Hola amig@s,
Hoy quiero compartir con Ustedes la explotación en un Servidor Windows 2003 Server, en un proceso de Pen Test en el que se identifican servidores sin procesos adecuados y definidos de actualización, permitiendo a un atacante determinar como objetivo militar y realizar fuga de información sensible de una Organización con la cual podría ser afectada su Operación de Negocios.
Las fallas de seguridad encontradas son las siguientes:
Microsoft MS03-026 - Crítico
Un desbordamiento de buffer en una interfaz RPC podría permitir la ejecución de código (823980)
¿Qué es DCOM?
El Modelo de objetos componentes distribuido (DCOM) es un protocolo que permite a los componentes de software comunicarse directamente a través de una red. Anteriormente se llamaba "Red OLE", DCOM está diseñado para su uso a través de múltiples medios de transporte de la red, incluyendo los protocolos de Internet como HTTP.
¿Qué es la llamada a procedimiento remoto (RPC)?
Llamada a procedimiento remoto (RPC) es un protocolo que los programas pueden utilizar para solicitar un servicio de un programa ubicado en otro equipo de una red. RPC contribuye a la interoperabilidad porque el programa que usa RPC no tiene que entender los protocolos de red que se establece la comunicación. En RPC, el programa de solicitud es el cliente y el programa de prestación de servicios es el servidor.
Existe una vulnerabilidad en la parte de RPC que se ocupa del intercambio de mensajes a través de TCP / IP. Los resultados de fracaso debido a un manejo incorrecto de los mensajes mal formados. Esta especial vulnerabilidad afecta a un Distributed Component Object Model (DCOM) con interfaz RPC, que escucha en los puertos habilitados RPC. Esta interfaz se encarga de DCOM solicitudes de activación de objetos que son enviados por los equipos cliente al servidor.
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código con privilegios Local System en el sistema afectado. El atacante podría realizar cualquier acción en el sistema, por ejemplo, instalar programas, ver, cambiar o eliminar datos, o crear cuentas nuevas con todos los privilegios.
Para aprovechar esta vulnerabilidad, el atacante tendría que enviar una solicitud especialmente formada para el equipo remoto en puertos específicos RPC.
SOLUCIÓN.
- Ubicaciones de descarga de este parche
- Windows NT 4.0
- Windows NT 4.0 Terminal Server Edition
- Windows 2000
- Windows XP 32 bit Edition
- Windows XP 64 bit Edition
- 2003 32 bit Edition de Windows Server
- 2003 64 bit Edition de Windows Server
Microsoft MS06-040 - Crítico
Una vulnerabilidad en el servicio de servidor podría permitir la ejecución remota de código (921883)
Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
Se recomienda que los clientes apliquen la actualización inmediatamente
Gravedad e identificadores de vulnerabilidad:
Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr de forma remota el control completo de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
El servicio de servidor proporciona compatibilidad con RPC, soporte de impresión compartido de archivos e canalización con nombre en la red. El servicio de servidor permite compartir los recursos locales (como discos e impresoras) para que otros usuarios de la red pueden acceder a ellos. También permite nombrado comunicación tubería entre las aplicaciones que se ejecutan en otros equipos y su equipo, que se usa para RPC.
SOLUCION
Esta actualización de seguridad requiere Windows Server 2003 o Windows Server 2003 Service Pack 1.
Nota Las actualizaciones de seguridad para Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1 también se aplican a Microsoft Windows Server 2003 R2.
Inclusión en futuros Service Packs:
La actualización para este problema se incluirá en un Service Pack o en una actualización posterior.
Información sobre la instalación
Esta actualización de seguridad admite los parámetros de instalación.
VEAMOS EN DETALLE LA EXPLOTACIÓN
BASADOS EN LA EVIDENCIA.
Una vez identificado y determinado el perfil, rol del activo tecnológico vulnerable:
Optamos por seguir como vector de ataque el Sistema operativo identificado y aplicar técnicas y herramientas de intrusión para su fin. logrando un OWNED.
En nuestro Objetivo:
Debido a la explotación de las fallas de seguridad anteriormente mencionadas.
Logrando acceso al sistema (Bind) de consola de comandos en el equipo Servidor Microsoft Windows 2003 de Nombre SERVXXXXXX
El atacante procederá a identificar el ambiente, la Red, variables del sistema, aplicativos, versiones, recursos, grupos, usuarios, información importante y validar la información que ha encontrado, procurando se lo mas sigiloso y anónimo posible.
Procederá asegurar su entrada al sistema con algún mecanismo de acceso que facilite, un fake de un usuario administrativo delegado, un usuario invisible, malware, troyano, rootkit, backdoors, etc.
Para efectos de la auditoria se crea un usuario fake administrativo denominado "backup" y se adiciona como administrador local y perteneciente al grupo de administradores del Dominio.
A su vez, realizara un proceso de extracción de los hash para someterlos a un proceso de descifrado por contraseñas o fuerza bruta, o tal vez un proceso como mimikatz para escalar privilegios, aunque ya sabemos que somos SYSTEM en el sistema con todos los privilegios de Administrador a nuestro favor.
Creo que uno de los errores fundamentales par una auditor de seguridad o un atacante no estructurado es considerar que tener "Shell" en un sistema es su mayor logro.
Sin considerar el mundo de posibilidades que pueda lograr, ampliando su espectro de ataque, la cobertura que la permitirá alcanzar servidores de confianza u otros recursos de la Red, realizar un pivot sobre la red, determinar fuentes de información, configuración e implementacion de utilidades, manuales y procedimientos, mapas de red, aplicativos y scripts de Bases de Datos, cadenas de conexión, archivos XML de configuración, backup de datos, versionamientos, etc. en muchas ocasiones con claves quemadas,
La información sensible e importante de reglas de negocios para la Operación de la Organización u Objetivo militar.
Habiendo asegurado su entrada el atacante procede a realizar conexión por escritorio remoto desde su equipo Linux con sus nuevas credenciales de autenticacion, encontramos nuevamente un grasso error debido a que el servidor permite conexión desde protocolos RDP de otros sistemas o versiones.
Y empieza un proceso de sondeo, exploración y enumeración de la información importante en la Organización para realizar fuga de información y cumplir con el cometido por el cual posiblemente se la halla remunerado su trabajo.
Posteriormente revisara y validara los servicios y Rol del servidor en la Red par ampliar su área de ataque o utilizarla a su favor controlando el Servidor.
  |
| EXPLORANDO INFORMACIÓN CRITICA DEL NEGOCIO |
 |
| RECURSOS COMPARTIDOS DEL SISTEMA |
Si deseas saber que mas puedes hacer te invito a ver este articulo:
Command Shell session 1 opened!!! That it follows, that I can do??? :(
Ahora, si bien es cierto que es un producto para vencerse, su espectro de instalación e implementacion es muy grande alrededor del mundo y aun encontramos muchos sistemas vigentes cumpliendo diversos roles en las Infraestructuras tecnológicas.
Lo que no te debes permitir:
Es que este tipo de fallas de seguridad tan reportadas te jueguen una mala pasada y termines comprometiendo los activos tecnológicos de tu Organización por tu:
Aprende de lo Ocurrido:
Byte,
Dino
