miércoles, 29 de agosto de 2012

Oracle tiene listo el parche

Una línea que esto es rápido

Oracle ya ha preparado un parche para la vulnerabilidad de día cero de Java http://t.co/sce3mTEH -- Oesia Seguridad (@oesia_seg)

Aun así,  mucho ojo y yo seguiría las instrucciones de antes hasta estar seguro de que han aplicado el parche.

Explotando JAVA 1.7

Ayer ¿o era antes de ayer? saltaba la noticia de una gran vulnerabilidad en java.  A partir de ésta se podría conseguir desactivar el control que hace java sobre la ejecución de las aplicaciones desarrolladas en este lenguaje.

Una explicación de cómo podría actuar lo hacen en Hispasec:

Algunos apuntes curiosos sobre el 0-day de Java 7

El preocuparse no es para menos.  ¿Una ejecución con privilegios?

También tenemos otra reseña en Security by Default:

Grave vulnerabilidad en Java RE 1.7: Cómo deshabilitar Java en todos los navegadores

Si bien en Hispasec comentaban que podría estar preparado para ejecución en distintos sistemas operativos,  sólo lo está haciendo en Windows.  Pero,  también nos dicen en SbD y en F–Security (¿se llama así?)  que herramientas como Metasploit o Blackhole ya tienen sus actuaciones para aprovechar la vulnerabilidad y,  como no está planeado que actualicen java hasta, más o menos,  dentro de un mes...

Total.  Que a día de hoy se recomienda encarecidamente desactivar java.

lunes, 27 de agosto de 2012

Hash dumping en Windows

Ya se que este tema se ha tratado en multitud de blogs y que este post en concreto no acaba siendo obra mía. Pero, como últimamente acumulo muchas cosas por leer y aprender y me gustaría tenerlas a buen recaudo por si algún día las necesito, aquí lo dejo por si las moscas. Y, si a alguien le resulta de utilidad, pues bienvenido sea, ¿no?

Aquí dejo un resumen de una serie de posts que han escrito sobre los dumps de los hashes en sistemas Windows. Ya he hablado unas cuantas veces de este tema, y, he de reconocer, cada vez que leo algo al respecto, acabo aprendiendo más, o, como mínimo, asentando mejor lo que ya conocía.

Este primer artículo nos habla de cómo obtener los hashes en modo offline. O también, herramientas como kon-boot (esta la probé hace tiempo), BootRoot o SysRQ2, para (descrito un poco a lo burro) que salte el kernel y entrar en el sistema sin que el usuario seleccionado pida la contraseña. Eso sí, cuando probé el kon-boot, si se tenía puesto el Syskey, éste no se lo saltaba.

Otra posibilidad es resetear la contraseña de un usuario local con chntpw.

Más posiblidades explicadas en el artículo (y que también explicaban en el FTSAI): hacer un backup del sistema (el resgistro, al menos: SYSTEM y SAM). Después, lo volcabas a otra unidad o carpeta y a partir de ahí,  ya que no estaba en uso, podías leer los datos, desde, por ejemplo, Caín.

Más técnicas: el uso de shadow copies, herramientas como regback.exe...O, las herramientas que permiten hacer el dump desde memoria: pwdump6, pwdump7, fgdump, gsecdump, PWdumpX... (de las que también nos hablaron en el FTSAI). En general, y según he podido entender, alguno de estos métodos permiten inyectar en el servicio LSASS datos que permiten recuperar los hashes. Eso sí, se pueden producir BSODs.

El segundo post tratan el cómo obtener los hashes de un Active Directory. Para ello hará falta acceder a la base de datos que utiliza, y que se encuentra en %SystemRoot%\ntds\NTDS.DIT. También lo puedes obtener desde una copia del fichero SYSTEM. Una forma de poder hacer una copia de esos ficheros sería utilizar el comando ntdsutil que se encuentra a partir de los sistemas operativos Windows 2008.

Alguna de las herramientas que nos permita sacar las contraseñas serían Windows Password Recovery Toolntds_dump_hash.

Y, la tercera parte, nos habla sobre los históricos de las contraseñas (muy comunes en entornos corporativos y de AD). Sobretodo porque si se usan patrones, consiguiendo alguna contraseña antigua se podría encontrar la actual. También las contraseñas que se utilizan en servicios del sistema y para el autologon: encontrándose estas dos últimas en el LSA Secrets. La herramienta ya mencionada gsecdump se puede utilizar para obtenerlas. Sea cual sea la herramienta utilizada para obtener este tipo de contraseñas, se podrá conseguir en texto claro.

