sábado, febrero 29, 2020

Eventos para la semana del 1 al 8 de marzo de 2020

Esta semana ya me toca volver a dar una charla, así que este mismo lunes estaré en Ontinyent (Valencia) para participar en unos seminarios de Ciberseguridad. Pero luego, regreso para estar el día 5 en la RootedCON dando una charla, donde además tendremos el stand de 0xWord. Allí haremos también una sesión de firmas con los autores de los libros.

Figura 1: Eventos para la semana del 1 al 8 de marzo de 2020

Pero además, hay una agenda larga de eventos en Madrid, Málaga, Valencia, Bilbao, Barcelona, Online e incluso conciertos en Zaragoza y Barcelona de mis queridos Despistaos. Así que toma nota de todo lo que hay, que hay bastante.

2 de marzo: Ciberseguridad [Ontinet] [*]

Esta semana comienzo dando una charla en Ontiñent (, así que si te pilla cerca y te apetece, voy a estar por allí dando una charla sobre ciberseguridad para empresas en este seminario para empresas.
2 de marzo: Curso Online de Seguridad Informática Ofensiva [Online]

El mismo lunes puedes apuntarte a este Curso Online de Seguridad Informática Ofensiva en HackBySecurity, si lo que estás es buscando formarte profesionalmente para trabajar de pentester, y además quieres un modelo flexible de formación.
2 al 7 de Marzo: RootedCON [Madrid]

La semana que viene tiene lugar uno de los eventos más esperados y relevantes dentro del mundo de la ciberseguridad en nuestro país, la RootedCON en Madrid. El equipo de Ideas Locas CDCO y el de ElevenPaths estarán presente también este año en varias charlas (del día 5 al 6) y talleres (del día 2 al 4).

Figura 4: RootedCON Madrid

Los RootedLabs son una gran oportunidad para aprender de una manera práctica y de primera mano, de diferentes campos y técnicas dentro de la ciberseguridad como los siguientes:
• [R20RL2] Offensive Powershell: Nuestro compañero Pablo González Pérez, responsable del equipo de Ideas Locas CDCO, será el encargado de impartir este interesante taller el día 3 de marzo. Registro.
• [R20RL3] Ethical Hacking & Pentesting: Otro interesante taller impartido también por Pablo González Pérez el día 4 de marzo. Registro.
• [R20BC3] Exploit Development for Pentesters: impartido por nuestro compañero en ElevenPaths Pablo San Emeterio los días 2, 3 y 4 de marzo. Registro.
Por otro lado, también estaremos presentes en varias de las charlas, que te dejo por aquí, pero tienes toda la información de todos lo ponentes y horarios  en la agenda de la RootedCON:
• “El club de los poetas muertos”: Jueves 5 de marzo, de 15:30 a 16:30. Chema Alonso (CDCO de Telefónica).
• “Fortificando Kubernetes like a boss”: Viernes 6 de marzo, de 10:00 a 11:00. Fran Ramírez (Ideas Locas CDCO de Telefónica) y Rafael Troncoso (SAP)
• “Atacando la debilidad humana”. Viernes 6 de marzo, de 16:30 a 17:30. Carmen Torrano (ElevenPaths) y Ruth Sala Ordoñez (Abogada penalista).
• “Hackeando el mundo exterior a través de Bluetooth Low-Energy (BLE)”. Sábado 7 de marzo de 10:00 a 11:00. Pablo González Pérez (Ideas Locas CDCO de Telefónica) y Álvaro Núñez-Romero (ElevenPaths).
3 de marzo: Viva Techtour [Barcelona] [G]

Viva Technology, con su quinta edición que se celebrará en París los días 11, 12 y 13 de junio, es un evento líder para el encuentro entre startups de tecnología. Por quinto año consecutivo, Viva Technology se centrará en el papel de la mujer la tecnología. En concreto se hacen la pregunta ¿dónde está el dinero para las mujeres líderes de startups?

Figura 5: Girls Just Wanna Have Funds

Nuestra compañera, la directora de Wayra Barcelona, Marta Antúnez, formará parte del panel de discusión “Girls Just Wanna Have Funds”. No te pierdas este evento que tendrá lugar en Barcelona, en el Movistar Centre el día 3 de marzo de 18:00 a 20:30 CET. Evento gratuito.

