra en juego la famosa “Ética Hacker”.

Haciendo uso de sus conocimientos adquiridos a priori, el cerrajero podría tranquilamente deambular por la ciudad por las noches, mientras todo el mundo duerme, abriendo las puertas de las casas y realizando hurtos. En tal caso, ya no sería un simple cerrajero, sino que se convertiría en un delincuente. En nuestro mundo de unos y ceros pasa lo mismo. Un hacker tranquilamente podría dedicarse a vulnerar empresas, personas, entidades haciendo uso de los conocimientos que posee sobre muchas y variadas ramas de las ciencias computacionales, pero de ser así, estaríamos hablando nuevamente de un delincuente, digital, pero delincuente al fin.

Para referirse a tales delincuentes, y así diferenciarlos de los verdaderos hackers, el filósofo finlandés Pekka Himanen, acuñó la palabra “Cracker” en su obra: “La ética del hacker y el espíritu de la era de la información”. También señaló que el término hacker no debe ser utilizado única y exclusivamente dentro del mundo tecnológico, sino abrir sus horizontes hacia otros ambientes:

“En el centro de nuestra era tecnológica se hallan unas personas que se autodenominan hackers. Se definen a sí mismos como personas que se dedican a programar de manera apasionada y creen que es un deber para ellos compartir la información y elaborar software gratuito. No hay que confundirlos con los crackers, los usuarios destructivos cuyo objetivo es el de crear virus e introducirse en otros sistemas: un hacker es un experto o un entusiasta de cualquier tipo que puede dedicarse o no a la informática.”

A finales de los años 50’s, cuando todo lo que tenemos hoy en materia informática y de telecomunicaciones, estaba aún en pañales, cierto grupo de gente, en los laboratorios de inteligencia artificial del MIT, empezaron a debatir sobre los principios éticos y morales a los que, teóricamente, debería responder todo este mundillo que de a poco iba naciendo. El periodista Steven Levy en su ensayo: “Hackers: Héroes de la revolución computacional”, publicado en 1984, describe ilustradamente cómo era el ambiente por aquel entonces. También enumera los principios morales antes mencionados. Entre ellos se habla de pasión, libertad, conciencia social, transparencia de la información, libre acceso a la misma, curiosidad, creatividad e interés.

LOS HACKERS EXISTEN Y ESTÁN PARA AYUDARTE:

Si tienes la suerte de conocer un hacker, descubrirás por ti mismo que, sin dudas, es una persona extraña. Probablemente retraída y de aspecto desprolijo. Claro que no existe un estereotipo de hacker, pero me baso en mi experiencia en hackmeetings (reuniones de hackers) para describirlos a grandes rasgos. No te asustes ni te intimides, suelen ser amistosos. Si tienes la posibilidad, acércate, comunícate, pregúntale cosas, pregúntale qué significa el hacking para él, por qué lo hace, cuánto tiempo lleva en esto, seguramente te sorprenderá más de una respuesta.

Los hacker están ahí, pero no para atacarnos y hacerse con nuestro perfil de Facebook, como muchos creen, sino para cuidarnos de los delincuentes que deambulan por la red de redes. Lo único que ellos necesitan de nosotros, es que cambiemos los conceptos que tenemos en nuestra mente y que los medios de comunicación, que de esto no saben nada, se implican en exponerlos como válidos y verdaderos día a día.

Un hacker no es un delincuente y un delincuente no es un hacker. Teniendo esto bien en claro, podremos discernir entre lo verdadero y lo falso cuando leamos en un diario o veamos en un noticiero un titular como “Hacker robó x cantidad de dinero de tal banco” o “Grupo de hackers se hacen con el control de más de 1000 cuentas de redes sociales”. De hecho, las noticias de los verdaderos hackers raramente las verán en un noticiero. ¿Alguna vez vieron en algún medio una noticia del estilo: “Hackers desarrollan un nuevo algoritmo de encriptación para comunicaciones inalámbricas en remplazo del antiguo y vulnerado WEP”?