Además, sabiendo que se hay servicios arrancados con usuarios que son "Administradores de Dominio" o, incluso, "System", el agujero que tendremos en el sistema será de órdago.

miércoles, 22 de agosto de 2012

¿Han entrado en nuestra página?

Un nuevo tweet para tener en cuenta si alguien manipulase nuestro servidor del histing, hiciese un deface, robase datos...
Your site is hacked, now what? http://t.co/0DmbiRBm -- Team Cymru (@teamcymru)
Muy interesante. Incluso había cosas que, aun teniendo toda la lógica del mundo, no las sabía. Aún así, yo incluiría una más que es, que, aún teniendo los conocimientos técnicos para realizar el análisis uno mismo, creo que sería recomendable avisar a un tercero para que lo haga sin comprometer las evidencias y así mantener la independencia en... ¿el caso? Bueno. No se si me he explicado bien. Pero, ahí lo dejo...

De todas formas: ¿alguna cosa más que creéis que hay que hacer en estos casos?

domingo, 19 de agosto de 2012

Antología: bits&bytes

Es increíble lo que se encuentra en una casa, donde, de toda la vida, ha habido ordenadores, cuando se hace limpieza. Hoy, toca hacer una antología.

Por ejemplo: Encontrarse un manual de usuario, de casi 200 páginas, de un Commodore64:

Manual de usuario de un Commodore64

Dentro del cual había una factura de la compra del mismo, con su garantía de 6 meses:

Garantía de 6 meses

Incluso, en la factura de atrás, tenemos lo que costó, y lo que nos llevamos:

Factura de la compra

Como podéis ver, compramos (compraron) el Commodore, 1 cassette para las cintas y 2 joysticks. ¡¡¡Y yo apenas llegaba a los 2 años!!!

He de decir que esta factura y la garantía las he encontrado por buscar el número de páginas que tiene el libro. Si no llega a ser por eso, ni me enteraba que estaban ahí. 

¿Qué más he econtrado? Ya que estamos con el tema del Commodore, hay otro librito de, pero para uno 128:

Manual Commodore128

La de horas que estuve jugando con este ordena. Era el equipo que se ve en la imagen del manual, la fuente de alimentación, el cassette, los joysticks y... este televisor: 

Televisor que se utilizaba como monitor

Este televisor (que, como se puede ver, aún funciona), lo utilizábamos como monitor. Le dábamos a la tecla encendida/recuadrada en verde. Después conectábamos un cable... ¿de antena? al conector con el cuadro en rojo y... ya estábamos listos para trastear!!!

Eso no es lo único que he encontrado. También ha aparecido un diskette, como no, de uno de los Commodores, de 5 y 1/4:

Diskette 5 y 1/4

Aquí no acaba la cosa. También han aparecido... ¡¡unas tarjetas perforadas!!

Tarjetas perforadas

Ahora, una pregunta: ¿Quién ha instalado Windows 95 con diskettes? En mi casa, se hizo:

Diskettes 3 y 1/2 de Windows95

De los que constaba de...13 discos. ¡13!

Disco 13

También hay alguna que otra cosa más que ha aparecido. Por ejemplo, un libro de Basic para niños:

Basic para niños

Cuando copiaba los programas, sin entender qué hacían realmente, me alucinaba lo que se llegaba a conseguir. Incluso era una edad (evidentemente, con 6 o 7 años [u 8 o 9], viendo Juegos de Guerra) en la que te creías que los ordenadores tenían lo que una década después se conocía como Inteligencia Artificial). 

¿Qué más cosas han aparecido? Algún que otro diskette que pone "MS-DOS 3/4", "DOS 5.0", "D0S 6.2"... Y, no se por qué me da la sensación de que en algún sitio debería de estar el Windows 3.5 (update:Windows 3.11). No se. Alguna cosa que he visto: Leisure Suite Larry. ¿Puede que fuera un juego para adultos? Buscando, buscando... Bueno. En el enlace cuentan un poco, pero, en efecto, un juego para adultos. También hay diskettes con referencia a Artemis. Me sonaba que era un bicho, pero, no estoy muy seguro. Si alguien lo puede corroborar... Porque hay información de que parece que sea también un escudo de McCaffee (o como se escriba). 

Como podéis ver, aquí hay un montón de joyas que uno no sabe que aún las tiene si no llega a ser porque se está haciendo una buena limpieza. 

