martes, octubre 24, 2017

AURA es Escorpio y nació en Argentina con 5 servers de peso

Poco a poco vamos quemando etapas antes del lanzamiento definitivo de AURA en todos los países y para todos los clientes de Telefónica. Es un proyecto enorme y maravilloso en el que toda la casa se está dejando la piel. En el que desde los equipos de desarrollo, hasta los equipos de IT en los países, pasando por los equipos de Big Data y CDO en cada operación, o los compañeros en cada rincón de la casa, están echando el resto... y es genial.

Figura 1: AURA es Escorpio y nació en Argentina con 5 servers de peso

Todo empezó ya hace tiempo con una idea de dar a nuestros clientes el control total de sus servicios y sus datos para, en definitiva, darle control de su vida digital en Telefónica. Comenzamos con la construcción de una plataforma que normalizara y pusiera orden a todos los datos, para pasar de ser una compañía Application Centric, a ser una compañía con una plataforma Data Centric. La famosa 4ª Plataforma que nos pidió que creáramos nuestro root.


Figura 2: Presentación de la 4ª Plataforma

Era un proyecto que al principio estaba dentro de las areas de innovación, y por tanto dentro de las Disruptive Things, tal y como este vídeo que usamos internamente para explicar quiénes eran las mentes malignas detrás de los proyectos de futuro.

Figura 3: Disruptive Things en Telefónica

De la construcción de la 4ª Plataforma, nos dimos cuenta de que debíamos ir más allá, y darle el control a nuestros clientes por medio de una Inteligencia Artifical. Inicialmente yo la llamé YOT (You On Telefónica), pero al final se llamó AURA, que es lo que presentamos en el último Mobile World Congress 2017.


Figura 4: Lanzamiento de prototipo de AURA en el MWC 2017

Esa presentación del prototipo de AURA fue la más difícil que he hecho en mi vida, ya que tuve que aprender una coreografía, un texto enorme de memoria, tuve que sincronizarme con el cámara, bailar con los hologramas y hacer demos en real con AURA. Para que os hagáis una idea de la complejidad, os he subido uno de los ensayos en los que estoy aprendiéndome los movimientos básicos de la coreografía y el texto.


Figura 5: AURA Rehearsal 1

De ahí, dimos el siguiente paso, y sacamos AURA a los clientes. Con Focus Groups en 6 países, con miles de personas interactuando con ella, y con una campaña que llamamos Meet AURA. En ella, sacamos AURA a una tienda de Telefónica. En concreto a la tienda de Goya en Madrid donde nos pasó de todo. Tuvimos todo tipo de incidentes con las pruebas de fuego real, desde problemas de reconocimiento de voz con los acentos, problemas con el eco de la cabina, problemas con latencias, problemas con las versiones de software que afinábamos día a día, etc...


Pero después de un mes y medio de pruebas, AURA quedó estable en una versión alpha muy primigenia. En la última semana, viendo que AURA ya estaba muy estabilizada, decidimos grabar esta cámara oculta con los clientes utilizando sus servicios. Y la verdad es que nos emocionó ver el como iba.



Figura 7: Campaña Meet Aura en Telefónica de España. Verano 2017

De ahí en adelante, el camino continua para llegar al próximo Mobile World Congress con los países en producción, y ayer se quemó otra etapa. Ayer AURA en su versión RC0 se pasó a los servidores en producción, en concreto, en los servidores de Argentina, que será uno de los primeros países en que será lanzada al gran público. Este es el mensaje del equipo que envió nuestra compañera Ángela, del equipo de AURA.

Figura 8: Mensaje tras el nacimiento oficial en servidores en producción

Ha visto la luz el 23 de Octubre, así que ha nacido bajo el signo de Escorpio, además en Argentina, pero tendrá múltiples nacionalidades, porque los planes de despliegue están en plena ebullición. Después, irá creciendo, aprendiendo poco a poco de todos los que le damos cariño. Haremos que este bebé crezca y se haga muy inteligente para que los clientes se enamoren de ella poco a poco.

Saludos Malignos!

lunes, octubre 23, 2017

PacsOne Server “All bugs in One” en la gestión de imágenes radiológicas

Hace ya varios meses que publique un artículo en el blog de ElevenPaths hablando sobre las "Debilidades y fugas de información en sistemas médicos (PACS)". A partir de esto, he venido jugando con varias aplicaciones de este estilo y esta ocasión he querido compartir varios fallos de seguridad encontrados en un proyecto denominado “PacsOne Server”, concretamente en su componente DICOM Web Viewer.

Figura 1: PacsOne Server “All bugs in One” en la gestión de imágenes radiológicas

PacsOne combina varios componentes que permiten implementar de manera muy versátil un servidor PACS (almacenamiento de imágenes radiológicas) a través de un solo instalador como lo considera el proyecto ‘PACS Server In One Box’. En su arquitectura principal dicho software mantiene componentes que son comunes en este tipo de soluciones como el Servidor PACS, Servidor DICOM, Servidor Archivos (imágenes), Visor Web DICOM, entre otros; lo que permite para una empresa hospitalaria o de la salud tener todas las prestancias dentro de la mismo plataforma integrada y brindarlas a sus clientes.