Si logramos cambiar y ordenar los conceptos que tenemos sobre ciber delincuencia y hacking ético, podremos observar de un modo nuevo y diferente a Internet y al mundo de las comunicaciones digitales. Underc0de y quienes lo integran, confían y apoyan el hacking ético. Nos hemos propuesto educar al respecto tanto a los más nuevos, como a todo aquel que quiera comprender cómo funciona el underground digital. Nuestros tutoriales, cursos, competencias, artículos, recursos y servicios, están 100% orientados a suscitar la libertad de espíritu y de pensamiento en todo aquel que quiera un mundo digital libre, seguro y con información accesible para todos. A su vez, Underc0de y quienes lo hacemos posible día a día, condenamos el ciber crimen, la delincuencia digital en cualquiera de sus formas y rostros y toda actividad ilícita que de una u otra manera afecte a la integridad de un tercero sea esta física o digital y este sea persona física o entidad.

Espero que este artículo sea capaz de tocar al menos un corazón de alguien que lo lea. Si es así, mi trabajo estará cumplido. Me despido agradeciendo a Underc0de por el espacio para publicar y especialmente a mi amigo ANTRAX por animarme a escribir. Happy Hacking

CrazyKade

Ataque phising + web exploit usando falsos correos de whasapp.

Buenas noches lectores, pues la vedad el día de hoy no tenia pensado escribir nada, mas bien esta estudiando cuando de repente me dio por limpiar un poco la basura de mis cuentas de correo, cuando de repente…

BAAAAMMMM!!!!

threat

Ahí estaba un correo de certeros colores diciéndome que había recibido una nota de voz por Whatsapp…

La verdad es que se ve muy autentico y quzas hubiese funcionado con algún usuario promedio que no repara en riesgos y que solo hubiese atinado a decir:

“Ahora me mandan las notas de voz a mi correo, que eficiente se han puesto los de whatsapp”

Pero en mi caso no fue tan sencillo, ya que simplemente copie el enlace al que redirigía el famoso botón de “autoplay” y lo copie en un .txt con el fin de averiguar que tan elaborado iba este ataque, quizás algunos piensen pero cl0udswx, para que copiar el enlace si al visitarlo te vas a exponer y mi respuesta es que yo les quiero tanto que prefiero exponerme yo a que sean expuestos ustedes (esa es la versión políticamente correcta) la verdad es que tengo una maquina virtual para estas cosas, desde puedo probar enlaces, ejecutables y todo en un ambiente controlado (sandbox, firewall, IPS, y esas cosas).

Así que salte a mi maquina virtual y abrí el navegador mas odiado por todos Internet Explorer (a veces necesitamos cosas vulnerables para probar vulnerabilidades) pegue mi enlace y voila!!

Farmacia canadiense con dominios de Rumania?

Farmacia canadiense con dominios de Rumania?

Ummm… No es nada… Apaguen las alarmas…

En serio?

Noooo!!!

Es muy curioso que una pagina para vender medicinas por parte de una farmacia online canadiense tenga un dominio de Rumanía, no se a ustedes pero a mi me parece muy raro, asi que tome el CMD de Windows y lance un:

netsat -a

Para ver como iban las cosas con las peticiones y las conexiones TCP, y mi sorpresa fue aun mayor cuando encontré esto:

netstatY que son todas peticiones http desde mi maquina hacia ese extraño servidor? generalmente los puertos de origen son aleatorios en una petición http, pero si se realizan de forma sucesivamente rapida estos se suceden en cierto orden, como podemos ver están todos en el rango de los 1200 y de 65000 puertos TCP no es nada aleatorio que estén dentro de ese rango.

