UEM: VII Jornadas sobre Ciberamenazas y Ciberdefensa

El próximo 24 de Septiembre tendrá lugar en la Universidad Europea de Madrid el acto correspondiente a las VII Jorandas de Ciberamenazas y Ciberdefensa, que anualmente recoge las opiniones y el debate sobre temas de actualidad en esta temática. Este año, la temática que centrará el acto es Ciberseguridad y Cloud Computing y cuenta con una agenda de lujo.

Figura 1: VII Jornadas sobre Ciberamenazas y Ciberdefensa

Entre los ponentes se encentra Héctor Sánchez Montenegro (@hectorsm), National Technology Officer  de Microsoft, Enrique Lopiz de Amazon que hablará de la seguridad en los entornos de AWS, Javier Cabanillas ingeniero de soluciones de Google for Work y Moises Navarro de VMWare. Este panel promete generar mucho debate sobre los entornos Cloud Computing que las empresas tecnológicas como Microsoft, VMWare, Google o Amazon ofrecen a las empresas españolas.

Figura 2: Sesión sobre Seguridad y Privacidad en Cloud

Después la sesión cuenta con un panel orientado a las ciberamenazas y los riesgos dentro de la estrategia de seguridad nacional, donde estarán Cristina Sirera, Pau Escobosa y Alejandro Ramos (@aramosf),  que dará una charla dedicada al anonimato y las técnicas de vigilancia.

Figura 3: Sesión sobre Ciberseguridad Nacional

Todo el acto tendrá lugar en la Universidad Europea de Madrid, concretamente en el Auditorio del Edificio B del Campus de Villaviciosa de Odón, que se encuentra en la C/ Tajo, s/n. Yo, ahora que he decidido tomarme un parón y he cancelado alguna cosa, aprovecharé para estar allí y disfrutar de la sesión y darle un poco de "caña" a algún amigo }:). Para asistir es necesario enviar un correo electrónico a Victoria Pascual, del área de coordinación académica (victoria.pascual@uem.es).

Figura 4: Curso de Informática Forense de The Security Sentinel

Por otro lado, os dejo información también referente al Curso de Informática Forense que se va a impartir Online a través de The Security Sentinel comenzando el próximo 28 de Septiembre y en el que se entrega el libro de 0xWord de "Máxima Seguridad en Windows".

Saludos Malignos!

VENOM: Un bug en entornos virtuales para llegar al host

El nuevo nombre molón para un bug es VENOM, acrónimo que viene de Virtual Environment Neglected Operations Manipulation que me ha sonado a como nosotros construimos FOCA, que venía de Fingerprinting Organizations with Collected Archives. En este caso, el bug está en el software de gestión de los floppy disks (sí, de disquetes) que utilizan los principales hypervisores de máquinas virtuales.

Figura 1: Venom vulnerability

El bug en sí es muy peligroso en su concepto, ya que permite que el dueño de una máquina virtual pase a poder ejecutar código en la máquina host anfitriona y de ahí pasar, por ejemplo a otras partes de la red. El gráfico que se publica en la página web que se ha creado para recoger la información de VENOM lo explica muy bien.

Figura 2: Riesgo de explotación de VENOM en una organización vulnerable

El software afectado por esta vulnerabilidad, que se le ha dado el CVE-2015-3456 es el Virtual Floppy Disk Controller (FDC) de QEMU, que está presente en las plataformas de XEN Project, en KVM de RedHat y en el software de Citrix. Hay que recalcar que ni VMWare ni Microsoft Hyper-V se ven afectados por este fallo.

Amazon Web Services y VENOM

Existen muchas plataformas de nube pública y nube privada que se ven afectadas por este bug, e incluso Amazon ha tenido que explicar las medidas para su plataforma de cloud, pero por ahora no se ha filtrado el exploit y parece que nadie ha visto una explotación del vulnerabilidad en ningún sistema por ahora. Según un portavoz de Amazon:

"Customer security is our top priority, and AWS takes extraordinary 'defense in depth' measures in constructing systems that do not rely solely upon any single component, such as the hypervisor, to protect customers."

