(Tu) MetaShield Clean-Up Online: Descubre qué datos exponen tus documentos

Uno de los proyectos que hemos comenzando este años a cuidar desde Tu.com es MetaShield Protector. La familia MetaShield Protector ayuda a las empresas y particulares a evitar las fugas de información de la compañía por medio de la limpieza de los metadatos, la información oculta y los datos perdidos. Mucho he hablado de esto durante años en este blog y en muchas conferencias.

Figura 1: (Tu) MetaShield Clean-Up Online.

Descubre qué datos exponen tus documentos

Para los nuevos - y para los no tan nuevos - quería hacer este artículo para informaros que tenéis el servicio de MetaShield Clean-Up Online disponible en la nueva URL, que es: https://metashieldclean-up.tu.com, donde lo podéis utilizar gratis para saber qué datos filtran tus documentos ofimáticos, tus fotografías, o los archivos que compartes en general con personas a través del correo electrónico, o con todo el mundo a través de la publicación de los mismos en la web.

Figura 2: Tu Metashield Clean-UP Online

Para que veáis cómo funciona este servicio, he buscado un fichero Excel que he recibido recientemente y lo he subido para analizar.

Figura 3: Análisis de Metadatos, Información Ocult y Datos Perdidos

de un documento Excel con MetaShield CleanUP Online

En él podéis ver cómo hay un montón de información, como por ejemplo el nombre del usuario del sistema que creó dicho archivo.

Figura 4: Nombre de usuario y tipo de documento

También aparece información de la compañía que licenció la versión de Excel con la que se creó este documento, lo que es bastante curioso y puede dar más información de la necesaria.

Figura 5: Compañía que ha licenciado el software

Otro de los datos es quién modificó el documento, que es otro usuario de la compañía diferente a quién lo creó, lo que nos da un historial de edición del archivo, y dos nombres de usuarios de dicha compañía, sólo con haber recibido un documento Excel.

Figura 6: Usuario que modificó el Excel

Pero la información que aparece no se queda ahí, y podemos descubrir marcas y modelos de impresoras, así como versiones de software.

Figura 7: Impresora configurada y versión de Excel utilizada.

Ya he hablado mucho de la importancia de esta información que muchas veces las empresas entregan sin ningún cuidado, y cómo una compañía que comparte decanas, o centenares de documentos al día, está filtrando mucha información de la estructura de red y de seguridad de la empresa.

Figura 8: Contacta para conseguir más información

de los productos Metashield Protector.

En Tu Metashield tenemos además soluciones para aplicar en el correo electrónico de Office 365, en la gestión en los servidores web, e incluso para utilizar vía API en tus propias aplicaciones de gestión documental, así que si quieres ver posibilidades de colaboración, o quieres usar nuestros servicios, puedes contactar con nosotros.

Figura 9: Metadatos y Esquema Nacional de Seguridad

Todas estas herramientas, son fundamentales para implementar una Política de Seguridad de Metadatos para cumplir al Esquema Nacional de Seguridad, marcado por el CCN-CERT nacional en España, y para política similares a lo largo del mundo entero.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Shaadow: Encuentra al miembro de tu equipo que filtra la información

El día de hoy los vamos a dedicar a hablar de una de las últimas start-up que han surgido en nuestro país enfocadas al mundo de la ciberseguridad: Shaadow. Esta nueva plataforma permite a la persona introducir una “marca de agua” invisible al ojo humano y personalizada en los documentos que se envíen a terceros. ¿Y qué valor aporta eso?, os preguntaréis. La respuesta es bien simple: poder detectar los canales de las filtraciones de nuestros documentos y localizar la fuente u origen de dicha filtración.

Figura 1: Shaadow: Encuentra al miembro de tu equipo que filtra la información

La historia reciente está llena de casos de este tipo que en algunos momentos han puesto en jaque la seguridad nacional de ciertos países, creado conflictos políticos, inestabilidad, etc. como algunas de las consecuencias más graves. El ya sobradamente conocido escándalo del Watergate (en la década de los setenta) o los papeles de Panamá (año 2016) son algunos de los más llamativos, pero puede ocurrir a todos los niveles y suponen un problema muy grande a nivel de pérdidas si hablamos desde el punto de vista empresarial.

