viernes, noviembre 25, 2011

Hacking Remote Apps: Jailbreaking con Excel (III de IV)

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************

Si no has sido capaz de imaginar cuál iba a ser el cambio que se ha producido en la alerta de seguridad referente a la macro auto-firmada tras haber instalado la CA de nuestra entidad certificadora es que has visto pocas demos de hacking. Si has pensado en que esa alerta iba a cambiar, entonces la respuesta es sí, una vez instalada la CA el cuadro de diálogo del warning muta, permitiendo habilitar el contenido de las macros VBA documento Excel, o lo que es lo mismo, ejecutar los comandos en el sistema.

Figura 11: La alerta cambia y permite habilitar el contenido y confiar en el publicador

Lo más curioso es que al ser una instalación a nivel de usuario se puede confiar en todos los certificados emitidos por esta CA. ¿Y esto para qué puede ser utilizado?

Comenzando la III guerra mundial

Una de las cosas curiosas de los certificados emitidos por una entidad certificadora es la de poder elegir diferentes CRLs, es decir, la ubicación de la Lista de Certificados Revocados, y que se usará para comprobar si una certificado en concreto sigue siendo válido o la Entidad que lo emitió ha decidido bloquearlo.

Figura 12: CRL en certificado digital

Esta CRL permite rutas en formato LDAP, como vimos en el artículo de "Cotillear la estructura PKI del Department Of Defense Americano", pero también en formato Http, lo que puede ser utilizado para realizar un ataque similar al de "Buscadores como arma de destrucción masiva". Es decir, se puede enviar un documento con una macro firmado por la falsa CA instalada, con un certificado con una CRL como la de esta imagen.

Figura 13: CRL Con SQL Injection

Esto hará que nada más abrir el documento se haga un GET a la URL de la CRL, lanzándose el ataque de SQL Injection que se ha dejado cargado como una bomba de relojería al confiar en la CA que los emite.

Figura 14: La CA más falsa que judas instalada en el perfil de usuario

¿Tiene esto sentido si la CA se ha instalado a nivel de usuario? Pues tendrá sentido en aquellos entornos en los que se utiliza un pool de usuarios para ejecutar las aplicaciones, y estos usuarios son compartidos por todas las conexiones a aplicaciones que se ejecuten, como sucede en muchos entornos Citrix.

Política 4: No macros

Viendo el éxito de las políticas anteriores nos queda la salida de la última opción, la de bloquear las macros en Excel. Esta opción no permite ningún warning ni ninguna supuesta excepción posible a la hora de ejecutar los documentos, lo que la hace aparentemente la más segura, a la par que la que más tonto dejaría a Excel, ya que le quitaría la potencia de VBA sin excepciones.

Figura 15: Warning que avisa de que las macros han sido deshabilitadas

Sin embargo, mientras que no se haya aplicado la "castración química" del paquete de Microsoft Office mediante la aplicación de la política de Disable VBA in Office Aplications citada en la primera parte de este artículo, va a existir una forma de saltarse esta restricción y volver a ejecutar las tan ansiadas macros VBA en Excel que le vuelvan a convertir en una poderosa herramienta.

¿Cómo? Pues tendrás que esperar a la última parte de este artículo.

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
**************************************************************************************************

3 comentarios:

Anónimo dijo...

eres muy bueno en seguridad quisiera aprender pero los costos de libros son muy caros soy de america sur y no gano mucho pero quiero ser especialista en seguridad tengo mucho tiempo pero nose como comenzar primero = ' (. Saludos

Anónimo dijo...

La Juventud de Torrejon de Ardoz (Madrid) apoyada por el colectivo Anonymous, 15M y otra serie de asociaciones civiles, expresan su repulsa por la brutal represión a la que fue sometida la ciudadanía en el desalojo del Ayuntamiento el pasado dia.

http://www.ayto-torrejon.es/NoticiasFicha.asp?ccClave=1261

Anonymous
Somos Legion

Alejandro Ramos dijo...

Genial, deseando ver la última entrega

Anónimo, eres un cansino con lo de anonymous ya XD

Entradas populares