3 a 6 de marzo: Espació Fundación Telefónica [Madrid] [Online][G]

La primera semana del mes de marzo también está repleta de eventos interesantes en el Espacio Fundación Telefónica de Madrid, que además puedes seguir online. Todos ellos totalmente gratuitos y con doblaje a lengua de signos. No te los pierdas:
Figura 6: Eventos en el Espacio Fundación Telefónica primera semana de Marzo

4 de Marzo: III Foro de Ciberseguridad [Madrid]

Nuestro Director de Operaciones de ElevenPaths, Alejandro Ramos, participa en este interesante evento que reúne a importantes personalidades dentro del mundo de la ciberseguridad. El tema de esta edición es “Los retos de la migración a la nube” y tendrá lugar el día 4 de marzo en Madrid.

Figura 7: Los retos de la migración a la nube

5 de marzo: Open Day en La Farola [Málaga]

No dejes pasar esta gran oportunidad para aprender a aplicar BlockChain en tu empresa. Hemos preparado esta jornada desde el Área de Innovación y Laboratorio de ElevenPaths junto al Parque Tecnológico de Andalucía y a la APTE (Asociación de Parques Tecnológicos de España). Nuestros expertos José Torres y Marcos Arjona estarán en este evento el 5 de marzo en Málaga.

Figura 8: OpenDay en La Farola

5 de marzo: DigitalXBorder [Bilbao]

El programa de Inmersión DigitalXborder es una experiencia de aprendizaje intensiva, que ofrece a CEOS de empresas las herramientas clave para facilitar la toma de decisiones en un entorno digital en continua transformación. El 5 de marzo Richard Benjamins, Data & AI Ambassador de Telefónica, participará en la sesión del Digitalxborder en Bilbao donde se hablará de la necesidad de aplicar soluciones de Inteligencia Artificial en el sector de las PYMES en España.

Figura 9: DigitalXBorder Bilbao

5 de marzo: I Congreso Mujeres en el Project Management [Madrid]

Llega al Project Management Institute la primera edición de un congreso que busca el empoderamiento de las mujeres para liderar proyectos que construyan nuestra economía. Nuestras expertas Helene Aguirre, Svetlana Miroshnichenko y Begoña del Valle en ElevenPaths estarán el día 5 de marzo en Madrid hablando sobre Smart Cities y la relación entre sostenibilidad y ciberseguridad.

Figura 10: I Congreso de Mujeres en el Project Management

6 y 7 de marzo: Despistaos [Zaragoza] [Barcelona]

El grupo Despistaos con Dani Marco, José Krespo, Lázaro y Pablo Alonso, continúa con su gira “Estamos enteros”, esta vez con dos conciertos la semana que viene en Zaragoza y Barcelona que no te puedes perder. Puedes comprar las entradas en las siguientes URLs:

Y esto es todo lo que tengo en el radar para la semana que viene en que nos vamos a ver involucrados, así que si hay algo que te interesa, ya sabes, apúntate y reserva el tiempo para asistir.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


viernes, febrero 28, 2020

Del Apple II al Apple IIgs o cómo un genio (Steve Wozniak) se empeñó en revolucionar la informática gracias, en parte, al videojuego Breakout de Atari [Parte 3 de 3]

Y llegamos al final de este artículo que al final se ha llevado tres entradas completas. La historia de un ordenador como Apple II que rompió todos los moldes y se convirtió en el referente de los hackers durante muchos años. Hoy, para todos los amantes de esta maravilla que tiene el sello de uno de los grandes hackers de la historia, el mítico Steve Wozniak, repasamos los últimos modelos.

Figura 24: Del Apple II al Apple IIgs o cómo un genio (Steve Wozniak)
se empeñó en revolucionar la informática gracias, en parte,
al videojuego Breakout de Atari [Parte 3 de 3]

Y para ello, nos quedan el Apple IIc, la versión Apple IIc plus, y el mítico Apple IIGS con la edición limitada firmada por Steve Wozniak. Aquí los tienes. "Apple Two!!"