Figura 2: Instalador y configurador inicial de PACSOne Server

La curiosidad que al momento me ha despertado mucho interés, son los Visores Web DICOM, los mismos que permiten a través de una interfaz web manipular tanto a médicos o pacientes, las imágenes radiológicas y toda la información involucrada con los pacientes y sus estudios; ya sea desde el mismo computador o remotamente desde internet.

Figura 3: Acceso a Web Viewer de servidor PACSOme expuesto a Internet

Figura 4: Estructura de archivos después de la instalación y código fuente de aplicación web

Cuando inicie con la revisión a una parte del código fuente del Visor Web DICOM, pude evidenciar mediante diferentes pruebas la falta de validaciones y una correcta aplicación de controles de seguridad en el desarrollo de este software, lo cual conllevo a que los resultados se determinen varias vulnerabilidades web entre las cuales puedo destacar Cross-Site Scripting (XSS), Directory Transversal o SQL Injection entre otras.

Figura 5: Código fuente de nocache.php

Mediante la revisión de la aplicación web, se puede identificar claramente falencias en la validaciones de entradas por parte del usuario, por ejemplo la Figura 5 en el archivo nocache.php el input "path" recibido no está validado correctamente lo cual desencadena en una vulnerabilidad explotable.

Figura 6: Código fuente de archivo userSignup.php

En este artículo pretendemos exponer ciertas evidencias de las vulnerabilidades encontradas y explotadas de manera controlada luego del análisis realizado a parte del código fuente, el mismo que es accesible luego de la instalación del software.

Figura 7: Ataque de XSS en archivo login.php

Como podemos ver las vulnerabilidades explotadas pueden llegar a archivos sensibles dentro del servidor [Figuras 8] así como otras de tipo inyección [Figuras 7 y 9], las mismas que podrían llevar desde poner en peligro la información almacenada de los pacientes que se ha realizado estudios, comprometer el servidor o una amplia puerta de entrada a una infraestructura hospitalaria o de la salud.

Figura 8: Ataque LFI (Local File Inclusion) en archivo nocache.php

La base de PacsOne (como indica en su sitio web) ha sido usada por varios proyectos, fabricantes y desarrolladores en general, para integrarlo de manera parcial o total en sus propias implementaciones, con lo cual hace más amplia la exposición de esta aplicación y sus vulnerabilidades.

Figura 9: Ataque SQL Injeciton con sqlmap

Por último, quiero comentarles que las vulnerabilidades expuestas fueron reportadas al equipo de contacto del proyecto, los cuales tuvieron un muy buen tiempo de respuesta tanto en las comunicaciones como en la solución a los fallos reportados de lo cual hemos sido notificados que se han solucionado en su última versión; con lo cual, esperamos seguir colaborando con este tipo de proyectos.

Autor: Carlos Avila (@badboy_nt) Chief Security Ambassador – CSA at ElevenPaths

domingo, octubre 22, 2017

Cómo proteger tus Bitcoins en Bitpay con Latch Cloud TOTP

Aunque debería ser en todos los sistemas de identificación, la verdad es que en el caso concreto de los sitios webs centrados en el manejo y gestión de criptomonedas el uso de un Segundo Factor de Autenticación se ha extendido de forma masiva como un elemento adicional de seguridad habitual para proteger tus valiosos BitCoins, Ethereums, LiteCoins, etcétera. Como ya hemos visto en casos anteriores como Kraken o como CoinBase, podemos configurar Latch Cloud TOTP como Segundo Factor de Autenticación. Hoy a vamos a detallar el proceso para Bitpay.

Figura 1: Cómo proteger tus Bitcoins en Bitpay con Latch Cloud TOTP

Bitpay es un proveedor de servicios de pago con Bitcoin global, con sede en Atlanta, Georgia. Fue fundada en mayo de 2011 por Tony Gallippi y Stephen Pair. Bitpay proporciona procesamiento de pagos de servicios para comerciantes y es uno de los más grandes. Ya en el año 2014, BitPay procesaba alrededor de un millón de dólares diarios. Ese año anunció alianzas con Microsoft, NewEgg, TigerDirect y Warner Bros Record. También se asoció con el operador de sistemas de pago PayPal y sistemas de Alterne. Bitpay ha desarrollado proyectos de open source de Bitcoin, como BitCore y Copay.

Figura 2: Web de Bitpay

Os vamos a mostrar el uso de Latch Cloud TOTP como segundo factor realizando operaciones de moneda digital de una forma más segura y al alcance de todos. Después de iniciar el registro en Bitpay, a través de su web. Nos solicita una serie de datos como dirección de correo, nombre, etc. Realizamos el registro y la confirmación de estos. Y posteriormente configuramos el Segundo Factor de Autenticación, seleccionando la opción de “User settings”, en el menú que desplegamos en la parte inferior izquierda, donde nos indica el nombre de usuario.

Figura 3: Menú de "User Settings" en Bitpay

Y en esta pantalla seleccionamos la opción de “Security” en la parte central, y la opción de “Two Factor” a través del enlace de "EDIT" en la parte derecha. Una vez seleccionado la opción de “EDIT” nos muestra la página con el QR Code que debemos escanear, y para luego confirmar la correcta configuración con la generación de un código TOTP válido.