Y de repente me llego la imagen sublime de un ataque web exploit, en el que se nos hace visitar una pagina infectada para aprovecharse de algún exploit en nuestro navegador, algún plugin obsoleto también les vendría bien (desde cuando no actualizas el java?), quizas alguna vulnerabilidad en el flashplayer (desde cuando no actualizas tu flashplayer?).

Un ataque sencillo que por estadística sigue enganchando a los usuarios y que por tales motivos los sitios web en combinación con malos hábitos de navegación siguen siendo uno de los mayores vectores de infección, aquí les comparto algunas medidas que les ayudaran a protegerse.

  • Rápidos con la mente, lentos con el dedo. Significa pensar bien las cosas antes de aceptarlas y visitar sitios de dudosa procedencia.
  • Usa tu navegador como todo un experto en seguridad, algunos diran pero como “C#ñ$!!” hago eso, pues resulta que puedes desactivar JAVA y flashplayer para navegar y solo activarlo en caso de que alguna aplicación así lo requiera (y te preguntara asi que recuerda la regla numero 1).
  • Mantén tu software actualizado, sonara repetitivo pero es así.
  • Usa alguna suite de software que tenga antivirus, anti-malware, protección contra phishing y spam, actualizaciones en segundo plano, etc.. Yo suelo recomendar 360 Security.

Eso es todo por ahora amigos, y como les dije, la verdad no tenia pensado escribir pero me gusto tanto la notificación falsa de los chicos de whatsapp que al final no me resistí.

Saludos.

92% de cajeros ATM que aun están corriendo el difunto Windows XP.

Cuenta que hace muchos años en la mayoría del planeta las personas tenían que ir a los bancos a realizar todas y cada una de sus transacciones, incluso pequeños retiros de efectivos. Que difícil debió ser vivir por esos tiempos, gracias a la tecnología yo nací en una época en que los cajeros automáticos eran toda una realidad y pues desde mi nacimiento hasta que tuve dinero para retirar de una de esas maquinas la verdad era que ya habían proliferado a todos los rincones de mi país. Estoy seguro que yo al igual que muchos hemos disfrutado de las bondades de esas maravillosas maquinas, pero que hay de la seguridad?

BSoD en ATM

BSoD en ATM

Pues por allá por la decada de los 70 la compañía americana NCR invento estos dispositivos llamados ATM (Automatic Teller Machine) claro que no eran los magníficos dispositivos que disfrutamos hoy dia, pero con el tiempo evolucionaron a tal punto que se convirtieron en el furor de la banca privada y publica, permitiendole al usuario realizar transacciones de forma remota y sin tener que lidiar con las complicaciones que representaba ir a una sucursal, pero estos dispositivos eran básicamente computadoras, con las mismas necesidades que todas, necesitaban CPU, memoria, conexión de red y lo mas primordial necesitaban un sistema operativo, como era de esperar Microsoft no perdió tiempo e hizo los amarres para conseguir suplir a mas del 94% con su flamante sistema operativo XP (que por esos años estaba recién salido del horno) y así por casi una década todo funciono de maravilla, para todo el mundo.

Con el tiempo Microsoft fue liberando actualizaciones a las que por alguna razón llamaba Service-Pack y a medida que iban liberándose estas se aplican a todos los terminales que usaban XP incluyendo los cajeros automáticos pero una sombría mañana de junio del 2008 Microsoft anuncio que windows XP tenia los dias contados dando asi por finalizado su ciclo de vida, así que en abril del 2014 le dimos un triste adiós a Windows eXPerience (De ahi la XP).

“Pero nadie quería abandonar a Windows XP”

Y fue así como cerca del 92% de los cajeros automáticos continúan usando al día de hoy un sistema operativo con casi 14 años de antigüedad y que ya no tiene soporte por parte de Microsoft y por supuesto esto tiene sus consecuencias de seguridad, un ejecutivo de Microsoft dijo que XP ya no recibiría actualizaciones de seguridad, por lo cual un dispositivo corriendo Windows XP no debería considerarse como seguro, y por alguna razón no dejo de pensar en los cajeros automáticos en los que millones de personas gestionamos nuestras cuentas bancarias.

