Sí, un Task Manager en tu sitio web... sin darte ni cuenta!!

Hacía tiempo que no tenía tiempo de investigar algunos de los leaks que mi amigo rootkit me envía, pero aprovechando que en las siestas de verano he sacado algo de tiempo, he mirado este de WestWind Technologies que me ha resultado peculiar.

Figura 1: Un Task Manager en tu servidor web... Sin darte ni cuenta!!

A simple vista, cuando lo ves, es la típica página de administración de servicios Microsoft Internet Information Services que la propia Microsoft ofrecía desde las primeras versiones de su servidor web & FTP. En ella, se pueden ver un montón de opciones, que van desde subir ficheros, hasta tocar configuraciones del servidor, lo que puede resultar muy peligroso. No debería estar expuesta a Internet.

Figura 2: Panel de control de WestWind Technologies

Por supuesto, cuando haces clic en los enlaces, todos llevan a ficheros que están protegidos, ya que de no estarlo los servidores durarían unos segundos en la vorágine de la red, pero sin embargo, se pueden hacer cosas muy curiosas con este página web de administración que no es de Microsoft, sino de Westwind Technologies.

Figura 3: Firma que aparece en el panel del fabricante

Haciendo un poco de Hacking con buscadores con la firma que la compañía pone a sus paneles de administración web se pueden encontrar un buen número de otras herramientas de ayuda, y ejemplos de la compañía, pero yo me voy a centrar en la original.

Figura 4: Buscando paneles de Westwind indexados en Google. Bing y Shodan dan aún más.

Aquí tenéis otro de los paneles de Westwind Technologies con muchas Demos "peligrosas" que recuerdan a los ejemplos que instalaba Microsoft FrontPage en Server-Side.

Figura 5: Otro panel de Westwind Technologies con "Demos" jugosas

En la página original, lo primero que llama la atención es que se puede acceder a la ruta de instalación del software, lo que ya es un leak en sí mismo que puede ser de utilidad en ataques LFI o RFI, como hemos visto en tantas ocasiones (véase Hacking Web Technologies).

Figura 6: Ruta de instalación del sitio web

La segunda cosa que llama poderosamente la atención es que hay un buscador de procesos... What?. Sí en la parte inferior del panel puedes poner una letra por la que quieres filtrar, y accedes a la lista completa de los procesos del sistema - más los del servicio web - que están corriendo, con su PID incluido si pasas el ratón por encima de la opción de matar el proceso, ya que lo usa como parámetro POST.

Figura 7: Lista de procesos que comienzan por s

Con ello, puedes averiguar todo el software de seguridad que está en ejecución, pero también si tiene DNS, servicios extras, etcétera. En este ejemplo se puede ver que este servidor utiliza un antivirus avp.exe que apunta directamente a Kaspersky.

Figura 8: Procesos del antivirus avp.exe

Pero también se puede saber si el administrador de este sitio navega, como en este caso, donde se puede ver cómo se está utilizando el web browser de Moxilla Firefox. Todo esto es debido a que el formulario que refresca la lista de procesos no está llamando a ningún otro fichero del servidor web, sino que es una petición directa sobre la página web que estamos visitando. Es decir, es el propio panel el que gestiona las llamadas al sistema para acceder a la lista de procesos. Y además hay opción de parar procesos, o actualizar constantemente para ver si hay cambios.

Figura 9: Procesos de Firefox

En la imagen superior se puede ver cómo el administrador ha dejado de utilizar Firefox, o bien alguien ha matado los procesos, o simplemente ha cambiado de navegador de Internet. Si alguien pudiera matar desde un sitio web un proceso - incluso los de los vhosts - corriendo en escritorio daría medida de cuáles son los privilegios con los que corre el sitio web (probablemente sin Application Pool), el servicio web, y la falta de uso de niveles de integridad - luego apuntaría a versiones de Windows concretas -.

Figura 10: Procesos de Firefox cerrados

Lo cierto es que estos paneles de Westwind Technologies son de gran utilidad para muchos administradores web, pero nunca, nunca, nunca, deberían estar expuestos a Internet sin estar protegidos por credenciales.

Saludos Malignos!

Some dirty, quick and well-known tricks to hack your bad .NET WebApps

He subido a mi canal Youtube la conferencia que impartí durante la Dot Net Conference Spain 2016 sobre cómo explotar algunos trucos sucios, rápidos y bien conocidos en aplicaciones web escritas en .NET que no han sido tratadas con mucho cariño.