Apple IIc (Abril de 1984)
  • Precio: 1295$
  • RAM: 128KB hasta 1MB
  • CPU: MOS 65C02. 1 MHz
  • Display: NTSC. 280 x 192 (6 colores) y 590 x 192 (16 colores) modo gráfico, 40 x 24 y 80 x 48 en modo texto (ambos con 16 colores)
  • Puertos: ratón, joystick, modem, salida RGB, salida de video compuesto, conexión disco externo y puerto de impresora. Almacenamiento: casete y disquetera interna 5 ¼
  • OS: Apple ProDOS

Figura 25: Apple IIc

Este modelo de Apple II es otro superviviente como el Apple IIe, ya que nació justo cuando también apareció el ordenador de Steve Jobs, el Macintosh (en un evento paralelo al famoso del Macintosh, llamado “Apple Forever”, donde veríamos juntos por última vez a Wozniak, Jobs y John Scully - éste último fue el némesis de Jobs, forzando su despido de Apple poco tiempo después). Como curiosidad, puedes probar el sistema operativo ProDOS online en el emulador JavaScript del Apple II. .

Figura 26: Emulador Online en JavaScript del Apple II

Esta versión compacta del Apple II (de ahí la “c”) tenía la apariencia de portátil pero realmente era portable (se podía meter en una maleta de mano), no portátil al no incluir baterías ni pantalla. Esta completa integración en ese tamaño ofrecía una salida a una parte del mercado que demandaba un ordenador Apple ligero y fácilmente transportable, con todas las prestaciones integradas (de ahí su gran número de puertos de expansión). Además, llevaba de serie una unidad de discos de 5 ¼ de 140KB integrada en la parte derecha del aparato.

Figura 27: Apple IIc con pantalla LCD incorporada, pero aún sin batería
Algunas empresas ajenas a Apple sacaron al mercado algunos periféricos que aportaron mayor portabilidad al Apple IIc, como por ejemplo una pantalla LCD o incluso baterías externas. Aparte de su portabilidad, otra de las características que hacen de este modelo un elemento importante dentro de su historia, es que ofrece una línea de diseño totalmente nueva llamada “Snow White”. Su apariencia no tenía nada que ver con los otros modelos de Apple y, de hecho, esta tendencia se aplicaría a partir de ahora y durante varios años, a los sucesivos modelos que Apple sacaría al mercado.

Apple IIc plus (Septiembre 1998)

Apple IIc no fue un éxito en ventas inmediato, ya que la miniaturización no fue tan valorada por los clientes, además tenía un efecto colateral como la ausencia de puertos de expansión (estaba todo integrado). Aún así, estuvo bastante tiempo en el mercado, desde abril de 1984 hasta agosto de 1988 (más que el Macintosh original), sufriendo a su vez varias modificaciones e incluso una completa revisión con el Apple IIc Plus, que apareció en septiembre de 1988 con mejoras como un disco de 3 ½ y mejoras en la velocidad del procesador y la placa base.

Figura 28: Escena de la película "Exploradores" con River Phoenix y el Apple IIc al fondo

El Apple IIc aparece al menos dos películas que marcaron toda generación (al menos la nuestra), la mítica escena de la playa de la película “2010: Odisea Dos”, con Roy Scheider utilizando un Apple IIc con una pantalla LCD (el misterio es cómo lo estaba alimentando, ya que recuerda que no tenía baterías, aquí puedes verlo) y la fantástica “Exploradores” (1985) el cual adquiere bastante protagonismo durante la misma.

Apple IIGS (Septiembre de 1986)
  • Precio: 1295$
  • RAM: 256KB hasta 8MB
  • CPU: 65C816 (16 bits). 2,8 MHz
  • Display: VGC 12-bpp palette, 320×200, 640×200
  • Puertos: puerto de juegos, salida de audio (este modelo tenía tarjeta de sonido Ensoniq 5503), impresora, modem, floppy, RGB , ADB (Apple Desktop Bus) y 7 puertos de expansión
  • Almacenamiento: disquetera externa de 3 ½ o 5 ¼ pulgadas
  • OS: Apple ProDOS, Apple GS/OS, GNO/ME
Figura 29: Apple IIGS sin teclado, ratón, disquetera ni monitor

Finalmente llegamos a la joya de la corona, el Apple IIGS (“G” de Graphics y “S” de Sound), el último de la saga Apple II. Hay que destacar que este equipo estaba diseñado para pelear cara a cara con otros grandes ordenadores como el Commodore Amiga o los Atari ST. Por ello se diseñó teniendo muy en cuenta el apartado gráfico y el sonido. De hecho, el sistema operativo era un ProDos pero con una GUI llamada GS/OS. De hecho, era prácticamente un ordenador nuevo, que emulaba la compatibilidad con los Apple IIe y Apple IIc usando un chip específico llamado Mega II.