Estos están expuestos a gusanos, 0days, quizás un agujero en la red de un banco y mucho, pero mucho malware (Tyupkin, Neopocket, Zeus, etc..)

Sin querer sonar profético, pero podría decirse que el XPocalipsis ha llegado…!!

Pero no todo son malas noticias, NCR y demás compañías ya están seleccionando con cual sistema operativo actualizar sus maquinas, unos rumores dicen que podría ser el flamante Windows 8.1 pero otras buenas lenguas afirman que se esta pensando seriamente en un sistema basado en Linux, por su estabilidad y seguridad.

Hasta aqui el articulo de hoy respetados lectores, recuerden compartir y ayudarme llegar a mas personas.

Impresoras inalambricas, quizás un agujero en tu red.

Pues para ser sincero hay que decir, que la llegada de la tecnología 802.11 ha cambiado la forma en que usamos la tecnología, nos ha liberado de los cables y nos ha permitido hacer cualquier de cualquier rincón nuestra esquina en el ciberespacio. También es cierto que a la llegada de WEP y su posterior muerte culpa de su cifrado RC4 marcaron una etapa en la inseguridad de todas las redes inalambricas, hasta que al fin por alla por el 2004-2005 WPA2 fue ratificada como la norma de seguridad a ser usadas para entornos inalambricos y desde entonces el estándar 802.11i ha sido el equivalente al candado definitivo para nuestras redes.

Cabe aclarar sin embargo que la frase “totalmente seguro” no debe ser empleada jamas en el ámbito de la seguridad informática ya que es posible vulnerar 802.11i a base de capturar el HandShake y pasarlo por fuerza bruta para lograr encontrar el valido, así como hacerle fuerza bruta a WPS y sus combinaciones de pin, pero quiero darle un giro distinto a la seguridad de estas redes y mostrarles un nuevo agujero que quizás pase muy desapercibido para algunos administradores de red, pero que esta ahí, esperando a ser explotado.

Impresoras Inalambricas.

Generalmente cuando tenemos una impresora en la red bastaría con una poca configuración para poder compartirla con todas las estaciones y dependiendo del protocolo que utilicen estas representan riesgos en mayor o menor medida, solo basta recordar un poco cuando  Netbios y su puerto 139 TCP causo muchos dolores de cabeza a los administradores de redes, pero luego todo mejoro, llego SMB y el sol volvió a brillar en lo alto del cielo, luego llego HP con sus impresoras inalambricas que ofrecían mayor flexibilidad, mejor integración con su servicio e-print que permitía imprimir desde el smartphone, y muchas características que a la verdad mejoran la forma en la que nos desenvolvemos, pero… y la seguridad que?

Pues estas impresoras en algunos de sus modelos vienen con dos NIC, una de ellas Ethernet y la otra Wireless y aqui es donde viene la cosa, la interfaz wireless de manera predeterminada viene “Open” es decir sin método de autenticacion, y en mas de una ocasión al conectarme a la impresora he podido acceder a servicios como Internet, recursos compartidos como carpetas publicas, etc…

Impresora inalambrica sin seguridad.

Impresora inalambrica sin seguridad.

Dejando así un agujero en la pared por donde podríamos intentar muchas cosas mas, las recomendaciones:

  • Consultar con el fabricante las configuraciones predeterminadas de cada periférico que agreguemos a nuestra red.
  • Asegurar las impresoras inalambricas con seguridad WPA2 y contraseña lo suficientemente larga.
  • No compartir recursos sin alguna forma de autenticacion previa.
  • Y esta demas, pero si no es necesario para que usar estos perifericos, recuerden que se pueden compartir impresoras cableadas con dispositivos inalambricos usando SMB.