Figura 1: Some dirty, quick and well-known tricks to hack your bad .NET WebApps

La conferencia duran 40 minutos y las diapositivas ya las subí a mi canal Slideshare y las tenéis publicadas junto con la demo que hice con los mensajes de error en Microsoft.com. Este es el vídeo completo de la charla que puedes ver ahora si no pudiste asistir al evento, o si preferiste no venir a verla en directo por ver otras charlas o por cualquier otra razón - tú sabrás tus motivos -.

Figura 2: Some dirty, quick and well-known tricks to hack your bad .NET WebApps de Chema Alonso

El evento, estuvo muy divertido y, a título personal, fue volver a reencontrarme con amigos y compañeros MVP. Os dejo esta foto que me hice con Lluis Franco (@lluisfranco) tras haberme invitado a pasar un fin de semana "romántico" en su Andorra - tomo la palabra e iré para allá con la tabla Exclaibur - que refleja cómo me lo pasé aquel día, a pesar de que luego acabara devastado por el cansancio.

Figura 3: Haciendo el Zoolander con Lluis Franco (@lluisfranco), Microsoft MVP

También acepto el resto de invitaciones para ir a visitar Girona, para ir a comer y cenar por Madrid, León y Galicia que me hicisteis, que ya que os ofrecisteis hay que aprovechar }:P.

Saludos Malignos!

The Real Deal: De compras en un supermercado para el cibercrimen en la Deep Web

Ayer domingo a la tarde-noche aproveché un rato de tranquilidad para dar un paseo por algunos de los sitios que había visto de moda en varios sitios. Se trata de una tienda en la Deep Web para cibercriminales dedicados a vender todo tipo de herramientas, exploits, tutoriales, cuentas robadas o bases de datos de servidores owneados, al mejor postor llamada The Real Deal. Solo hay que pagar el dinero suficiente. La verdad es que no he visto muchos exploits de 0day anunciándose en este momento, pero sí que se venden exploits de 1Day y alguna cosa curiosa, así que decidí traeros aquí la información a modo de información de mercado, ya que podéis ver lo que cuesta cada cosa.

Figura 1: The Real Deal, De compras en un supermercado para el cibercrimen en la Deep Web

Entre las cosas que se venden allí, la primera que os traigo es una botnet controlada por IRC de entre 5.000 a 10.000 máquinas infectadas. El coste de esta botnet es de 7.6 BitCoins, lo que sería unos 1.740 € más o menos. A partir de ese momento la botnet sería tuya y lo que harían esos equipos tu decisión y tu responsabilidad.

Figura 2: Venta de una botnet de 5.000 a 10.000 bots

Por supuesto, los amigos del fraude online ya harán su ROI para ver si les sale a cuenta o no controlar una de esas redes por ese precio, pero seguramente ya habrán sido todos los equipos desplumados de usuarios, contraseñas y cuentas que mereciera la pena explotar. De hecho, en otra parte de la web puedes comprar las cuentas bancarias de diferentes bancos, para poder explotarlas.

Figura 3: Lista de cuentas de algunos bancos a la venta

Algunas, como las de SunTrust parece que son las más deseadas, e incluso hay que esperar a que consigan nuevas cuentas para poder acceder a comprar una de ellas con un determinado volumen de dinero en los balances. Como podéis ver, el coste son unos 550 € más o menos.

Figura 4: Cuentas con Balances de 40.000 a 80.000 USD

Entre la lista de cosas, por supuesto, bases de datos robadas de diferentes sitios para que los amantes de los datos puedan explotarlas. ¿Qué habrá en ellas? ¿Habrá cuentas de gente que se ha registrado con la cuenta de su empresa utilizando la misma contraseña y sin tener un segundo factor de autenticación? Seguro que muchos han comprado ya esos datos por ese precio. Solo unos 687 €.

Figura 5: Base de datos de 4 Millones de usuarios

Algunas, incluso, de las más conocidas. En este foro venden la base de datos de BitCoinTalk.org con todos los datos de todos los miembros por un precio nada desdeñable de 126.9 Bitcoins. Es decir, un total de unos 28.800 € por los datos que ahí se almacenaban. Sí, en Mayo se anunció que se había vuelto a hackear.

Figura 6: BBDD de BitCoinTalk.org a la venta

No solo datos y cuentas, también se venden RATs y exploits para realizar intrusiones. En este ejemplo se puede ver un 1Day Exploit de Internet Information Services publicado el 15 de Abril para el MS15-034 de MS IIS que permite ejecución remota de código por un total de 72.000 €, que no está nada mal.

Figura 7: Exploit para MS IIS de ejecución remota de código

Por último, para no haceros muy largo este artículo, el sitio vende muchos tutoriales y material de formación, entre otros he seleccionado esta guía para ganar dinero haciendo trampas al poker online en sitios de juego online, por 30 € - un poco más que los libros de 0xWord -. Si juegas al poker online, alguno de tus contrincantes puede estar bien enseñado.