Figura 4: Código QR a escanear con Latch para generar el Cloud TOTP para Bitpay

Posteriormente vamos a confirmar el código configurado a través de una PIN del TOTP, una vez creado en Latch Cloud TOTP, en el campo denominado “Code”. Y seleccionando el botón de “Enable”.  En las siguientes pantallas mostramos el flujo de pantallas en la app de Latch para generar el Cloud TOTP. En estas primeras, seleccionamos añadir un nuevo servicio, protegemos con Cloud TOTP y escaneamos el QR Code mostrado en la Figura 4 en la web de Bitpay.

Figura 5: Configuración de Cloud TOTP en Latch

Después de escanear el QR Code, podemos cambiar la denominación de nuestro Cloud TOTP como se ve en la imagen siguiente y si continuamos ya disponemos del Cloud TOTP para Bitpay implementado en nuestra wallet de Latch.

Figura 6: Finalización del proceso de configuración de Cloud TOTP para Bitpay

Ya tenemos nuestro servicio de Bitpay fácilmente protegido por Latch, como una capa extra de seguridad. Además, podemos organizar en una “carpeta” en Latch todos nuestros TOTPs que dispongamos, pudiéndolos agrupar como podemos ver en la Figura 6, con la carpeta denominada “TOTP”.

Figura 7: Códigos de Backup tras la configuración correcta

Adicionalmente podemos disponer de Códigos de Backup del Segundo Factor de Autenticación que tenemos que guardar, para utilizar en el caso que perdamos el smartphone, o que no podamos acceder a nuestro TOTP. Estos son generados en grupos de 10 códigos y se pueden solicitar nuevos siempre. En el caso de Latch si no tenemos el smartphone, podríamos hacerlo a través de otro dispositivo que tenga la app descargada e instalada, accediendo con nuestra cuenta de Latch.

Figura 8: Configuración de Latch Cloud TOTP en Bitpay

Y para ve todo este proceso de manera completa, hemos hecho este pequeño vídeo que explica el proceso que hemos visto aquí, paso por paso de una manera visual.

Autor: Juan Carlos Vigo, Product "Warrior" de Latch en ElevenPaths

sábado, octubre 21, 2017

Eventos de Ciberseguridad, Hacking, Inteligencia Artificial & Big Data para la semana que viene

Como semanas anteriores, durante los próximos siete días vamos a participar en un buen número de actividades desde ElevenPaths, LUCA, el equipo de AURA, la 4ª Plataforma y 0xWord, así para que tengas la agenda actualizada, te dejo las referencias y los enlaces con toda la información.

Figura 1: Eventos de Ciberseguridad, Hacking, Inteligencia Artificial
& Big Data para la semana que viene

El primero de los eventos que hay que destacar es Forbes Summit Reinventing Spain, que tendrá lugar en la Real Academia de Bellas Artes en Madrid el día 24 de Octubre y donde participará nuestro compañero y CEO de ElevenPaths Pedro Pablo Pérez en un debate sobre ciberseguridad. El evento Forbes Summit RS acoge además a un buen número de CEOs y presidentes de compañías que abordarán la transformación del tejido empresarial en España.

Figura 2: Forbes Summit Reinventing Spain 24/10 Madrid

También el martes 24 de Octubre en la unidad LUCA, nuestros compañeros de Synergic Partners organiza la Big Data Week en Madrid, con una conferencia plenaria en la que los proyectos de Big Data toman en el escenario para hablar de proyectos concretos en clientes. Además, hay un Mega MeetUp por la tarde que hace que la jornada sea un día largo. Tienes la info y los registros gratuitos al evento y el MeetUp en la web de Madrid Big Data Week.

Figura 3: Madrid Big Data Week

Por la tarde del día 24 de Octubre, el equipo de LUCA impartirá un Webinar online sobre Data Anonymization donde explica cómo los datos se anonimizan para garantizar la privacidad en todos los servicios. El seminario es gratuito y te puedes registrar aquí.

Figura 4: LUCA Talk 8

Los días 24 y 25 de Octubre tendrá lugar también en Madrid, gracias a que en Telefónica hemos acogido este evento, el Telco Data Analytics Europe, donde nuestros compañeros Andrés Vegas del equipo de 4ª Platafoma y Pedro A. de Alarcón de LUCA, participarán en dos sesiones para hablar de cómo construimos la 4P internamente y sobre cómo utilizamos los datos para mejorar el rendimiento del equipo ciclista Movistar Team. Más info en la web del evento.

Figura 5: Telco Data Analytics Europe

Los días 25 y 26 de Octubre, también en Madrid, participaremos en las jornadas The AI Show donde se habla de la Inteligencia Artificial tanto de una forma teórica como práctica. Allí, Irene Gómez a la que cariñosamente llamamos "La mamá de AURA" participará en una sesión sobre la experiencia de usuario gracias las tecnologías AI que nosotros hemos aprovechado en la construcción de AURA. El evento cuenta con dos jornadas repletas de charlas y paneles.

