sábado, octubre 25, 2014

Doxing y las zonas de seguridad de Microsoft Outlook

Las técnicas de Doxing se utilizan para desvelar identidades ocultas en la red. Saber quién está detrás de un perfil falso de Facebook, quién es el que maneja una cuenta de Twitter o el que está detrás de un correo electrónico. El objetivo de todas estas técnicas de doxing es poder averiguar nueva información de la persona detrás de la cuenta. Una nueva dirección IP, un número de teléfono o una versión de software pueden ayudar a avanzar en una investigación y por tanto son muy delicadas y codiciadas todas las nuevas técnicas que se conocen a este respecto.

Algunos ejemplos de doxing

Por ejemplo, la fugas de información por metadatos han ayudado a resolver muchos casos en el pasado, como el ejemplo de las notas de prensa de anonymous o el de la filtración del ERE del PSOE a lo medios

Figura 1: En el cliente Mail de iOS se revelaba la dirección IP, y en el USER-Agent la info del dispositivo

Pero no solo eso, por ejemplo los bugs de seguridad que permitían utilizar técnicas click to call en las apps de iOS dejaban a un atacante la posibilidad de conseguir la revelación del número de teléfono, o la carga insegura de imágenes en correos electrónicos, como vimos en el cliente iOS durante mucho tiempo, podría ser utilizado para localizar siempre a una persona.

Un ejemplo de doxing con un documento Microsoft Word

Para el último Security Innovation Day le dedicamos una pequeña parte de una de las charlas a esto, y en concreto a sacar a la dirección IP de una conexión forzando un callback home con un documento Microsoft Word especialmente creado para cargar una imagen remotamente - desde una máquina controlada - sin que le diera una alerta al usuario que abría el documento.

Figura 2: Un documento de Microsoft Word para hacer Doxing

Sin embargo, si el documento es abierto después de haber llegado por Internet, ya sea por el correo electrónico o descargado por medio de un navegador para conectarse a la web, entonces el documento al ser abierto muestra una alerta genérica de seguridad, tal y como puede ser visto. 

Figura 3: Alerta de Seguridad en Microsoft Word por la seguridad de la zona

En nuestra demo, esta alerta salía porque para el ejemplo enviábamos el documento como adjunto de un correo electrónico que es enviado a la víctima, y tanto si haces doble clic sobre el fichero adjunto como si guardas el fichero con las opciones del menú contextual y lo abres después, la alerta indica que el documento viene de Internet y puede ser peligroso.

Figura 4: Zonas de seguridad en Outlook

Esto lo explica Sergio de los Santos (@ssantosv) en su libro de Máxima Seguridad en Windows cuando muestra que las Zonas de Seguridad de Internet Explorer también existen en Microsoft Outlook, como cliente de un servicio de Internet que es. Así, estas se pueden igualmente personalizar y configurar para decidir cuáles deben ser los controles a aplicar.

El drag & drop y el cambio de zona de seguridad

El asunto está en que, si el documento que viene como adjunto, en lugar de ser abierto haciendo doble clic o usando la acción de guardar de Microsoft Outlook, es extraído mediante un drag & drop, es decir, arrastrando el documento desde el adjunto del correo electrónico hasta, por ejemplo el escritorio, todo cambia.

Figura 5: El documento es arrastrado al escritorio desde el cliente de Microsoft Outlook

Con ese proceso se ha cambiado el documento de una Zona de Internet a un Zona Local, por lo que todas las opciones de seguridad también cambian y no sale ninguna de las alertas anteriores. Esto provoca que inmediatamente, nada más abrir el documento se comunique la dirección IP al servidor controlado por el atacante y se descubra la dirección IP original.

Figura 6: El documento se abre sin alertas de seguridad y reporta la dirección IP al servidor del atacante

El problema es que los usuarios, que siempre luchan contra las medidas de seguridad que ellos consideran "molestas", puedan haber tomado como costumbre esto para evitarse la alerta de seguridad que sale en el documento, y sin darse cuenta están quitando una medida de seguridad que no solo protege frente a doxing, sino que tiene medidas de seguridad que ayudan a evitar las infecciones de malware o dificultando el éxito de exploits. Si usas Microsoft Outlook, ten presente este funcionamiento para mantener tu sistema Microsoft Windows más seguro.

Saludos Malignos!

3 comentarios:

  1. A lo que he observado en usuarios "Medios" es que no suelen conocer la función de arrastrar y soltar desde el navegador, por lo que me atrevo a decir que probablemente esto no sea problema hasta que se popularice.

    ResponderEliminar
  2. Chema, quería preguntarte acerca de las posibilidades en el campo de la informatica ya que estoy en segundo de bachiller y me planteo ir a Madrid a estudiar informática en la complutense. Ademas quería preguntarte que sistema operativo es mejor para un programador y un hacker y cual es tu preferico.
    Mucha gracias.

    ResponderEliminar
  3. Chema queria preguntarte sobre vulnerabilidades tengo un interes importante en el tema que hacer y como protegerse

    ResponderEliminar