Figura 8: Guía para hacer trampas al poker online

En la red TOR se han empezado a poner de moda este tipo de tiendas, y ya son bastantes las que se dedican a esta venta especializada en el mundo del cibercrimen, así que cada día veremos que el robo de datos, la venta de información, el hackeo de servidores, equipos, etcétera, se hará más profesional. 

Figura 9: Uno de los servidores SCADA con acceso que se venden

Estos días la noticia era la venta en otros markets del acceso a servidores SCADA, así que para alguien que quiera hacer alguna tontería puede ser tan fácil como invertir unos BitCoins en el foro adecuado. 

Saludos Malignos!

Aplicaciones .NET con campos ViewState sin firmar o cifrar

Las aplicaciones web escritas en ASP.NET utilizan desde su concepción hace ya muchos años un campo oculto llamado ViewState que controla el flujo de datos y estados de la aplicación en todo momento. Este campo se utiliza para garantizar la privacidad y la integridad de la información en cada uno de los intercambios de información que se producen entre el servidor web y el cliente web. Es decir, para garantizar que la información no ha sido manipulada y que además se ha transferido de forma correcta en todos sus campos.

Figura 1: Aplicaciones ASP.NET con campos ViewState sin firmar o cifrar

Para poder conseguir estos objetivos con garantías, ViewState debe ir firmado y cifrado, pero esto no siempre es así, sobre todo en aplicaciones más antiguas que puedan estar aún en los servidores de muchas organizaciones.

Firmado de ViewState

Desde ASP.NET v.1.0 los campos ViewState van firmados por con un código MAC (Machine Authentication Check), que no es más que un CheckSum de toda la información que se encuentra almacenada dentro de ViewState. La idea es tan sencilla como que una vez que se decide qué se tiene que transferir, se hace una codificación en BASE64, se hace el CheckSUM de la misma y se calcula el valor MAC.

Figura 2: Flujo de utilización de ViewState

De esta forma, cuando se carga la página que se debe renderizar o cuando se envía de vuelta al servidor se puede comprobar si esta ha sido modificada verificándola con el valor de ViewState. Si no coincide, el servidor dará un error de aplicación.

Figura 3: Error .NET de fallo de validación de MAC en el campo ViewState

Esto está configurado a TRUE por defecto en la propiedad EnableViewStateMac desde la versión ASP.NET 1.0, por lo que es raro encontrar aplicaciones que no manejen el campo ViewState firmado, pero si esto sucediera entonces las funciones de integridad de la web aportadas por ASP.NET no serían robustas. 

Cifrado de ViewState

En cuanto al cifrado del campo ViewState no se activó por defecto hasta la versión ASP.NET 2.0. donde para configurar que se cifre el contenido almacenado - y no vaya solo codificado en BASE64 y con un código MAC - hay que configurar los valores decryptionKey y decrypt de las propiedades de MachineKey, tal y como se explica en este artículo de la MSDN. 

Figura 4: Generación de claves de MachineKey

La claves para algunas versiones de ASP.NET, como se puede ver en la imagen superior, se pueden crear y renovar desde el servidor IIS 7, tal y como se explica en este blog de MSDN.

Decodificar campos ViewState sin cifrar

No es demasiado común encontrar aplicaciones ASP.NET que tengan el campo ViewState sin cifrar, pero aún así, en nuestro sistema de Pentesting Persistente Faast, uno de los plugins que se centra en la seguridad y vulnerabilidades de este tipo de tecnologías, sí que lo revisa. En el siguiente ejemplo se puede ver una web localizada en producción con el campo ViewState sin cifrar.

Figura 5: Detección de aplicación ASP.NET con ViewState sin cifrar

Cuando el campo está sin cifrar, lo único que sucede es que se pueden acceder a todos los datos en tránsito, y entre ellos pueden ir las cookies de sesión que se estén intercambiando, o cualquier otra información sensible de la web.

Figura 6: El campo ViewState localizado sin cifrar en un decodificador

El código para decodificar un campo ViewState sin cifrar es conocido - tenéis uno disponible en esta pregunta de StackOverflow -, y es fácil localizar decodificadores online que te muestran todo el contenido dentro del mismo, tal y como se puede ver en la imagen siguiente.

Figura 7: Contenido decodificado de un ViewState sin cifrar

La firma y el cifrado de ViewState ayudan a hacer mucho más robustas las aplicaciones ASP.NET y a protegerlas frente a ataques avanzados, por lo que es una recomendación de seguridad básica en estos entornos. Además, los campos ViewState ayudan también a gestionar la seguridad frente a ataques CSRF, pero eso exige otras configuraciones de las que ya os contaré en otro artículo.

Saludos Malignos!