Figura 6: The AI Show en Madrid

El día 26 de Octubre por la tarde toca otra de nuestras sesiones online en las ElevenPaths Talks. En esta ocasión nuestros compañeros Rames Sarwat y Jorge Rivera hablarán sobre los Servicios de Seguridad Gestionada o los "Managed Security Services" y su evolución.

Figura 7: Evolución de los MSS

En paralelo, los días 26 y 27 de Octubre, en el mundo del Hacking el epicentro se mueve a Chile, donde tiene lugar la 8dot8 en Santiago. Allí este año estaremos bien representados con Sheila A. Berta y Claudio Caracciolo de nuestro equipo de ElevenPaths, además de que yo daré la KeyNote el primer día. En el evento este año tendremos la suerte de contar con el mítico César Cerrudo que viene a dar una de sus charlas. Si estás cerca... You should be there!

Figura 8: 8dot8 en Chile

Por último, el viernes 27 de Octubre da comienzo la nueva edición del Curso Online de Hacking Ético de The Security Sentinel, donde durante 180 horas a lo largo de 8 semanas se tocan todos los fundamentos de esta profesión. En el curso, como material se utilizan los libros de 0xWord que ayudan a seguir el curso. Los libros que se entregan son Ethical Hacking y Pentesting con FOCA. Tienes más info en la web del curso.

Figura 9: Curso Online Hacking Ético

Para la semana que viene, con la llegada de la fiesta de Halloween no tendremos muchas actividades, pero aún así hay algunas citas importantes, como el Big Data Innovation Day de LUCA, y alguna participación extra que ya os contaré. Ahora, a disfrutar el sábado.

Saludos Malignos!

viernes, octubre 20, 2017

Security Rocks: Vídeos Online en Youtube

Ya están disponibles en el Canal Youtube de ElevenPaths todos los vídeos de las sesiones del pasado Security Innovation Day 2017: Security Rocks!. En ellos se pueden ver algunos de los productos e innovaciones que hemos ido trabajando durante este año 2017, y que estarán disponibles para 2018. Entre ellos el nuevo Path 8, la FOCA Open SourceFaast for WP, Security Portal, WiFi con Mobile Connect, etcétera.

Figura 1: Vídeos online en Youtube
De cada una de las sesiones vamos a ir desgranando los temas tocados en diferentes artículos en el blog de ElevenPaths, pero desde ya puedes verlas todas, incluida la última sesión de Mikko Hyppönen que nos habló del futuro que nos espera.


Figura 2: Welcome & Keynote


Figura 3: Security 4All


Figura 4: Partnership "Delivery Mode"


Figura 5: Innovation "A Path to Success"


Figura 6: Special Guest


Figura 7: Closing Session

Y esto es todo por hoy viernes. Espero que disfrutéis las sesiones y el fin de semana que se nos viene por delante.

Saludos Malignos!

jueves, octubre 19, 2017

SuperUser in PentestLab: Bypassing UAC & AppLocker in Windows 7 to… 10!

El artículo de hoy no hablará de un nuevo Bypass de UAC o de un nuevo Bypass en AppLocker. Como hemos mencionando en muchos otros artículos ha sido "El año del bypass de UAC", empujado también por el leak de la NSA en Vault dónde se hablaba cómo se podían aprovechar ciertas condiciones para lograr un bypass de UAC. Nuestro enfoque siempre ha sido el divulgativo y con el deseo de ayudar a los pentesters en sus proyectos de Ethical Hacking. Así queríamos hacer en la pasada Navaja Negra, cuando a mi compañero Santiago Hernández y a mí nos tocó impartir un taller de estas técnicas que ayudan con el Hacking de Windows.

Figura 1: SuperUser in PentestLab: Bypassing UAC & AppLocker in Windows 7 to… 10!

Además, este último año ha tenido una componente de investigación sobre este tema y de mucho aprendizaje. Sin duda, para mí, ha sido muy interesante escribir todos los artículos y probar las diferentes técnicas que permitían, casi cada semana, realizar un bypass de UAC. Esto me llevo a tener en mente una herramienta que nos permitiera llevar a cabo o automatizar, en algunos casos, estas investigaciones. De esta herramienta os hablaremos más adelante.

Hemos hablado mucho, como he mencionado anteriormente, sobre UAC y, en algunos casos, sobre AppLocker. Hoy queríamos mostraros el taller y la recopilación de todo este trabajo que hemos llevado a cabo. Para comenzar el taller hablamos del laboratorio que los asistentes podían montarse para llevar a cabo los diferentes escenarios. Hoy en día con la virtualización es realmente sencillo para los alumnos.

¿Qué es UAC? ¿Cómo funciona UAC? ¿Qué es un bypass de UAC? ¿Por qué importa?

Con estas preguntas comenzábamos el taller. Es importante tener claro, en primer lugar, qué es sistema UAC. Todos sabemos que es la pantalla que nos sale ante una elevación de privilegio, pero ¿Sale siempre? Un dato importante era explicar cómo funciona el UAC, dónde podemos encontrar la política de UAC, cómo se comporta ante una elevación, qué son los contextos dónde los procesos se ejecutan, el nivel de integridad, etcétera.