Documentos filtrados de tu empresas

Al cambiar la tecnología de la que disponemos, lo han hecho también los métodos para conseguir información privilegiada. Ya no hablamos de ese hombre con gabardina larga que se mantiene en la sombra de una columna de aparcamiento para no revelar su identidad mientras charla con unos periodistas, sino del envío de correos electrónicos con documentos adjuntos que con un solo clic pasan a estar en posesión de una persona que quizás no debiera tenerlos.

Shaadow es una plataforma SaasS que ofrece la posibilidad de marcar esa información de tal manera que, si se publica, o se filtra, podría afectar a nuestro negocio. El proceso, como se puede ver en el vídeo de la Figura 4, es muy sencillo: se sube el documento a la plataforma, se escribe cuáles van a ser esas marcas de agua invisibles para cada una de las personas a las que se quiere distribuir (de forma digital o impresa) y se descargan los documentos ya marcados. Pero lo bueno viene ahora.

Figura 2. Proceso de marcado de Shaadow.

Pongamos que uno de esos receptores filtra el documento a la prensa. Aparece en nuestro ordenador el artículo con una foto del documento, y nos la descargamos. Transformamos esa imagen en un documento PDF, volvemos a la plataforma de Shaadow, subimos el nuevo documento y, en cuestión de segundos, nos devolverá un mensaje con la marca invisible correspondiente a ese ya no tan anónimo "Garganta Profunda".

Figura 3: Proceso de extracción de Shaadow.

Al principio de este artículo hablábamos de casos que tuvieron un impacto muy grande y de los que aún se habla a día de hoy por la importancia de los hechos, pero uno ocurrió hace cincuenta años y el otro, aunque más reciente, fue hace cinco. Se puede pensar que en estos últimos años y con todo el tema de la pandemia y del teletrabajo, las cosas serían más seguras, y nada más lejos de la realidad. 

Filtraciones al orden del día

Hace menos de un año se filtraron documentos de los servicios secretos de Argentina donde se revelaban acuerdos con Estados Unidos, Bolivia o España, pero también la identidad de varios agentes secretos en el extranjero, con el consiguiente peligro que eso supone para su seguridad.

A principios de año, se filtraron los detalles del contrato entre Messi y el FC. Barcelona, pero hace unos días volvieron a sufrir la misma situación solo que con André Cury. Y esta misma semana, nos levantamos con la noticia de que un ciudadano anónimo encontró cincuenta folios con documentación clasificada propiedad de militares británicos con información sobre Rusia y Afganistán (entre otros países). 

Debemos comprender el contexto en el que vivimos actualmente, con una nueva normalidad que propone cada vez más el teletrabajo como solución permanente, donde la información se va a mover más allá de nuestros servidores, sistemas, redes o plataformas. Y hay que controlar cómo se mueven esos documentos, porque los empleados van a tener mucho que ver en la seguridad de la información, y en las filtraciones.

Probar y utilizar Shaadow

La solución que proporciona Shaadow no es una simple marca de agua en los documentos que se va con la impresión o deformación del documento. Ni mucho menos. Puedes imprimir el documento, y deformarlo, y aún seguirá ahí la marca que se puede extraer. El utilizar esta tecnología en tu grupo de trabajo es también  una disuasión ante la posible decisión de una persona de filtrar información, ya sea a los medios o a la competencia. 

Además da confianza tanto a nivel externo como interno en una organización. Si has estado en alguna empresa, seguro que tienes muchas historias de situaciones en las que se generaba un mal clima en el trabajo por la filtración de un documento y se producía una caza del empleado que lo había llevado a cabo, además de sospechas, tiempo empleado y un situación incómoda para todos, pudiendo incluso saldarse con la acusación de alguien inocente.  O el daño que hace a la reputación de una organización el verse expuestos de esa forma. 

Figura 4: Shaadow. Localiza al leaker que filtra los documentos confidenciales de tu empresa

Shaadow es una plataforma SaaS que proporciona una solución actual a un problema no tan nuevo, pero sí creciente, que puedes utilizar de forma personal. Puedes probarla gratuitamente con un documento, marcarlo, y ver si tu documento sale del canal donde lo enviaste con tu marca. Pero si quieres utilizarlo de verdad, tienes planes que te permiten poner distintas marcas, así que si quieres cazar al que filtra la información, puedes hacerlo fácilmente.