Saludos respetados blogueros y hasta una próxima entrega. Y recuerden si te gusta mi entrada comparte y permitirme llegar a mas personas.

El veneno llega a las arterias de la virtualización, VENOM aterriza en los centros de datos.

En la seguridad informática existe siempre la constante carrera entre el anuncio de un fallo de seguridad y la salida del update que hace de parche al mismo, y es durante ese tiempo que las cosas se ponen un poco tensas en los departamentos de IT de las empresas privadas y publicas. El asunto es que generalmente los que sacan partidos de la tecnología de virtualizacion se sienten un tanto seguros de esta costosa y eficiente técnica que ha venido a simplificar la vida de muchos, pero para romper con esa tranquilidad nos llega “VENOM”.

Pues desde que conocimos Heart Bleed (bug que permitía conocer las claves de cifrado privadas haciendo un volcado de la memoria del Server) no habíamos tenido tanto movimiento hasta hace unos dias cuando se ha descubierto VENOM (Virtualized Environment Neglected Operations Manipulation), esta vulnerabilidad fue descubierta por Jason Geffner Senior Security Researcher de la compañia CrowdStrike.

¿Como funciona VENOM?

Antes que todo imaginemos un entorno virtualizado donde existen varios servidores ofreciendo y supliendo las necesidades de la empresa y de los clientes, ahora imaginemos que un atacante logre comprometer un solo de esos servidores y desde ahí sea capaz de extenderse a los demas servidores virtuales e incluso al mismo sistema huesped.

Suena terrorifico verdad?

Lo mas terrible es que es totalmente posible.

Pues todo comienza con un Bug en el código del controlador FDC (Floppy Disk Controller) en QEMU, que es por mucho la tecnología mas usada por las plataformas de virtualización alrededor del mundo y quizás muchos lleguen a la conclusión de:

Pero Floppy Drive es algo totalmente obsoleto…

Y aunque es muy cierto que los Floppy Drive son algo del pasado también es cierto que la mayoría de maquinas virtuales traen por defecto al menos una unidad Floppy activada y aunque el administrador deshabilite la misma igual sigue de forma nativa el controlador para hacer funcionar la misma.

VENOM afecta directamente a QEMU 2.3.0 y sus versiones anteriores, asi como a Xen y KVM, lo que podría traducirse en decir que afecta a:

* xen:4.5.0
* redhat:enterprise_linux:5
* redhat:enterprise_linux:6
* redhat:enterprise_linux:7.0
* redhat:enterprise_virtualization:3.0
* redhat:openstack:4.0
* redhat:openstack:5.0
* redhat:openstack:6.0
* redhat:openstack:7.0

Cabe resaltar que VMware, Microsoft Hyper-V, and Bochs hypervisors no son vulnerables a VENOM.

VENOM es una vulnerabilidad existente desde el 2004 fecha en que se agrego por primera vez el controlador de Floppy Disk a QEMU.

¿Que hacer frente a VENOM?

Pues como decía al inicio del articulo la seguridad informática es la carrera entre el tiempo en el que se publica una vulnerabilidad y el tiempo que tarda esta en ser parcheada así que la mayoría de las soluciones vienen a ser las mismas para la mayoría de ellas, entre las posibles soluciones recomendadas por los chicos de CrowdStrike están:

  • Buscar e instalar las ultimas actualizaciones a medida que son desarrolladas
  • Una medida buena seria limitar el acceso de los usuarios a los servicios virtualizados.
  • Si recibes el servicio de virtualización por parte de un proveedor ponte en contacto con ellos y asegúrate de que hayan tomado las medidas necesarias.

Esto es todo por hoy, saludos mis seguros inseguros lectores, hasta el próximo articulo y recuerda si te gusto compártelo y ayúdame a llegar a mas personas.

“Recorded Future” el ojo que espia tus conversaciones en Facebook.