Figura 2: Mensaje de UAC en Windows

En el taller teníamos unas reglas de resumen ante una elevación de privilegio por parte del usuario o de un proceso:
• Si el token pertenece al grupo administradores. 
• Si el proceso en ejecución está en un contexto de integridad media. 
• Si la política de UAC está configurada por defecto.
Si se cumplen estas tres condiciones se podría llevar a cabo un bypass de UAC con la ejecución adecuada utilizando diferentes métodos. Pero hay más, se habló de las configuraciones en el Manifest de los binarios del sistema, se habló del atributo AutoElevate y de si el binario está firmado por Microsoft. Desde Windows 7 este hecho ha provocado gran cantidad de bypasses de UAC.

Figura 3: Autoelevate en fichero Manifest

Además, hablamos de lo que es un bypass de UAC y de por qué realmente importa. La definición del bypass es la vía para lograr ejecutar un proceso en un contexto de integridad alta, System, evitando que la pantalla de consentimiento de UAC salte y sea visible por parte del usuario. Su importancia radica en la fase de post-explotación en un hacking de Windows y es que nos permite elevar el privilegio sin que salte el UAC, siempre y cuando el escenario sea el siguiente: proceso comprometido que pertenece a un usuario del grupo administradores.

DLL Hijacking

Tras explicar esto, nos centramos en las técnicas. La primera que tratamos fue DLL Hijacking. Esta técnica permite realizar el secuestro de una DLL. El objetivo es lograr que el proceso que se ejecuta en un contexto de integridad alta ejecute nuestra DLL en vez de la DLL legítima. Este bypass de UAC es el más clásico y el primero que salió se apoyaba en esto para lograr el objetivo. Para ejemplificar esta técnica llevamos a cabo dos ejemplos:
WinSxS con WUSA en Win 7/8/8.1. 
WinSxS con IFileOperation en Win 10
Estos dos ejemplos ayudan a entender la técnica DLL Hijacking. El resumen es fácil, un proceso autoelevado busca una DLL es \Windows\System32 que no encuentra y termina acudiendo a WinSxS. Si nosotros pudiéramos crear la DLL en la ruta privilegiada, conseguiríamos que el proceso privilegiado ejecutara nuestra DLL. WinSxS con WUSA en Win 7/8/8.1 lo hemos publicado en este blog y aquí tenéis el video de ejemplo.

Figura 4: WinSxS con WUSA en Win 7/8/8.1 

Por otro lado, la demostración y explicación sobre WinSxS con IFileOperation en Win10 también la hemos publicado en el blog. Decir que en las últimas versiones de Windows 10 no nos ha funcionado, por lo que parece que el método IFileOperation puede estar parcheado.

Figura 5: WinSxS con IFileOperation en Win10

Fileless: La técnica que lo cambió todo

La segunda técnica explicada en detalle fueron los ataques Fileless. Esta técnica descubierta por Enigma0x3 ha marcado un antes y un después. En esta parte hablamos sobre la estructura del registro de Windows, para que sirve cada rama y por qué los procesos buscan en dichas ramas información. Además, con las herramientas Process Explorer y Process Monitor, utilizadas durante todo el taller, pudimos ir viendo diferentes situaciones que se dan en el registro de Windows y que provocan la ejecución de procesos elevados.

Figura 6: Artículo en MSDN

Como gran curiosidad, nos fijamos en un comunicado sacado de la MSDN que dice que los procesos que se ejecutan en un contexto de seguridad alto no deberían utilizar HKEY_CLASSES_ROOT. Como pudimos ver, esto no ocurre y aquí se abre un problema que permite realizar bypass de UAC. Las demos que tratamos fueron las siguientes:
Eventvwr en Fileless en Win7 
Sdclt.exe y el kickoffelev en Win 10
El Fileless 1 o el bypass UAC del Eventvwr.exe fue parcheado por Microsoft debido a su utilización en campañas de malware como la de Keybase. Este es el vídeo con la PoC que publicamos en el artículo de Fileless 1.

Figura 7: PoC Fileless 1

Por otro lado, la técnica del sdclt.exe y el parámetro /KickOffElev fue conocido como Fileless 2 y permite, a día de hoy, hacer un bypass de UAC en Windows 10. En el blog ya hemos hablado de ello en detalle y os dejamos el video para que lo veáis en acción.

Figura 8: PoC Fileless 2

Por último, hablamos sobre un bypass de UAC que, a día de hoy, sigue funcionando en Windows 10. Este bypass de UAC es el de inyección de comandos a través de variables de entorno. El resumen es fácil, las variables de entorno se pueden modificar en HKCU\Environment, por lo que cualquiera puede modificar o crear las variables de entorno en dicha rama. La variable %windir% podría ser creada en esta rama e inyectar su contenido en una tarea programada que utilizaba y sustituía valores a través de dichas variables. El detalle de la técnica, la cual es muy sencilla, y su explicación completa se puede encontrar en el blog en la entrada "2017, el año que bypasseamos UAC peligrosamente".