Figura 5: Puedes probar Shaadow gratis y localizar al leaker

de tu empresa muy económicamente.

Imagina que tienes tres en tu equipo, y uno de ellos está filtrando la información. Pues sin decir nada, marca el mismo documento con tres marcas diferentes usando Shaadow. Después, envíale el correo a cada uno de ellos de forma individual, y si se filtra el documento, súbelo y extrae la marca de agua. Saldrás de dudas sobre quién es el leaker. 

Figura 6: Contactar con Isabel Hernández, CEO de Shaadow

De todas formas, si quieres conocer más en detalle la tecnología, puedes hablar con Isabel Hernández Ruiz, CEO de Shaadow, que tiene su buzón público en MyPublicInbox. Ellos te pueden ayudar a utilizarlo en tu empresa o, si eres una empresa de ciberseguridad, a implementar Shaadow en esquemas de ciberinvestigación para que puedas capturar al leaker de una organización. 

¡Saludos Malignos!

Autor: Chema Alonso

Contactar con Chema Alonso

Wikileaks publica todos los documentos y correos electrónicos robados a SONY

Los 30.287 documentos de Word, Excel, CSV, PDF y presentaciones, más los 173.132 correos electrónicos, con sus correspondientes archivos adjuntos y, por supuesto, todo el contenido de archivos, mensajes de correos e incluso metadatos de los ficheros, han sido publicados por Wikileaks junto con una herramienta para que cualquier navegante pueda buscar por los términos que desee de forma rápida. Es decir, todo lo que le fue robado a SONY se ha puesto en la red a disposición pública.

Figura 1: Wikileaks publica todos los documentos y correos electrónicos robados a SONY

El buscador permite filtrar por tipos de documentos, y basta con seleccionar términos de interés para darse cuenta de la cantidad de información que el adversario, una vez estuvo dentro de la red de SONY Pictures llegó a tener en su poder. En este ejemplo, buscando simplemente por el término passwords salen un montón de archivos con datos.

Figura 2: Ficheros EXCEL de passwords

Y abriendo cualquiera de ellos se puede ver como en el contenido están los usuarios y las contraseñas, como ya se publicó tiempo atrás. En este caso, la lista de todas las contraseñas de redes sociales de todas las campañas de marketing y publicidad que estaba llevando SONY. El usuario y la password son las últimas dos columnas de la derecha.

Figura 3: Sección de un listado de cuentas con contraseñas (ya deshabilitadas)

Todos los documentos están intactos, y conservan sus metadatos, por lo que se puede hacer un análisis de los mismos utilizando herramientas como MetaShield Analyzer o FOCA. Esto hace que no solo haya que para reparar los datos haya eliminar toda la información que pudiera estar en el contenido de los ficheros, sino también en los metadatos, como direccionamientos de red, nombres de servidores, carpetas compartidas, etcétera, algo de lo que ya habíamos hablado después de la intrusión de HBGARY.

Figura 4: Análisis de metadatos de un documento filtrado de SONY

Como sabéis, el apuntado como ejecutor de esta intrusión fue el gobierno de Corea del Norte, que si abrió todos estos archivos bien podría haber sufrido un ataque de doxing involuntario si uno de estos documentos se conecta a casa a actualizar algún enlace, archivo o tabla de cualquiera de ellos. Recordemos que desde el gobierno de USA se dijo que había dejado el rastro de una dirección IP sin servidor Proxy.

Figura 5: Según el FBI fueron descuidados e hicieron una conexión con su dirección IP

Por último, además de los documentos, el mini-site que se ha creado para estos archivos cuenta también con los correos electrónicos, donde se puede buscar por cadenas de texto o nombres de adjuntos. Buscando por nombres de personalidades salen detalles personales y privados de todos ellos.

Figura 6: Correo electrónico sobre una recepción al presidente Obama

En definitiva, un archivo más que cae en Wikileaks de una gran empresa. Recordad que una vez más, el inicio de esta intrusión parece que fue un Spear Phishing para atacar una persona de la organización, así que es más que fundamental resaltar la importancia de fortificar todos los puntos de la organización, dando igual importancia al perímetro externo como al perímetro interno de la empresa.