Este equipo de 16 bits tenía un microprocesador WDC 65C816, el cual era capaz de ejecutarse a una velocidad mucho mayor de los 2,8 MHz. El problema era que Apple decidió rebajar las prestaciones de este equipo para que no entrara en competición directa con la flamante gama Macintosh. Una decisión de marketing que le afectó muy negativamente a la hora de sacarlo al mercado.

Figura 30: Aspecto de GS/OS

Tenemos que destacar la versión limitada llamada “Woz”, idéntica al modelo original, pero incluía la firma de Steve Wozniak en el frontal, además de un certificado de autenticidad (se lanzaron unidades limitadas), y que es justo otro de los que tiene Chema Alonso en su despacho para que lo vea todo el mundo cuando vamos a verle, junto con la caricatura y el diseño de la BlueBlox que le firmó el mismisimo Wozniak el día que cenaron Kevin Mitnick, Steve Wozniak y Chema Alonso en Califormia.


Además, el IIGS fue el equipo para el que John Romero y John Carmack (creadores del mítico Doom) escribieron sus primeros programas después de fundar ID Software. Pero quizás, lo que hace realmente especial, es que este fue el último ordenador en el cual Steve Wozniak trabajó directamente antes de dejar Apple y el negocio de los ordenadores en general. Puedes jugar a todos estos juegos en el Emulador Online del Apple IIGS instalando el plugin de ActiveGS.

Figura 32: Online Emulator de AppleIIGS con todos los juegos

Como curiosidad adicional, existe un Huevo de Pascua dentro la misma ROM del aparato la cual incluye una grabación de audio. Para activarlo, una vez que arranca y vemos el logo de Apple moviéndose por la pantalla de un lado a otro, si pulsamos CTRL + Tecla Manzana + Option + N escucharemos un audio en el que se oye al equipo de diseño del IIGS gritar "Apple two!!!". Simplemente genial. ¡Qué buenos tiempos!


Figura 33: Apple IIGS "Woz" Edition con la firma abajo a la derecha de la carcasa,
con todos los accesorios (no necesariamente de este modelo)

Para finalizar este artículo homenaje a Steve Wozniak y su querido Apple II, ponte los casos o conecta los altavoces y pulsa play a este vídeo y vamos todos a cantar el estribillo de la canción “Apple Two Forever” ;) (ojo que es pegadizo)


Figura 34: Apple II Forever

Y recuerda que en nuestro libro de Microhistorias encontrarás otras historias sobre Apple y mucho más relacionado con la historia de la Informática y los hackers, que está lleno de anécdotas, heroicidades y pequeños momentos que cambiaron el curso de la historia.

Figura 35: Libro de Microhistorias: Anécdotas y curiosidades
de la historia de la informática (y los hackers) en 0xWord

Happy Hacking Hackers! 

***********************************************************************************
- Del Apple II al Apple IIgs [Parte 1 de 3]
- Del Apple II al Apple IIgs [Parte 2 de 3]
- Del Apple II al Apple IIgs [Parte 3 de 3]
***********************************************************************************

Autores:

Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.


 Contactar con Fran Ramírez en MyPublicInbox

Rafael Troncoso
(@tuxotron) es Senior Software Engineer en SAP Concur, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps" además del blog CyberHades. Puedes contactar con Rafael Troncoso en MyPublicInbox.


Contactar con Rafael Troncoso en MyPublicInbox

jueves, febrero 27, 2020

Smart WiFi Living App: Tu red WiFi en Movistar+

Esta semana, no solo hemos lanzando el Mando vocal Movistar + con botón Aura y hemos hecho público el acuerdo con Microsoft para tener una región de Azure en España, y si eres cliente de Movistar + podrás ver en la sección Apps de tu televisión que hemos puesto en producción SmartWifi con una nueva Living App, para que puedas visualizar y tomar decisiones de gestión sobre tu red WiFi desde el sofá de tu casa.