Para evitar que este tipo de bugs puedan afectar a redes virtuales en sistemas de misión crítica o de alta seguridad, existen soluciones de hardening de redes que virtualizan y cifran todos los contenedores, evitando que un fallo en uno de estos sistemas permita al escalada hacia hosts anfitriones u otras partes de la red, que probablemente sean las medidas de contención y defensa en profundidad que desde Amazon argumentan.

Saludos Malignos!

Analizando hosts Windows y *NIX* con SNMP (1 de 2)

En esta tercera entrega sobre Shodan y SNMP [Administrando el mundo con agentes SNMP y Descubrir la red de una empresa con consultas SNMP] estuve jugando un poco con los agentes que se instalan en los hosts. Estos pueden ser sistemas empotrados, servidores e incluso teléfonos móviles, lo que puede permitir extraer información del sistema detallada del equipo y el software instalado en ellos.

Para encontrarlos, basta con seleccionar búsquedas en Shodan por el puerto 161 (SNMP) y buscar una cadena con el nombre del sistema operativo. Después, configurar el cliente SNMP - yo usé MIB Browser - para realizar las consultas con la versión SNMPv2, que no está autenticada y es pública, y conectarse al sistema para lanzar queries SNMP que extraigan información del host. 

Figura 1: Consultas SNMP relativas al hosts

Encontrar agentes SNMP instalados en sistemas Microsoft Windows es mucho más común de lo que se puede pensar. El problema es que muchas empresas tienen sistemas Microsoft con agentes SNMP desplegados que soportan consultas SNMPv2 públicas, y cuando estos equipos se conectan a Internet sin un firewall por delante desde otra ubicación que no es la red de la empresa quedan expuestos. 

El siguiente ejemplo muestra un Windows 2000 en un sistema Huawei, que tiene como curiosidad que en la información SNMP del sistema se puede leer el número de teléfono de la compañía. La información del equipos es un sub-árbol que cuelga de System.

Figura 2: Equipo con Windows NT 5.0

Eligiendo la versión del sistema concreta, también salen Windows 6.0 - Windows Vista o Windows Server 2008 - y Windows 6.1 - Windows 7 o Windows Server 2008 R2 -. En el siguiente ejemplo se puede ver un Windows 7, ya que en el nombre aparece el nombre de la máquina terminado con -PC.

Figura 3 - Equipo con Windows 7

Me ha llamado más atención encontrar equipos Windows CE de terminales móviles, administrados probablemente por SNMP usando algún System Center, en los que se puede extraer mucha info. En la imagen siguiente, accediendo a la información del sistema aparece el nombre del terminal.

Figura 4: Equipo con WIndows CE 5.0

De estos sistemas, consultado las tablas de información de host se pueden sacar cosas bastante curiosas, como por ejemplo el almacenamiento del sistema en la tabla hrDiskStorageTable.

Figura 5: Información de almacenamiento de un Windows CE

También es posible consultar los dispositivos conectados al terminal del teléfono en la tabla hrDeviceTable.

Figura 6: Información en hrDeviceTable

Si el equipo es más potente, se pueden obtener muchos más datos, como por ejemplo este servidor Intel con VMWare, en el que aparecen todos los microprocesadores y sus velocidades.

Figura 7: Información de hrDeviceTable de un servidor Intel con VMWare

Lo más curioso es que entre las tablas que pueden ser consultadas están las relativas al software que está en ejecución en un sistema, dentro de la tabla SNMP hrSWRunTable.

Figura 8: Procesos en ejecución en un Windows CE

En la siguiente parte de este artículo os mostraré más datos de lo que se puede consultar con SNMP en  algunos otros sistemas Linux y UNIX que también salen cosas muy peculiares.

Saludos Malignos!

***************************************************************************************************
- Analizando hosts Windows y *NIX* con SNMP (1 de 2) 

- Analizando hosts Windows y *NIX* con SNMP (2 de 2) 

***************************************************************************************************