Saludos Malignos!

Metadatos perdidos en archivos de MS Office perdidos

Las aplicaciones de Microsoft Office tienen una opción muy útil de generar una copia autoguardada del fichero con el que se está trabajando por si acaso se produce un error de la aplicación, poder recuperarse. Estos ficheros de autoguardado han ido cambiando con el tiempo, pero todos tienen dos características curiosas: Son en formato binario y conservan todos los metadatos.

Figura 1: Presentaciones PowerPoint en ficheros de autoguardado TMP

Los ficheros originales eran todos con extensión TMP, así que es muy habitual encontrar ficheros con extensión TMP que realmente sean reconocidos como documentos PPT, XLS o DOC. Cuando se busca con Google para hacer Hacking con buscadores, hay que tener en cuenta que con filetype:PPT no van a aparecer, así que hay que buscar esos documentos con extensión TMP.

Figura 2: Archivos EXCEL autoguardados en formato XAR

En el caso de Microsoft Excel, además de los archivos .TMP antiguos, está también el formato XAR. De nuevo se trata de un formato binario, y también conserva todos sus metadatos, información oculta y datos perdidos.

Figura 3: Archivos DOC autoguardados con formato ASD

En el caso de Microsoft Word, dependiendo de la versión que usemos vamos a encontrar ficheros con extensión .ASD o .WBK. No importa si estamos trabajando en Microsoft Office 2007 o superior con ficheros OOXML, en este caso los archivos son binarios también.

Figura 4: Archivos DOC autoguardados en formato WBK

Por supuesto, si bajamos uno de esos archivos y los subimos a la la FOCA Online, podremos ver cómo está lleno de sus metadatos, por lo que si estuviéramos haciendo una auditoría podrían venir de maravilla. Si queremos ver el documento, le cambiamos la extensión a .DOC (formato binario), para ver qué metadatos hay en él.

Figura 5: Análisis con FOCA Online de los metadatos de un archivo autoguardado

En definitiva, que si vas a buscar los metadatos, o hacer un análisis forense digital de los archivos de un sistema, acuérdate no solo de buscar las extensiones más comunes, y dale un vistazo a los TMP, XAR, ASD y WBK que puede que te den algún dato clave en la resolución del caso.

Saludos Malignos!

Limpiar metadatos en Microsoft Office 2011 para Mac

En la versión de Microsoft Office 2013 para Windows existe una opción muy útil para evitar problemas con metadatos, información oculta y datos perdidos. Esa opción, que se llama Inspeccionar Documento y está dentro del menú Preparar, avisa de absolutamente cualquier dato que pueda irse junto con tu documento, además de dar la posibilidad de eliminarlos con un solo clic.

Figura 1: Opción de Inspeccionar Documento en Microsoft Office 2007 para Windows

Por el contrario, en Microsoft Office 2011 para Mac ese menú no está disponible, y lo único que existe es una opción en las Preferencias / Seguridad de cada aplicación - en este caso Word - para que se eliminen los datos personales al guardar el documento.

Figura 2: Opciones de Privacidad en Microsoft Office 2011 para Mac

Al ver esto, rápidamente me acordé de que esta era exactamente la misma opción que había en OpenOffice.org y que tan mal funcionaba, razón por la que acabamos creando el proyecto Open Source de OOMetaExtractor para limpiar correctamente este tipo de documentos ODF.

Figura 3: OOMetaExctrator para limpiar metadatos en documentos ODF

Para probar el funcionamiento de esta opción en Microsoft Office 2011 para Mac decidí utilizar el famoso documento de Tony Blair que tantos quebraderos de cabeza le propinó por culpa de los metadatos. En esta primera imagen se puede ver el documento original Blair.doc analizado por MetaShield Forensics - la antigua Forensic FOCA - con sus respectivos metadatos, información oculta y datos perdidos.

Figura 4: Documento Blair.doc original analizado con MetaShield Forensics

Ahora se hace una copia de este documento, y se guarda con Microsoft Office para Mac 2011 con la opción de eliminar datos personales al guardar.