Figura 1: Smart WiFi Living App: Tu red WiFi en Movistar+

Con esta primera versión de Smart WiFi puedes, nada más abrir la aplicación, acceder de un vistazo a todos los dispositivos que tienes actual, y recientemente conectados a tu red WiFi, ordenados en diferentes categorías, que podrás ir explorando con el mando de tu televisión.

Figura 2: Living App de SmartWiFi en Movistar+

Para tener este servicio disponible, tienes que tener el Router WiFi de alta velocidad Movistar que nosotros llamamos HGU (Home Gateway Unit) en tu casa. Este es el router más potente y que permite sacar partido el máximo de todos los nuevos servicios de Movistar. Este router es desde el que se proveen los servicios de SmartWiFi & Conexión Segura y poco a poco llegarán todas esas funciones a la Living App en Movistar +.
Todas las funciones para gestionar tu red WiFi las tienes disponibles en la app de SmartWiFi para dispositivos Android e iOS que te permite bloquear o desbloquear dispositivos, así como activar el servicio de Antivirus para tus dispositivos o la protección de Conexión Segura (Gratis, solo tienes que activarla) que protege la navegación de todo la red.

Figura 4: Living App de SmartWifi en tu Movistar+

Dese la Living App de SmartWiFi, además de acceder a la clave de la red WiFi en texto o con QRCode, puedes revisar qué dispositivos tienes bloqueados y poco a poco tendrás todos los casos de uso que tenemos en la app disponibles en la televisión para que la gestión de tu red WiFi y todos los dispositivos en ella la puedas hacer desde tu sofá usando la televisión.


Figura 5: Servicios de SmartWiFi

En este vídeo de un minuto y medio tienes un resumen de las principales características que tienes disponibles en la app de SmartWiFi, para que si no la has configurado aún en tu casa puedas hacerlo y sacar mucho más de tu red WiFi.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

miércoles, febrero 26, 2020

Microsoft y Telefónica: Nueva región de Microsoft Azure en España

Ayer fue el día en el que se hizo público el trabajo que llevamos realizando tanto en Microsoft como en Telefónica para tener una región de Microsoft Azure en España, lo que supone poder disponer de los servicios de Microsoft Office 365, Azure y Dynamics 365 en nuestro país. Algo que, desde luego, acelerará la transformación de todas nuestras industrias.

Figura 1: Microsoft y Telefónica: Nueva región de Microsoft Azure en España

Disponer de una región de la cloud de Microsoft Azure es algo que llevábamos persiguiendo mucho tiempo. Desde la primera reunión que tuvimos con Satya Nadella estuvo sobre la mesa es ofrecimiento de poder llevar a cabo este proyecto, pero el tamaño de inversión y las aristas que tiene llevaron mucho tiempo hasta que se ha visto cerrado.

Figura 2: Acuerdo entre Microsoft y Telefónica

Por el camino, hemos estrechado nuestra relación como compañías en muchos pasos. Desde el uso de Microsoft Azure en la construcción de Aura gracias al apoyo de Microsoft, y la apuesta que hicimos por su tecnología - ya os conté esta historia tiempo atrás -, hemos ido desarrollando otros productos y soluciones sobre ella. Faast en ElevenPathst, nuestro servicio de Pentesting Persistente en Cloud fue el primero de ellos, y se construyó desde el principio en Microsoft Azure.


Figura 3: Anuncio del acuerdo Telefónica - Microsoft

Luego, llegarían Movistar Home, el nuevo Mando Aura y las Living Apps desde el punto de vista de productos más B2C, pero las 4ª Plataforma está construida en Microsoft Azure dando soporte en todos los países del grupo Telefónica. Y en algunos sitios como en VIVO Brasil, hemos llevado Aura y la tecnología de Azure Cognitive Services a nuestro Contact Center, atendiendo millones de interacciones con nuestros clientes.