Figura 9: PoC UAC Bypass con variables de entorno

AppLocker: También juega

AppLocker es una característica de seguridad de Windows cuya funcionalidad es la restricción de software. Para que se entienda fácil, AppLocker permite bloquear:
• EXE, COM.
• JS, PS1, VBS, CMD (ficheros), BAT. Es decir, scripts. 
• Instaladores: mst, msi, msp. 
• DLL y OCX.
En el taller mostramos un ejemplo sencillo a través del bypass de una restricción de ejecución de scripts, en este caso VBS, gracias al uso de herramientas como BGInfo y la posibilidad de invocar scripts VBS. El bypass funciona en Windows 10 y, a continuación, podéis ver el vídeo completo sobre la técnica.

Figura 10: Saltarse Applocker en Windows 10 con BGInfo

Y llegando al final del taller de la Navaja Negra, decidimos mostrar lo que el trabajo nos había facilitado: uac-a-mola estará en Black Hat Europa 2017, en Londres.
Será un honor estar en Black Hat Europa con la herramienta de uac-a-mola, la cual sigue una metodología IDEM: Investigación, detección, explotación y mitigación de bypasses de UAC. La herramienta permite, tanto investigar nuevas formas de llevar a cabo bypasses de UAC, como la detección y explotación de los conocidos, así como la posibilidad de “tapar” o “mitigar” los conocidos.

Figura 12: Info sobre UAC-a-Mola en Black Hat

La herramienta y su explicación deberá esperar todavía. Eso será en otro artículo. Sin duda fue un honor estar en Navaja Negra y poder impartir este taller. Nos vemos en la siguiente.

Autores: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Hacking Windows, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths & Santiago Hernández Ramos, cybersecurity researcher en ElevenPaths

miércoles, octubre 18, 2017

SnapChat te avisa de que graban tus mensajes pero NO del todo

Hace un par de años, después de usar durante tiempo Reflector para hacer desde equipos macOS/OS X en muchas presentaciones de Latch en las que necesitaba mostrar la pantalla de un iPhone, me di cuenta de lo sencillo que era grabar los mensajes con autodestrucción de Telegram y Snapchat. A pesar de que ellos tienen una detección que le dice al usuario cuándo se ha hecho una captura de pantalla.

Figura 1: SnapChat te avisa de que graban tus mensajes pero no del todo

Con la llegada de la opción de Screen Recording en iOS 11, los mensajes de SnapChat pudieron grabarse de nuevo sin que el emisor de los mismos recibiera ninguna alerta, pero la actualización a la última versión de SnapChat ya detecta esta opción de grabación.

Figura 2: Opción de Screen Recording en iOS 11

Es decir, si una persona envía por SnapChat un mensaje con autodestrucción y la otra persona hace una captura de pantalla, bien con el método tradicional en iOS de pulsar el botón de encendido y el botón Home al mismo tiempo, como si utiliza la opción de Screen Recording de iOS 11, el que envió el mensaje recibirá el iconito verde que se puede ver a la derecha del mensaje.

Figura 3: Icono a la derecha que indica que el destinatario ha grabado el mensaje

Sin embargo, existen otras formas de hacer la grabación de la pantalla de un iPhone sin usar ninguna de las dos opciones anteriores, como es usar la posibilidad de Movie Recording de QucikTime en macOS o un software de terceros como Reflector que es lo que yo utilicé en su día.

Figura 4: PoC de grabación de mensajes de SnapChat en iOS 11

Así que hicimos unas pocas pruebas en mi equipo de PoCs & Hacks y probamos el comportamiento de SnapChat. Como podéis ver en el vídeo, detecta tanto el uso de Screen Recording, como cuando se usa QuickTime Movie Recording, pero cuando se usa Reflector.... nada de nada. El sistema de SnapChat no es capaz de detectar que la pantalla ha sido grabada y el mensaje está circulando ya por grupos de WhtatsApp.

Saludos Malignos!

martes, octubre 17, 2017

KRACK Attack o cómo reventar WPA2 y de paso nuestra confianza en la seguridad WiFi

Uno de los pocos bastiones que aún quedaban hoy día en la seguridad WiFi con más de 14 años en funcionamiento, nuestro querido protocolo WPA2, acaba de ser vulnerado. Esta es la primera vulnerabilidad que se ha encontrado en este protocolo durante todo ese tiempo que ha estado implantado, pero es lo suficientemente crítica como para activar todas las alarmas y no es para menos, ya que hasta el momento solo existían ataques de fuerza bruta a las claves de cifrado en modo WPA2-PSK [Atacar WPA/WPA2-PSK & Crackear WPA/WPA2-PSK], que se podían evitar con relativa normalidad mientras no llegasen los afamados equipos cuánticos.

Figura 1: KRACK Attack o como reventar WPA2 y de paso nuestra confianza en la seguridad WiFi

Explotar esta vulnerabilidad podría permitir a un atacante dentro del rango de la WiFi, insertar un virus a la red o incluso interceptar cierto tipo de comunicaciones y por lo tanto, tener acceso a información sensible que hasta ahora considerábamos segura. Además, afecta a todas y cada una de las redes WiFi actuales protegidas y a todos los dispositivos que utilicen dicho protocolo, y esto significa un gran agujero de seguridad para los entornos domésticos y empresariales, lo que harán tensar a los equipos de seguridad de las compañías con planes específicos.