Figura 5: Guardamos con Microsoft Office 2011 para Mac para limpiar la información oculta

Y de nuevo volvemos a pasarlo por MetaShield Forensics donde se puede observar que no todos los metadatos han sido eliminados. Entre la lista de datos aparece - en este caso - la plantilla que se está utilizando, la versión de software con que se manipuló el documento, y la fecha de impresión original, que como veis es anterior a la fecha de creación del documento dejando una muestra clara de esta manipulación realizada.

Figura 6: Documento Blair.doc limpiado con Microsoft Office 2011 para Mac

Para comprobar como debería funcionar esta opción correctamente, en este tercer caso utilizamos MetaShield Client, una versión para los sistemas operativos Windows que permite eliminar todos los metadatos de cualquier documento ofimático (PDF, Microsoft Office binarios, OOXML, ODF, etcétera) utilizando las opciones del botón derecho.

Figura 7: Limpiando el documento Blair.doc con MetaShield Client

Una vez limpio con MetaShield Client, utilizamos la herramienta MetaShield Forensics para ver qué información aparece, y como podéis ver sale limpio como la patena.

Figura 8: Análisis de Blair.doc con MetaShield Forensics tras ser limpiado con MetaShield Client

Al final, los metadatos pueden revelar mucha información, y en cualquier Análisis Forense Digital pueden resultar cruciales para responder a algunas preguntas. En el caso de Microsoft Office 2011 para Mac no parece tener mucho sentido que estando esta opción de Inspeccionar documento de serie desde Microsoft Office 2007 para Windows, no la hayan incorporado para solucionar el problema de raíz también en sus versiones para Mac OS X.

Saludos Malignos!

La filtración del ERE del PSOE en La Razón y los metadatos que apuntan a la Ministra de Empleo del PP en El País

Nuevo escándalo político en que los metadatos juegan un papel importante, como ya pasó con anterioridad con el caso del dato del déficit de la Comunidad de Madrid, las facturas falsas del caso Gurtel que salpicó a Camps o el programa electoral del PP para salir de la crisis, por citar algunos de los ejemplos en los que los metadatos son protagonistas.

En esta ocasión la historia es un poco de Serie B, ya que la filtración comienza con un correo electrónico con un documento Microsoft Word adjunto, que la propia Ministra de Empleo Doña Fátima Báñez del Partido Popular, envía a un periodista de La Razón. No utiliza ninguna cuenta de correo extraña, sino la suya propia.

Figura 1: El correo electrónico enviado co el adjunto

El documento contiene los datos del ERE (Expediente de Regulación de Empleo) que el PSOE había presentado para despedir a algunos trabajadores. El periódico La Razón lo acaba publicando en portada junto con todos los detalles de los despidos, reducciones de jornadas y ajustes a realizar por el partido en la oposición.

No sabemos cómo, pero este correo electrónico cae en manos de El País que hace el exposed del correo electrónico y analiza los metadatos del fichero Microsoft Word, para saber quién fue el orgien de la filtración. En el campo autor aparece un núméro, que identifica a la persona que creo el fichero.

Figura 2: Los metadatos del adjunto con el autor

Ese número es un DNI (Documento Nacional de Identidad) que corresponde a Doña Nuria Paulina García, profesora universitaria, como se puede ver en la siguiente captura.

Figura 3: El DNI en el Boletín Oficial del Estado

Esta persona, es vocal-asesora de la Doña Fátima Bañez, y como tal aparece en el Directorio del Ministerio.

Figura 4: Doña Nuria Paulina en el organigrama del Ministerio de Empleo

Parece que a nuestros políticos no se le da bien trabajar con metadatos y a Doña Fátima Bañez especialmente las nuevas tecnologías, ya que  hay que recordar que esta misma Ministra protagonizó el famoso caso del iPad, el Twitter y mensaje del jueguito en pleno debate del "rescate" a los bancos.

Figura 5: El desafortunado twitt de la Ministra de Empleo en plena crisis

Como tiene entidad más que propia, paso a sumar esta historia como parte de mi colección de Ejemplos Ejemplares de la Importancia de los Metadatos.

Saludos Malignos!

