Search for in Google by Dino

Google Custom Search

domingo, 10 de agosto de 2014

MS09-050 Microsoft SRV2.SYS SMB/Client Side Attack SAP






Saludos a todos los lectores del Blog,

En este articulo del día de hoy, quiero contarles como a partir de una vulnerabilidad MS09-050 Microsoft SRV2.SYS SMB, en el driver SRV2.SYS en los sistemas Windows logre el acceso a un sistema SAP:



Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y dos vulnerabilidades de las que se ha informado de forma privada en Bloque de mensajes del servidor versión (SMBv2). 

La vulnerabilidad más grave podría permitir la ejecución remota de código si un atacante envía un paquete SMB especialmente diseñado a un equipo que ejecute el servicio Servidor. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.


Pero,



Una vez identificado mi Objetivo Militar:


Y caminando unos cuantos pasos mas:


Para diseñar y seleccionar mi estrategia de ataque basado en los vectores encontrados:


Decidí apostarle a:


Logrando la fortuna de acuerdo a lo planeado de un  OWNED!!!



Ávido de lograr mi cometido y realizar la fuga de información en el poco tiempo que tenia:



Y teniendo posesión del equipo:




Decidí proteger el ingreso migrandolo y determinando los procesos críticos que causaran impacto en la Organización.




Procedí a crear un usuario fake para entrar por entorno gráfico.




En búsqueda de información sensible:



Habiendo monitoreado y escudriñado en el sistema  y con un poco de paciencia para esperar el uso del sistema por parte del usuario en sus sistemas críticos.



Dentro de su rutina diaria el usuario dueño del equipo comprometido accedió a su sistema SAP.






Oportunidad que se presento para causarle problemas en su SAP GUI, cancelar su proceso y obligarlo a que se logeara en el sistema SAP nuevamente no sin antes haberle habilitado un keylloger en la maquina que nos permitiera el acceso nuevamente.








Accediendo al sistema ;)


Bueno al final no solo fue acceso a SAP, si no todo lo que puedas hacer u ocurrir con posesión de un equipo en tus manos, desde fuga de información sensible, suplantación de identidad, convertirlo en Zombie, etc.



Si te gusto deja tu comentario.



Byte



Dino.

No hay comentarios.: