Sí, un Task Manager en tu sitio web... sin darte ni cuenta!!

Hacía tiempo que no tenía tiempo de investigar algunos de los leaks que mi amigo rootkit me envía, pero aprovechando que en las siestas de verano he sacado algo de tiempo, he mirado este de WestWind Technologies que me ha resultado peculiar.

Figura 1: Un Task Manager en tu servidor web... Sin darte ni cuenta!!

A simple vista, cuando lo ves, es la típica página de administración de servicios Microsoft Internet Information Services que la propia Microsoft ofrecía desde las primeras versiones de su servidor web & FTP. En ella, se pueden ver un montón de opciones, que van desde subir ficheros, hasta tocar configuraciones del servidor, lo que puede resultar muy peligroso. No debería estar expuesta a Internet.

Figura 2: Panel de control de WestWind Technologies

Por supuesto, cuando haces clic en los enlaces, todos llevan a ficheros que están protegidos, ya que de no estarlo los servidores durarían unos segundos en la vorágine de la red, pero sin embargo, se pueden hacer cosas muy curiosas con este página web de administración que no es de Microsoft, sino de Westwind Technologies.

Figura 3: Firma que aparece en el panel del fabricante

Haciendo un poco de Hacking con buscadores con la firma que la compañía pone a sus paneles de administración web se pueden encontrar un buen número de otras herramientas de ayuda, y ejemplos de la compañía, pero yo me voy a centrar en la original.

Figura 4: Buscando paneles de Westwind indexados en Google. Bing y Shodan dan aún más.

Aquí tenéis otro de los paneles de Westwind Technologies con muchas Demos "peligrosas" que recuerdan a los ejemplos que instalaba Microsoft FrontPage en Server-Side.

Figura 5: Otro panel de Westwind Technologies con "Demos" jugosas

En la página original, lo primero que llama la atención es que se puede acceder a la ruta de instalación del software, lo que ya es un leak en sí mismo que puede ser de utilidad en ataques LFI o RFI, como hemos visto en tantas ocasiones (véase Hacking Web Technologies).

Figura 6: Ruta de instalación del sitio web

La segunda cosa que llama poderosamente la atención es que hay un buscador de procesos... What?. Sí en la parte inferior del panel puedes poner una letra por la que quieres filtrar, y accedes a la lista completa de los procesos del sistema - más los del servicio web - que están corriendo, con su PID incluido si pasas el ratón por encima de la opción de matar el proceso, ya que lo usa como parámetro POST.

Figura 7: Lista de procesos que comienzan por s

Con ello, puedes averiguar todo el software de seguridad que está en ejecución, pero también si tiene DNS, servicios extras, etcétera. En este ejemplo se puede ver que este servidor utiliza un antivirus avp.exe que apunta directamente a Kaspersky.

Figura 8: Procesos del antivirus avp.exe

Pero también se puede saber si el administrador de este sitio navega, como en este caso, donde se puede ver cómo se está utilizando el web browser de Moxilla Firefox. Todo esto es debido a que el formulario que refresca la lista de procesos no está llamando a ningún otro fichero del servidor web, sino que es una petición directa sobre la página web que estamos visitando. Es decir, es el propio panel el que gestiona las llamadas al sistema para acceder a la lista de procesos. Y además hay opción de parar procesos, o actualizar constantemente para ver si hay cambios.

Figura 9: Procesos de Firefox

En la imagen superior se puede ver cómo el administrador ha dejado de utilizar Firefox, o bien alguien ha matado los procesos, o simplemente ha cambiado de navegador de Internet. Si alguien pudiera matar desde un sitio web un proceso - incluso los de los vhosts - corriendo en escritorio daría medida de cuáles son los privilegios con los que corre el sitio web (probablemente sin Application Pool), el servicio web, y la falta de uso de niveles de integridad - luego apuntaría a versiones de Windows concretas -.

Figura 10: Procesos de Firefox cerrados

Lo cierto es que estos paneles de Westwind Technologies son de gran utilidad para muchos administradores web, pero nunca, nunca, nunca, deberían estar expuestos a Internet sin estar protegidos por credenciales.

Saludos Malignos!

Security Day 2016_: Security Evolution [Madrid]

Un año más repetimos nuestro calendario en Eleven Paths y antes de irnos de KickOff y hacer la parada veraniega, hacemos un catch-up públicamente con todo lo que hemos avanzado en este periodo de tiempo en la parte tecnológica. Esta será la tercera edición del Security Day, y lo hacemos para enseñaros demostraciones de nuestras tecnologías, junto con proyectos que hemos implantado usando los productos, y alguna novedad que esperamos que os guste.

Figura 1: Security Day 2016_ - Security Evolution

En la agenda vamos a hablar de Virtual Patching y cómo utilizar Faast con sistemas WAF para el parcheo en caliente de vulnerabilidades. Vamos a hablar de cómo hemos desplegado servicios de firma digital con certificados digitales habilitados con firma digital manuscrita y protegidos con Latch. Vamos a hablar de como hemos utilizado SandaS GRC y Vamps en el control de sistemas industriales y SCADA.

También vamos a hablar de novedades con MetaShield Protector para Exchange Server y MetaShield para Office 365. Vamos hablar de nuevas alianzas estratégicas que hemos firmado con Fortinet o las integraciones que hemos hecho con CheckPoint y Kaspersky. Y vamos a hablar de las implementaciones con Sinfonier y Latch que se han hecho en los concursos.... y alguna sorpresa más. Esta es la agenda que tenemos preparada.

Figura 2: Agenda del evento

El evento es para clientes y profesionales y tendrá lugar en Madrid, el día 26 de Mayo, en el auditorio Rafael del Pino sito en la calle Rafael Calvo 39A. Será únicamente por la mañana y habrá un café y un cóctel al terminar.

Figura 3: Ubicación del evento

Para asistir hay que registrarse previamente y se confirmará las plazas a los asistentes por correo electrónico ya que hay un aforo limitado y debemos respetarlo, así que si quieres asistir, regístrate cuanto antes e intentaremos reservarte tu sitio.

Saludos Malignos!

¿Quieres saber si tu conexión a Internet está en una botnet?

Durante el último Security Innovation Day 2014, una de las cosas que contamos es el acuerdo que hemos llegado desde Eleven Paths y Telefónica con la Digital Crime Unit de Microsoft para compartir información. Bajo ese acuerdo nosotros desde Telefónica compartiremos información desde el Big Data que utiliza el servicio de Vigilancia Digital y les daremos acceso a nuestra plataforma de investigación de malware para smartphones "Path 5", además de colaborar en la respuesta ante incidentes.

Figura 1: Cómo saber si una dirección IP está en una botnet detectada por Microsoft

Por otro lado, Telefónica & Eleven Paths se convierte en la primera empresa privada que firma con Microsoft un acuerdo como éste y estamos recibiendo ya un feed con los incidentes de malware que están siendo detectados por la Digital Crime Unit. El objetivo final de este acuerdo es mejorar la seguridad de los clientes conjunto de Microsoft y Telefónica a nivel mundial y para ello vamos a comenzar un trabajo de análisis de datos y cruce de información para ver qué puntos podemos unir en esta lucha.

  Figura 2: Acuerdo entre Microsoft Digital Crime Unit & Telefónica - Eleven Paths

Otra de las entidades que está recibiendo este feed de información es INTECO desde hace tiempo. En su feed, ellos reciben todos los incidentes que tienen que ver con botnets en equipos detrás de conexiones desde direcciones IP de España y para conseguir que los usuarios tomen medidas, se ha creado un servicio desde la Oficina de Seguridad del Internauta, que permite consultar si tu conexión IP a Internet ha aparecido dentro de las redes detectadas como infectadas.

Figura 3: Servicio AntiBotnet de la OSI 

El servicio es muy sencillo, basta con Aceptar las condiciones del servicio y recibirás si desde la dirección IP desde la que te estás conectando Microsoft tiene información de algún equipo infectado o no.

Figura 4: Comienzo de acceso al servicio

Recibirás una respuesta que te dirá, además, qué información relativa a ese incidente hay disponible y enlaces con más detalles sobre la dirección IP y la infección detectada para tomar acciones al respecto.

Figura 5: Resultados. Mi conexión no aparece en ese feed.

Otra de las opciones que hay disponibles es la de llevar la consulta a esta información mediante un plugin de navegador que te permita tener una alerta en cualquier conexión en la que te estés conectando.

Figura 6: Plugin OSI AntiBotnet para Google Chrome

Esto es útil para entender cuándo una red a la que te estás conectando no es lo segura que debería y tomes las medidas oportunas. Si la conexión aparece en el feed, además se podrá tener información del sistema operativo en concreto que estaba infectado, por lo que si eres una empresa deberás comenzar a tomar medidas.

Figura 7: Información del plugin para Google Chrome

Nosotros ahora, desde Eleven Paths vamos a comenzar a analizar esta maravilla de información para ver qué podemos construir que desde que cerramos el acuerdo estamos analizando los detalles concretos para sacar el máximo de ella. Además, gracias a un acuerdo de este año con Kaspersky contamos con otra fuente de información a cruzar que seguro que nos ayuda a entender mejor las amenazas.

Saludos Malignos!