A Flame le importan los metadatos

Estos días el revuelo mediático lo ha conseguido Flame, la "nueva" cyberweapon que recoge el testigo de la Aurora, Stuxnet o Duqu en el mundo de los Advanced Persistent Threats. Los análisis que se están haciendo de este software son muchos, y para estar informados os recomiendo leer los artículos de Sergio de Los Santos en una al día o de Luís Delgado en Security By Default, donde se explican muchos detalles de él.

Sin embargo, hay un artículo que publicaron ayer sobre un componente de Flame, en concreto msglu32.ocx, que "el hermano que nunca tuve" Yago Jesús me pasó desde su cuenta Twitter (@Yjesus), que se dedica a recolectar los metadatos de los documentos de la máquina infectada.

Como si fuera una Forensic FOCA, Flame realiza una búsqueda por todo el sistema de ficheros del equipo buscando documentos de Microsoft Office, PDF, Visio y archivos gráficos, recolectando los metadatos asociados a ellos, tales como fechas, autores, historial del documento, etcétera. 

De los archivos gráficos, el componente recolecta información EXIF relativa a coordenadas GPS para, según especulaciones sobre el tema, poder averiguar, más o menos, donde está localizado ese equipo. Supongo que realizando un cálculo junto con la dirección IP y la dirección MAC (por si estuviese esta geolocalizada también), pretenden tener mucha más información en concreto de una máquina.

Figura 1: Código de msglu32.ocx recolectando datos GPS

Yo creo que es la primera vez que veo un malware interesado en los metadatos y no en los documentos en sí. Por supuesto, una vez que está dentro de la máquina, llevarse ficheros es una de las opciones de Flame, pero el llevarse primero los metadatos es algo especial. Supongo que podrían elegir mejor qué ficheros llevarse, o aprovechar la información de los metadatos para tener más información de la red dónde está trabajando el equipo, o información táctica del entorno para preparar un ataque.

Desde luego, hay que reconocer que si se ha pensado en hacer un módulo especial para los metadatos, esta herramienta muestra que hay algunos detalles muy finos en los módulos de Flame. Veremos qué más sorpresas nos depara esta historia.

Saludos Malignos!

Hacking Remote Applications: Escaneando la red con Connection Strings en Excel (III de III)

**************************************************************************************************

- Escaneando la red con Connection Strings en Excel (I de III)

- Escaneando la red con Connection Strings en Excel (II de III)

- Escaneando la red con Connection Strings en Excel (III de III)
Autores: Juan Garrido "Silverhack" & Chema Alonso

**************************************************************************************************

Escaneo de puertos de servidores internos de la red

Uno de los trucos que utilizamos en la técnica de Connection String Parameter Pollution era el de mover el parametro Data Source de una cadena de conexión por los distintos puertos de un servidor para obtener distintos mensajes que nos permitiera detectar si allí había un puerto abierto TCP o no.

Ese mismo truco lo podemos aplicar desde Excel para descubrir las sorpresas de la DMZ. En este caso, en la cadena de conexión se puede ver que si intentamos conectarnos a un servidor por un puerto que está cerrado se va a obtener un mensaje de error que nos indica que hay un problema en la conexión.

Figura 11: Si abre el puerto 80000 le damos un premio

Si intentamos la conexión con un puerto de un servidor que lo tiene abierto, como en este ejemplo por el 80, pero en el que no se encuentra un servidor SQL Server, lo que obtenemos es un bonito mensaje que nos indica que allí no se encuentra el esperado servicio de bases de datos, pero que delata que está abierto.

Figura 12: El puerto 80 de este servidor

Así, con un poco de paciencia desde un Excel podríamos hacer un mapa completo de los servidores y puertos de la DMZ, y sin necesidad de usar VBA.

Navegando por la Intranet

La gracia es que si somos capaces de encontrar servidores internos que tengan servicios HTTP o FTP, seremos capaces de navegar por ellos usando el truco de "navegar sin navegador" que ya vimos anteriormente. Así, ya sea porque se puede consultar el Active Directory o simplemente escaneando las direcciones IP de la red, se descubren los servidores web internos.