Esta vulnerabilidad ha sido encontrada recientemente por el investigador Mathy Vanhoef, de la universidad belga KU Leuven, que ha bautizado como KRACK, Key Reinstallation Attacks. Afecta en una u otra manera a cualquier plataforma como Android, Linux, Windows, OpenBSD, MediaTek, Linksys, etc.... El paper será presentado formalmente en la conferencia CCS, Computer and Communication Security el día 1 de Noviembre.

Figura 2: Paper de KRACK ATTACK

La única prueba que tenemos hasta ahora donde se pueda confirmar que esta vulnerabilidad puede ser explotada, es la demostración PoC que ha realizado y que ha publicado en su blog a modo de vídeo. Dicha PoC se basa en un ataque KRACK contra un dispositivo Android, donde el atacante es capaz de descifrar la información que están transmitiendo la víctima (al parecer KRACK es especialmente efectivo contra Linux y Android 6.0 o superior). De hecho, cuando se utilizan otras plataformas, es más complicado de descifrar todos los paquetes e incluso algunos no se pueden descifrar. Éste es el vídeo donde se puede observar el ataque en funcionamiento:


Figura 3: PoC de KRACK ATTACK

El eje principal vector del ataque se centra en four-way handshake del protocolo WPA2. Resumiendo, este procedimiento (handshake) se utiliza para comprobar las credenciales cuando un usuario está intentando unirse a una red WiFi. Durante este proceso se generan claves nuevas de cifrado, las cuales se instalan después de recibir el Mensaje 3 de los 4 y que sirven para proteger la sesión del usuario que está intentando conectarse a la WiFi. Los Mensajes se definen mediante tramas tipo EAPOL (EAP over LAN) las cuales tienen la siguiente estructura:


Figura 4: Formato simplificado de una tram EAPOL mostrado en el paper de KRACK ATTACK

La vulnerabilidad que explota KRACK permite al atacante manipular o repetir de nuevo este tercer Mensaje, permitiendo reinstalar la clave criptográfica que ya se ha utilizado. Y esto es importante para poder salvaguardar la seguridad del protocolo WPA2 ya que una clave criptográfica sólo puede ser utilizada una vez durante este proceso. El paper publicado explica en detalle todo el procedimiento KRACK. Éste sería un resumen simplificado del ataque:
1. El atacante intenta unirse a una red WiFi. 
2. Comienza el proceso four-way handshake. 
3. Se negocia una nueva clave de cifrado en el Mensaje 3 del proceso. 
4. No se envía la señal de acknowledgment (reconocimiento) que verifica que se ha recibido el Mensaje 3 correctamente. 
5. Esto fuerza que el punto de acceso (AP) retrasmita de nuevo el Mensaje 3 varias veces. 
6. Este proceso repetido varias veces, siempre instalará la misma clave de cifrado y por lo tanto reseteará a cero nonce (número aleatorio el cual precisamente se encarga de evitar que se pueda repetir ataques y que actúa como contador de los paquetes transmitidos, ver figura 4). 
7. El atacante puede en este punto forzar estos reseteos nonce recolectándolos y repitiendo retrasmisiones del Mensaje 3. 
8. Reutilizando estos nonce es posible repetir los paquetes y descifrarlos ya que la misma clave de descifrado se utiliza con valores nonce que ya se han utilizado en el pasado (reutilizando los llamados “keystream” cuando se cifran paquetes). 
9. En función del análisis de los paquetes descifrados, sería posible insertar un programa malicioso en la red o simplemente analizar el tráfico generado por los usuarios de la red.
Ahora mismo no existe ningún parche de seguridad que pueda solucionar este problema (así que atentos para cuando salgan). De momento, el CERT ha enviado un comunicado advirtiendo del problema, así como un listado del hardware y el software afectado (ojo a los fabricantes afectados, CISCO, Google o Apple son sólo algunos de ellos). Prácticamente cualquier dispositivo que tenga WiFi tendrá que ser parcheado, desde dispositivos móviles pasando por routers.

Figura 5: Flujo del proceso "4-way handshake" y en rojo Mensaje 3, donde KRACK efectúa su ataque

¿Y qué podemos hacer para protegernos? De momento esperar a que aparezca algún parche para cada uno de los dispositivos. Cambiar de router o de contraseña de la WiFi no ayudará. La única protección fiable que tenemos es utilizar VPNs dentro de nuestra red o utilizar siempre cifrado SSL/TLS (páginas web HTTPS por ejemplo). Por otro lado, parece que Microsoft se ha dado prisa y ya tiene un parche para solucionar este problema para Windows.