Tenemos que admitir que la privacidad y la seguridad de nuestras conversaciones tienen un “antes” y un “después” de Snowden, ese ex-analista de la NSA que nos mostró la delicada linea en la que se cruzan la seguridad de las naciones con la privacidad de los usuarios, desde entonces nada ha sido igual, los que alardeaban de una privacidad en sus servicios pasaron a ser mas cuidadosos, los que de por si ya eras desconfiados con la “privacidad” en la red nos convertimos en paranoicos de la criptografia.

Pues resulta que los chicos de Bosnadev estaban testeando una App y la misma se enviaba a través de enlaces mediante mensajes de chat en FB y como todos sabemos los enlaces son verificados antes de ser enviados al destinatario, lo extraño específicamente es el log de conexiones de la misma:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
13.04.2015 22:05:01 2a03:2880:3010:3ff4:face:b00c:0:1
13.04.2015 22:05:02 2a03:2880:3010:3ff6:face:b00c:0:1
13.04.2015 22:05:02 2a03:2880:3010:3ff3:face:b00c:0:1
13.04.2015 22:05:03 2a03:2880:2020:8ff0:face:b00c:0:1
13.04.2015 22:05:03 2a03:2880:2020:8ff2:face:b00c:0:1
13.04.2015 22:05:24 2a03:2880:2020:8ff4:face:b00c:0:1
13.04.2015 22:05:29 2a03:2880:20:3ff1:face:b00c:0:1
13.04.2015 22:05:31 2a03:2880:20:5ff4:face:b00c:0:1
13.04.2015 22:05:32 2a03:2880:20:cff6:face:b00c:0:1
13.04.2015 22:07:58 2a03:2880:11:2ff9:face:b00c:0:8000
13.04.2015 22:07:58 2a03:2880:2130:7ff2:face:b00c:0:1
13.04.2015 22:08:05 2a03:2880:3010:3ff2:face:b00c:0:1
13.04.2015 22:08:06 2a03:2880:3010:3ff5:face:b00c:0:1
13.04.2015 22:08:06 2a03:2880:3010:3ff7:face:b00c:0:1
13.04.2015 22:08:07 2a03:2880:3010:7ff6:face:b00c:0:1
13.04.2015 22:08:42 2a03:2880:20:4ff2:face:b00c:0:1

Desde mi punto de vista son demasiadas direcciones IPv6 para un simple chequeo.

Luego forzaron la creación de un registro de rastreo en IPv4 para una URL recién creada, lo hicieron enviándola por por el chat de facebook y leyendo el log de la URL y el resultado fue conexiones a servidores de nada mas que “Recorded Future” una empresa financiada por Google y por CIA.

En un articulo de Alex Fitzpatrick para Mashable se habla que la compañía se vale de un software que escanea las conversaciones en busca de “Keywords” para generar reportes a sus Sponsors.

Cuando enviamos un enlace usando el chat de Facebook este se busca en los motores de búsqueda y si no esta compartido públicamente entonces se analiza, “solo se analiza lo que nunca ha sido publicado”, en defensa a los resultados ellos simplemente dicen:

…our patented Web Intelligence Engine continuously analyzes the open Web…

Hay que resaltar que el software de vigilancia pone mas énfasis en usuarios que comparten enlaces en los que no existe una relación previa entre perfiles, asi como buscar ciertas frases y patrones de comportamiento encontrados en los records de cybercriminales incluso depredadores sexuales,lo cual me tranquiliza un poco mas, ya que no me están espiando, están cuidándome, preocupándose por mi.

Esto nos lleva a pensar que el mismo miedo de estar inseguros y ser blancos de un ataque no esta llevando al borde de la red, donde estamos dispuesto a sacrificar nuestra privacidad por recibir una pseudo-protección.

Esto es todo por ahora distinguidos lectores, si te gusto mi articulo comparte y ayúdame a llegar a mas personas.