Figura 13: Búsqueda de servidores IIS

Una vez descubiertos, solo tendríamos que ir a la opción de Abrir Archivo, y seleccionar esa URL, para navegar por la Intranet.

Figura 14: Navegando internamente por la Intranet

Ahora ya no solo podríamos escanear la DMZ, sino navegar por ella, y lo que es mejor, lanzar directamente los ataques SQLi desde el Excel o el Word que estemos usando en el servidor Terminal Services o Citrix. Incluso ver lo que hay en http://localhost/

Figura 15: Un IIS 7 en http://localhost/

Robar el hash del usuario de la conexión Citrix

Por supuesto, el último de los ataques es otro que también hacíamos en Connection String Pararameter Pollution: Dirigir el valor de Data Source hacia un servidor Rogue controlado por nosotros en el que activamos un sniffer para capturar los hashes de autenticación de la cuenta.

Esto nos permite saltar el problema de que el hash usado en la contraseñas de Citrix o RDP no pueda ser crackeado, ya que al hacer esta re-dirección obtendremos los hashes NTLM contra los que sí podremos lanzar ataques de diccionario o fuerza bruta.

Conclusiones

Las técnicas de ataque de las cadenas de conexión se pueden aplicar desde cualquier aplicativo que tenga un importador de datos y use los componentes estándar del sistema para conexiones ODBC, OLEDB, etc... hay que tener en cuenta que los drivers están cargados a nivel de sistema operativo, por lo que solo deberemos encontrar una aplicación que llame a estas librerías para poder hacer todas estas cosas.

**************************************************************************************************

- Escaneando la red con Connection Strings en Excel (I de III)

- Escaneando la red con Connection Strings en Excel (II de III)

- Escaneando la red con Connection Strings en Excel (III de III)

**************************************************************************************************

Cómo navegar sin navegador y saltándose los filtros de contenido para ver porno, fútbol y hasta El lado del mal

Podríamos tomar esta entrada como un anexo a la serie dedicada a Terminal Services, Citrix y Excel, pero he decidido darle un post propio porque me ha hecho mucha gracia esto de poder navegar por Internet sin navegador de Internet y cómo usar esto en un entorno de Terminal Services o Citrix con Excel para hacer cosas regularmente malitas.

Navegar desde MS Office

La historia radica en que desde los cuadros de diálogo de Windows es posible, en el nombre del archivo, utilizar una URL de Internet completa. Así, desde cualquier cuadro de dialogo, ya sea desde el bloc de notas, el Microsoft Excel o lo que tengas abierto en tu equipo, que haya invocado este componente de abrir que se ve en la figura siguiente puedes solicitar una URL de Internet.

Figura 1: Abriendo una URL de Internet desde el nombre de archivo

Esto, en el caso de Microsoft Office - y por supuesto nuestro querido Excel - en el que se puede seleccionar la opción de abrir documentos en formato página web, permite que se pueda navegar a cualquier URL, en este caso El lado del mal.

Figura 2: Leyendo El lado del mal desde Word

El primer uso que pensamos para esta opción era, por supuesto, meter en un Excel remoto ejecutándose en un Terminal Services o Citrix nuestro archivo Excel - o el de Didier Stevens - para hacer cosas buenas... y por supuesto funciona, pero además se da una curiosa circunstancia, y es que no pasa por Internet Explorer.

El filtro de control parental en Internet Explorer y MS Office

Supongamos un entorno en el que tenemos un servidor solo con Internet Explorer en el que, por motivos de seguridad, se ha decidido capar toda URL de conexión mediante el filtro de contenido del Control Parental, como se ve en la figura siguiente.

Figura 3: Sitio bloqueado en Internet Explorer

En esa situación no sería posible usar el navegador para ir a ningún sitio, pero navegando con Word o Excel, se puede visitar cualquier página, aunque esté activo el control parental. 

Figura 4: sitio bloqueado visitado desde MS Word

Por supuesto, si en tu empresa tienen filtrada la URL para que no sigas el fútbol en horario de un partido a nivel de firewall, siempre puedes buscar una máquina con Citrix o Términal Services que tenga encapsulado el tráfico a través de HTTP-s para poder conectarte desde ella y seguir, minuto a minuto como va el partido en el Santiago Beranabéu.

Saludos Malignos!