Saludos,
Este POST lo inicio con una sonrisa en mi interior, recordando las ironias de la vida al observar la cantidad de veces que me he encontrado con esta vulnerabiliadad "MS08_067_netapi", generalmente utilizada por la mayoria de usuarios que quieren realizar una demostración del Framework de Metasploit y como realizar una intrusión. Situación de la cual siempre llegaba a la misma conclusión.
"Y que harían si no existiera xDDD o no la pudieran aplicar, por que no pueden explotar algo diferente!".
Pues resulta que el turno me toco a mí aunque esta evidencia que estoy mostrando ya tiene alrededor de unos ocho (8) meses del proyecto ejecutado, en donde estaba efectuando un análisis de seguridad (Test de Intrusión Interno), me asombre de como pueden a estas alturas existir este tipo de vulnerabilidades por el simple descuido de no aplicar parches o actualizaciones en los sistemas operativos, o no contar con politicas, normas y procedimientos para mantener actualizadas y protegidas las infraestructuras tecnologicas.
Debido a que a veces jugamos contra el tiempo para ejecutar un trabajo de campo, puesto que para esta situacion mi labor principal era recabar las evidencias de las intrusiones con sus respectivos hallazgos para apoyar un informe del test realizado, y solo contaba con un dia sin hablar de las cuatro horas restantes invertidas del viaje a nuestro Organizacion a auditar.
Debido a que a veces jugamos contra el tiempo para ejecutar un trabajo de campo, puesto que para esta situacion mi labor principal era recabar las evidencias de las intrusiones con sus respectivos hallazgos para apoyar un informe del test realizado, y solo contaba con un dia sin hablar de las cuatro horas restantes invertidas del viaje a nuestro Organizacion a auditar.
Es así, como dentro de las primeras medidas que aplico despues de levantar la informacion necesaria para lanzar el ataque( utilizamos metodologia OSSTMM de ISECOM). Me enfoque en la fase de "explotacion de vulnerabilidades" haciendo uso practico de una herramienta conocida por muchos en este medio "FasTrack", para fortuna de encontrar dentro de mis objetivos con dicha vulnerabilidad a explotar varios equipos sufriendo de este "mal".
El uso de herramientas automaticas nos ahorran mucho tiempo y nos facilitan la labor, antes de tener que entrar a aplicar scripts o tecnicas personalizadas para alcanzar nuestros objetivos.
Hice uso de FasTrack para realizar un Autopwn. Encontrando varios equipos con la misma vulnerabilidad a explotar :'(
El uso de herramientas automaticas nos ahorran mucho tiempo y nos facilitan la labor, antes de tener que entrar a aplicar scripts o tecnicas personalizadas para alcanzar nuestros objetivos.
Hice uso de FasTrack para realizar un Autopwn. Encontrando varios equipos con la misma vulnerabilidad a explotar :'(
Al explotar la vulnerabilidad quedamos en el directorio C:\WINDOWS\system32 ahí podemos observar el nombre del equipo y la configuración de red, ejecutando comandos como si estuviéramos ubicados localmente en la ubicación en donde se encuentra el computador.
Aquí podemos observar la carpeta Mis documentos. En la cual detallamos información importante y sensible del equipo.
Nuevamente información sensible y privada de la Organización.
Esto facilita a un atacante para extraer información como se muestra en la figura siguiente por medio de la conexión a una unidad de red y del comando copy o xcopy, y de igual forma se podría implantar un malware, virus,backdoor, rootkit o troyano que le facilite al atacante la posesión y manipulación de la computadora si esta es asegurada por el departamento de informática.
Como efectivamente lo podemos corroborar aqui
Este es el equipo del atacante con la información extraída del equipo victima.
Este es el equipo del atacante con la información extraída del equipo victima.
La imagen siguiente corresponde al equipo de computo 172.xxx.xxx.131, en la cual podemos observar el momento en que es vulnerada por el exploit ms08_067_netapi y nos deja una sesión abierta para ser usada y lograr lo mostrado como en el equipo anterior.