Lectura recomendada:

https://bosnadev.com/

http://mashable.com/2012/07/12/facebook-scanning-chats/

Vulnerabilidad de hace 18 años sin parchear que afecta todas las versiones de Windows.

Saludos distinguidos blogueros,

Pues en los inicios, cuando yo comenzaba a caminar en cuanto a seguridad informática, era yo una especie de fanboy de Metasploit Framework y todas sus herramientas, también recuerdo que todos los tutoriales que habían en la red explotaban una vulnerabilidad de SMB, años después quedo obsoleto pues habían parcheado ese agujero de seguridad en windows XP y posteriores, pero sucede que el hueco tenia múltiples formas de explotarse y es así como 18 años después aun sigue siendo vulnerable.

Recientemente investigadores de Cylance han re-descubierto una vulnerabilidad en el protocolo SMB que permite a los hackers malignos (que conste que no hablo de Chema) robarse las credenciales de usuarios usando tableta, portátiles y/o desde cualquier servidor que este corriendo cualquier version de windows, incluyendo el nuevo y flamante windows 10.

La vulnerabilidad ha sido llamada “Redirect to SMB” y es una variante del bug encontrado por  Aaron Spanglerin en el 1997 quien descubrio que entrando una URL que comenzara con la palabra “file” (por ejemplo file://1.1.1.1/) a Internet Explorer este intentaría autenticarse con el supuesto servidor SMB en la dirección IP 1.1.1.1 usando las credenciales almacenadas en el sistema (user & pass). A pesar de ser un agujero de seguridad reportado por los investigadores este nunca ha sido parcheado por Microsoft quienes afirman que no es un foco de preocupación, y que no sera foco de ataque y  que las probabilidades de ser atacado son mínimas y bla… bla… bla…

Así funciona “Redirect to SMB”

El resultado es una vulnerabilidad que afecta a todas las versiones de Windows, y si hacemos un movimiento mental rápido nos damos cuentas de que tan grande es el problema, y este es el punto donde quizás algunos se pregunten:

“Linux también usa SMB, ¿es vulnerable? “

Pues la respuesta es sencilla:

“Windows integra SMB en el mismo Kernel del sistema, mientras que en Linux no es asi.”

Los investigadores de Cylance han hecho un listado de 31 aplicaciones vulnerables a este fallo, entre ellas:

  • Aplicaciones de amplio uso: Adobe Reader, Apple QuickTime y Apple Software Update that handles iTunes updates
  • Aplicaciones de Microsoft: Internet Explorer, Windows Media Player, Excel 2010, e incluso Microsoft Baseline Security Analyzer
  • Herrramientas de desarrollo: Github para Windows, PyCharm, IntelliJ IDEA, PHP Storm y el instalador JDK 8u31’s
  • Herramientas de seguridad: .NET Reflector y Maltego CE
  • Antivirus Software: Symantec’s Norton Security Scan, AVG Free, BitDefender Free y Comodo Antivirus
  • Team Tools: Box Sync and TeamViewer
Medidas a tomar para protegerse de esta falla?
  • Una de las formas mas sencillas de protegerse es bloqueando el trafico saliente de los puertos TCP 139 y TCP 445 en el router y en el firewall, de esta forma se evitan conexiones a dudosos servidores SMB fuera de nuestra red
  • Se que sonara repetitivo, lo digo en casi todos mis artículos, pero deben mantener actualizado a la ultima versión todo su software, los fabricantes de software generalmente liberan parches tan pronto conocen una vulnerabilidad (aunque Microsoft no la ha hecho después de 18 años)
  • Usar contraseñas fuertes que sean duras de atacar por fuerza bruta.

Información adicional en:

http://blog.cylance.com/redirect-to-smb

http://www.eweek.com/security/redirect-to-smb-attack-can-exploit-windows-users-report-finds.html

Saludos distinguidos blogueros, hasta la próxima. Y si te ha sido útil mi articulo, por favor compártelo.