Figura 4: Mando Vocal Movistar + Habla con Aura

Ahora el equipo de Cloud en Telefónica Tech ha dado un paso más allá en la relación con Microsoft y vamos a tener la posibilidad de ayudar a todos nuestros clientes empresariales y de administración pública a acelerar en su transformación digital gracias a este acuerdo estratégico entre Microsoft y Telefónica que ayer se anunció.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)


martes, febrero 25, 2020

Hacking Trick: Bypass de Políticas de Grupo (GPO) en Windows 10

Recientemente se ha publicado un truco para hacer un bypass de GPO (Group Policy Objetcs -Políticas de Grupo). El propio funciona en políticas locales y en políticas aplicadas por un administrador de dominio. Hay que decir que, probando este bypass pues la máquina puede sufrir algún inter-bloqueo (deadlock) o inestabilidad, por lo que si quieres probarlo, hazlo sobre un entorno virtual y en un entorno controlado totalmente por ti.

Figura 1: Hacking Trick: Bypass de Políticas de Grupo (GPO) en Windows 10

Me llamó la atención la sencillez y el paso a paso que siguió el investigador para lograr su objetivo. Hay que tener en cuenta que saltarse una política de grupo es algo interesante para los pentesters que se encuentran en proyectos de Ethical Hacking o en grupos de Red Team, pero existen muchas protecciones por detrás que pueden ayudar a seguir protegiendo el equipo. ¿Qué quiero decir? Que no es el fin del mundo hacer un bypass de esto, pero que ayuda y que, por supuesto, la gente de IT debe proteger y restringir ciertas acciones mediante un buen uso de la política de grupo.

Figura 2: Hacking avanzado en el Red Team

Teniendo en cuenta que en una semana son los RootedLab y donde estaré con el de Ethical Hacking y el de Offensive Powershell, pues quería mostrar el tipo de cosas que se pueden aprender en estos lab. Así que si te interesa este mundo, no dudes en pasarte por los labs y por RootedCON dónde daremos charla varios compañeros de Telefónica.

Figura 3: RootedLab "Offensive Powershell"

El investigador que ha publicado la técnica indica que lo ha probado en Microsoft Windows 7 y Microsoft Windows 10. Como parte del trabajo en Hacking Windows, yo lo he probado en Windows 10 con buen resultado, aunque la pantalla puede provocar algún “tembleque” hasta que se carga correctamente el hive de registro.

¿En qué consiste todo esto?

La técnica consiste en aprovecharse de la forma en que se carga el registro, en particular el hive HKCU, al iniciar sesión en el equipo. Cuando el usuario inicia sesión se cargan ajustes desde la rama HKEY_CURRENT_USER. Este hive contiene ajustes relacionados con el usuario y aplicaciones que se relacionarán con él. Este hive es un archivo que se puede encontrar en la siguiente ruta: %USERPROFILE%\ntuser.dat. Cuando se inicia sesión, el servicio de perfiles de usuario utiliza NtLoadKeyEx para cargar el hive en el registro.

Figura 4: Libro de Hacking Windows

¿Y si quieres cambiar algo en la clave del registro durante el inicio de sesión? Pues hay que pasar por las APIs de Microsoft que comprobarán los permisos de las claves que se quieren modificar. Como dijo David, el investigador que descubrió el truco, es un mini sistema de archivos.

¿Dónde está el problema?

Con ProcMon (y boot logging activo) se puede ver que el servicio ProfSvc comprueba si existe %USERPROFILE%\ntuser.man, antes de cargar el fichero ntuser.dat. Esto nos debe sonar mucho de la parte de los bypasses de UAC o de la técnica DLL Hijacking.

Uno se puede preguntar, ¿qué es ntuser.man? Es un archivo similar a ntuser.dat o, a efectos prácticos, igual. La diferencia sería que se utiliza cuando se requiere un perfil obligatorio. En %USERPROFILE% el usuario puede escribir, por lo que podrá escribir el fichero ntuser.man que mejor le interese para conseguir el bypass de la política que le marquen. Como se puede ver, la idea es sencilla. Los pasos serían:
1. Crear el hive ntuser.man 
2. Añadir o eliminar las políticas clave/valor que se quieran del hive 
3. Mover el archivo a la ruta %USERPROFILE% 
4. Salir de la sesión y volver a iniciarla
El bypass parece sencillo, pero no lo es tanto. Las políticas se sincronizan y se vuelven a aplicar al inicio de sesión o en intervalos regulares. Si se intenta evitar la anulación eliminando la rama SYSTEM o SISTEMA de la ACL de nuestra clave, el cliente de GPO de Windows detectará esta situación y corregirá la ACL. Es decir, recuperará los permisos de escritura y volverá a escribir la configuración de la política de grupo.