En las siguientes imágenes se mostrara como el equipo XXXX_18(172.XxX.XXX.122) es vulnerado por el mismo exploit MS08_067_netapi, para el cual de igual manera se logra una Shell (cmd.exe) en el equipo, se sube un keylloger para capturar teclas y pantallas, como también es monitoreado en las acciones del usuario sin que este se de cuenta que esta siendo observado de todo las acciones, pantallas y comandos que se ejecutan en su equipo por medio de la injection de un cliente VNCviewer. A Continuación se detalla lo escrito anteriormente.
Shell de comandos en Windows cmd.exe, del equipo XXXXH_18 ejecuntado un hostname e ipconfig /all
Shell de comandos en Windows cmd.exe, del equipo XXXXH_18 ejecuntado un hostname e ipconfig /all
El usuario tienen posesión completa de la maquina, y podría optar por crear un usuario fake para asegurarse la entrada nuevamente en el equipo, como vemos en la imagen con la creación del usuario bakup
Se inserta un Keylloger para captura de teclas y acciones por parte del usuario.
Seguido de capturas de pantallas del equipo del usuario sin que este se de cuenta, en este caso del computador xxxxxH_18, aquí se muestra.
De igual forma el usuario del computador xxxxxxH_18, puede ser monitoreado sin que se de cuenta, de las acciones e información que esta realizando en su equipo.
Bueno, aunque no hace parte del exploit, de este mismo objetivo militar se logro vulnerar la Inhalambrica.
[00:00:00] Tested 31 keys (got 30539 IVs) KB depth byte(vote) 0 0/ 7 86(38400) 22(37120) 0B(36864) D2(36864) 97(36352) 73(36096) 1 1/ 2 10(39424) 91(38144) A4(37632) BE(36608) D6(36096) 21(35840) 2 0/ 1 08(40704) 5A(37632) 6A(37120) E7(37120) 22(36608) 3D(36352) 3 0/ 1 51(41984) A4(38656) 06(37632) 49(37120) 36(36864) 81(36608) 4 1/ 3 9B(37632) 87(35840) DD(35840) 5B(35584) B6(35584) CD(35584)
KEY FOUND! [ 86:XX:08:XX:98 ]
Decrypted correctly: 100%
KEY FOUND! [ 86:XX:08:XX:98 ]
Decrypted correctly: 100%
Logrando la clave compartida, pasamos a configurar nuestra estación de trabajo con rangos de red permitidos estáticos y configuración de DNS y Gateway.
Se realiza la conexión para asociar el equipo al SSID XXXXX.
Y asi logramos navegación y conexión a la Infraestructura de la plataforma informática, para lo cual un atacante a 300 mts o mas con repetidores u otros mecanismos puede aumentar la señal y lograr la intrusión desde afuera de las instalaciones mismas.
Como pueden observar Ya tenemos Navegacion
Se realizo un spoofing mac y no hubo alerta alguna, lo q indica que no hay mecanismos de monitoreo y alertas de red, lo que fácilmente permitiría un arp poisong o un MITM.
De lo anterior, solo puedo decir "Actitud de Experto, Mente de Principiante" no perdamos la capacidad de impresionarnos como niños con las cosas que nos maravilla la naturaleza.
Todo puede ser posible, de hecho situaciones como esta se encuentran en muchas partes, y no creemos que sea posible, por el hecho de ser una vulnerabilidad tan reportada y de tanto tiempo.
Una experiencia más,
Todo puede ser posible, de hecho situaciones como esta se encuentran en muchas partes, y no creemos que sea posible, por el hecho de ser una vulnerabilidad tan reportada y de tanto tiempo.
Una experiencia más,
Good Luck! Enjoy!
See You Later Friends.
Bytes
Dino
PD: Perdon las tildes, pero es una mamera con blogspot editarlas xD
2 comentarios:
Hola Dino, que sabroso ver cada dia un poco con mas movimiento su blog :)
Tiene razón, me encantan sus frases jeje
Lo de las tildes perdonado :P pero esas fotos parecen thumbnails de los pantallazos reales jeje( o sera que cada dia estoy mas ciego :( )
Lectura amena a estas horas de la madrugada +10
Saludos ;)
Saludos Hecky,
Gracias por pasarte por aqui, en cuanto a las imagenes son tomadas de los informes presentados y alteradas un poco protegiendo la confidencialidad de la labor realizada, debido a que son experiencias de mi trabajo.
Se cuida y siga creciendo como va,
Bytes
Dino
Publicar un comentario