Ahora, dejo caer la pregunta. ¿qué reliquias de este tipo almacenáis en vuestras casas?

viernes, 17 de agosto de 2012

Retardo en el login

Una rápida:

Un tweet de Mark Russinovich:

Great use of Process Monitor boot logging to solve a slow boot problem: http://t.co/JgiSj8aw -- Mark Russinovich (@markrussinovich)

Una mas de Sysinternals: localizar qué software retrasa el arranque del sistema más de 2 minutos con “process monitor“.

jueves, 16 de agosto de 2012

Vulnerabilidad con .htaccess

Lo se. Esto se publicó recientemente. Pero bueno. Tenerlo por aquí escrito no vendría nada mal (así, si en algún momento tengo que consultarlo, lo busco aquí, ¿no?).

He podido ver desde un tweet

BlackHat 2012: nueva vulnerabilidad en .htaccess: Como ya comentamos, algunos integrantes del equipo de Laborato... http://t.co/HruAtlr1 -- hackplayers (@hackplayers)

una publicación por parte de ESET.

Esto es lo que he podido entender (por favor, si no es correcto en términos generales, que alguien me lo diga!!):

Para evitar que se pueda acceder a una carpeta, se utiliza un fichero .htaccess con el siguiente contenido:

require valid-user

También indica que si utilizando PHP éste no conoce el método, lo tomará como si se hubiese enviado utilizando el method GET de tal forma que no habrá request y, por lo tanto, no se producirá la autenticación. 

Al final, aunque no se pueda "entrar" directamente en la carpeta, se podrán descargar los archivos que ésta contiene. 

¿Cómo protegerse? Recomiendan dos formas:

  1. Impedir la utilización de métodos poco conocidos o no utilizados. Un ejemplo (que ellos mismos ponen, y que yo reproduzco):

    Order Allow,Deny
    Deny from all
  2. Mirar si la variable  $PHP_AUTH_USER tiene los datos esperados.
  3. Cuando $_SERVER["REQUEST_METHOD"] no contenga GET o POST.
Para hacer el PoC, ya hay una herramienta, HTExploit, que permite automatizar el proceso. Evidentemente, sólo se deberá utilizar en aquellos sitios donde tengamos permiso. Pase lo que pase tras su utilización, el usuario es el responsable de las consecuencias que de ello se produzcan.

viernes, 10 de agosto de 2012

Nevando en Youtube

Uno rápido. 

Hoy, visitando una vídeo en uno de los sitios más famosos de vídeos, se ha producido un error y, me he llevado una sorpresa. ¡Había nieve en Youtube! ¿Que no os lo creéis? Mirad, mirad...

Nevando en Youtube

Sí. Eso es. Ahora, cuando se produce un error al ver un vídeo, "nieva" en Youtube. ¿Qué os parece? Si. Es una pequeña chorrada, pero, cuanto menos, curiosa. ¿Verdad?

lunes, 6 de agosto de 2012

Desbloqueando el usuario bloqueado

Vamos a ponernos en situación.

Queremos acceder a un sistema Windows con el login de Novell.


01 - Login al directorio Novell desde Windows. Img original

Así, intentamos introducir nuestra contraseña y no nos deja. Nos aseguramos que la hemos puesto bien... Y tampoco. Total, usuario bloqueado. Y te das cuenta de que, por una extraña razón, no estaban entrando bien los caracteres. Aún así, consigues que salgan bien, pero, tu cuenta está bloqueada. Y tienes que poner una incidencia para que te la desbloqueen. Pero, se te ocurre una forma. Coges, y seleccionas que te permita loguearte en local:

02 - Login en local - Img original

Y... oh!! Sopresa!!! ¡He entrado!! Curioso. ¿verdad? Pero, aún hay más. Ahora, quiero ver si puedo entrar en el árbol del directorio. 

03 - Solicitar login al directorio con el login en local (workstation) - Img original

Tras lo cual, aparecía una vez más la imagen 01. Y... ¡oh, sopresa! Nos permite entrar:

04 - Acceso concedido y acciones posteriores al login en ejecución. Img original,

¿A que es curioso que se desbloquee solito el usuario del árbol de dominio cuando te logueas en local? No se. Me ha llamado mucho la atención. Además, hay que tener en cuenta que no tenemos la consola en las sticky keys activiada. Claro, hay que tener en cuenta que ése usuario tiene que estar en el sistema local. En ese caso, si no bloqueas el de la workstation, entrarás sin problemas. Pero, una vez dentro, no debería dejar entrar en el árbol. 

¿Se os ocurre la razón por la que estoy pueda suceder? ¿Se os ocurre otra forma de "reactivar" el usuario sin tener que llamar al CAU?