Figura 6: Parche para KRACK Attack de Microsoft

Para terminar, no podemos olvidar que los dispositivos afectados no se limitan a portátiles y ordenadores de empresas o de usuarios particulares. También tenemos que tener en cuenta que otros dispositivos más cotidianos como televisiones, relojes o incluso coches también están afectados por esta vulnerabilidad. Y mucho más preocupante podría ser pensar en ¿cuántos dispositivos IoT utilizan WPA2 dentro de redes WiFi pertenecientes a procesos industriales? Esperemos que todos los fabricantes se den prisa en aplicar los parches correspondientes lo antes posible, porque de momento, el poder parece que lo tienen sólo los chicos buenos …

Autor: Fran Ramírez (@cyberhadesblog) escritor de libro "Microhistorias: anécdotas y curiosidades de la historia de la informática" e investigador en ElevenPaths

lunes, octubre 16, 2017

Mobile Connect + Fortinet = Un portal cautivo WiFi sin passwords

Otra de las novedades de las que hablamos en el Security Innovation Day 2017 de hace unos días fue del trabajo de colaboración que hemos hecho entre ElevenPaths y Fortinet - que es una de las empresas con la que creamos una alianza - utilizando sus tecnologías de seguridad WiFi y la tecnología de autenticación Mobile Connect basada en el número de teléfono y la SIM para crear un portal cautivo.

Figura 1: Mobile Connect + Fortinet = Un portal cautivo WiFi sin passwords

El sistema ya lo habréis visto en producción si habéis viajado en el AVE, que desde Noviembre de 2016 se puso en producción gracias a la colaboración entre Renfe y Telefónica. Ahora, desde hace unos meses la autenticación funciona con Mobile Connect y Fortinet, tal y como se puede ver en el siguiente vídeo con un número de teléfono de demo.


Figura 2: Demo de portal cautivo con Mobile Connect

Como se puede ver, hemos usado un Windows Phone y un PIN OTP con Link vía SMS para esta demo, para universalizar el número de dispositivos que pueden autenticarse en el sistema, pero dependiendo de las necesidades de seguridad y robustez, se puede elegir el nivel de interacción con la plataforma. Ahora mismo, este sistema se está implantando en muchos hoteles, ya que evita que se tengan que crear usuarios y contraseñas, basta con que el usuario haya dado el número de teléfono en el proceso de registro y listo. 

Saludos Malignos!

sábado, octubre 14, 2017

Eventos en Uruguay, Perú, Colombia, Zaragoza y Madrid (y online) para la semana que viene

Hoy sábado, aprovechando un poco de calma a la hora de la siesta, os dejo la lista de eventos que tenéis disponibles para la semana que viene, en los que yo participaré en algunos de ellos. Os dejo la lista de los mismos para que te apuntes al que mejor te venga hoy mismo.

Figura 1: Eventos en Uruguay, Perú, Colombia, Zaragoza y Madrid (y online) para la semana que viene

El lunes 16 de Octubre comienza la fiesta en Uruguay con la 8.8 Lucky llegando a Montevideo para disfrutar de una jornada de conferencias de hacking y ciberseguridad. Nuestro compañero Gabriel Bergel andará por allá, y si miras el resto de la agenda, tal vez descubras por qué merece la pena no perderse la oportunidad.
El martes 17 de Octubre, me he apuntado a una Carrera Solidaria a las 18:00 horas que organizan en Microsoft Ibérica en Pozuelo de Alarcón. Son solo 5 Km, pero si te apetece venir a colaborar y que nos riamos un rato, aquí te dejo la información. El dinero recaudado va para la ONG Save The Children.
El miércoles 18 de Octubre una sesión Online para todo el mundo con una nueva CodeTalk for Developers en ElevenPaths. En esta ocasión para contaros un hack de exfiltración de datos hecho con Latch, del que mis compañeros Alvaro y Pablo os explicarán en detalles cómo montarlo. Ya escribieron un artículo con Latch'sApp, pero ahora en la sesión podrás acceder a todos los detallitos.
Ese mismo miércoles 18 de Octubre, yo participaré en la CodeWeek en Madrid, en una sesión dedicada a la Programación y Pensamiento Computacional en la Educación. Una jornada dentro de actividades que se realizan por toda España en la CodeWeek.

Figura 5: CodeWeek Madrid

También el miércoles 18 de Octubre, pero con tres días de duración, dará inicio la Conferencia Iberoamericana de Continuidad de Negocio en Bogotá (Colombia), donde los CISOS de la región se darán cita. Entre la lista de ponentes estará nuestro compañero Claudio Caracciolo, así que si estás por allí puedes asaltarle y preguntarle todo lo que desees de ElevenPaths.
Ya el 20 de Octubre, toca otra nueva edición de 8.8 Lucky, pero esta vez en Perú, donde nuestro compañero Gabriel Bergel ha organizado una sesión en Lima para los amantes de la ciberseguridad.
Por último, para terminar esta semana, yo estaré el 20 de Octubre en Zaragoza,  donde también estará Chema Martínez y otros grandes ponentes, participando en el XXI Congreso CEAJE. Allí nos vemos.
Y esto es todo, que al final cinco días dan para mucho aunque parezca que no.

Saludos Malignos!

Entrada destacada

Nuevo libro "Máxima Seguridad en Windows: Secretos Técnicos 4ª Edición" de @0xWord

Desde 0xWord se ha acelerado para tener a tiempo antes del verano la 4ª Edición del libro "Máxima Seguridad en Windows: Secretos Técn...

Entradas populares