El cliente de política de grupo de Windows o GpSvc se ejecuta y encuentra una subclave en el hive llamado “Políticas” o Policies. Entonces llama a una función interna denominada ForceRegCreateKeyEx, la cual intenta abrir una de las subclaves de políticas con permisos de escritura, si falla, llama a AddPolicyPermissionOnKey para que tome la propiedad de la clave y restaure “SISTEMA” con permisos de escritura en la clave. Luego se reabre la clave y se sobrescriben las entradas de la política de grupo.

Entonces, David vio que la rutina AddPolicyPermissionOnKey modificaba la ACL de la subclave para agregar a SYSTEM, pero no eliminaba ninguna entrada de la ACL existente. Esto quiere decir que si se estable una entrada explícita para denegar los permisos de escritura de SYSTEM, entonces se bloquea a SYSTEM y no podrá obtener los permisos necesarios para restablecer la política de grupo.

Después de la teoría, vamos con los ejemplos

En la presentación de la técnica se mostraba un ejemplo con el Task Manager (administrador de tareas). Para el artículo he realizado el mismo ejemplo, pero también añadiendo la prohibición de la ejecución de un CMD por parte de un usuario por GPO (que es típico de encontrar por ahí). El primer ejemplo, se puede habilitar de la siguiente forma, a través del MMC y las GPO:

Figura 5: Habilitar GPO para eliminar el Task Manager

En la ruta System (sin entrar en Ctrl+Alt+Del Options) se puede encontrar la directiva para bloquear la ejecución de un CMD. El resultado es que el "Administrador de Tareas" no está accesible para el usuario y que el CMD queda bloqueado como puede verse en la siguiente imagen.

Figura 6: Task Manager está deshabilitado

Ahora empezamos con la creación del fichero ntuser.man. Lo primero es conseguir uno de un Windows con la misma versión, esto es importante. Se puede copiar de un usuario que esté “no conectado”, es decir, no haya iniciado sesión. Una vez se tiene un archivo copiado de ntuser.dat, lo podemos “abrir” con el registro de Windows. Abrimos con regedit.exe y en el menú "Archivo" podemos encontrar la opción Cargar hive. Una vez cargamos el hive, en el ejemplo lo hemos hecho sobre HKEY_LOCAL_MACHINE, le ponemos un nombre y podemos modificar todo lo necesario.

Lo primero es cambiar los permisos sobre la raíz, para que haya un control total, por parte del usuario “todos”, sobre todas las subclaves que hay debajo de la raíz. Hay que recordar que, aunque lo he llamado “poc”, esa clave y su jerarquía corresponde con el HKEY_CURRENT_USER que queremos “emular” para conseguir el bypass de las políticas de grupo GPO.

Figura 7: Cambio de permisos sobre "poc"

Ahora, hay que llegar a \Software\Microsoft\Windows\CurrentVersion\Policies. En función de la política que se quiera sobrescribir o añadir, se necesitará encontrar la subclave correspondiente. En el caso del administrador de tareas y del CMD la clave es \Software\Microsoft\Windows\CurrentVersion\Policies\System. La subclave System es donde añadiremos la regla DENY para lograr que SYSTEM no tenga privilegios de escritura/creación. De esta forma se logra el bypass.

Figura 8: Se mueve el fichero ntuser.man al %USERPROFILE%

Por último, se mueve el fichero ntuser.man a la ruta %USERPROFILE% y se puede cerrar e iniciar sesión de nuevo, tal y como se ve en la Figura 8.

Figura 9: Task Manager vuelve a estar disponible

El resultado es que volvemos a tener “Task Manager” y que la CMD vuelve a estar disponible.

Figura 10: CMD vuelve a estar disponible

Es un buen truco que cualquier pentester debe llevar consigo en la mochila para las auditorías y proyectos de hacking ético. Estos trucos dan un valor añadido a la figura del pentester. Recordad probarlo en un entorno controlado por vosotros, ya que puede causar inestabilidad en el sistema si se aplica incorrectamente.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 11: Contactar con Pablo González

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares