18 jun 2021

Nuevo Windows 11: Una ventana al futuro

Por el 18 jun 2021 con 0 comentarios

Muy buenas a todos! Recientemente "se filtró" una ISO de la nueva versión del Sistema Operativo de Microsoft, más concretamente se trata de Windows 11 Build 21996.1, la cual podemos levantar en una máquina virtual como de costumbre. El proceso de instalación es similar al que ya conocemos: tenemos el famoso asistente de instalación y luego se nos presentará un renovado asistente de configuración que debemos completar eligiendo las diferentes opciones que se nos proponen, para elegir cómo queremos compartir nuestra información... 
Si bien seguramente hay muchas cosas que todavía restan por pulir antes que liberen la versión definitiva y más allá de algunos cambios visuales respecto a su antecesor, en esta oportunidad queremos evaluar algunos aspectos de seguridad. En particular nos centraremos en las credenciales de usuarios.

Nuestro primer paso es recurrir a las herramientas de la colección de Impacket. Para ello haremos uso de secretsdump desde un equipo conectado a la red para obtener los hashes NTLM de los usuarios locales. Hay que tener en cuenta que para realizar esta tarea se debe contar con credenciales válidas de un usuario con privilegios que tenga permisos sobre RPC en el equipo objetivo.


Obtenemos un volcado de la SAM desde un equipo en la red mediante secretsdump


Luego procedemos a realizar pruebas en local. Lo primero que haremos será desactivar el mecanismo principal de control, el Windows Defender. Las opciones para desactivarlo se mantienen sin cambios, tanto utilizando la interfaz gráfica, como comandos de PowerShell:

> Set-MpPreference -DisableRealtimeMonitoring $true

Luego procedemos a hacer uso de la herramienta mimikatz del gran gentilkiwi. Lo primero que detectamos es que podemos acceder a la SAM sin inconvenientes y de manera habitual.

Obtenemos la SAM localmente mediante mimikatz
 
La limitación aparece cuando queremos acceder a la información del proceso lsass para obtener las credenciales que están cargadas en memoria.

Intento fallido de obtener credenciales desde proceso lsass
 
Como alternativa, podemos realizar un volcado de la memoria del proceso desde el Task Manager, para eso lo iniciamos como administrador y generamos el fichero desde el menú contextual


Generando el volcado del proceso LSASS
 
 
Pero al cargar el fichero en mimikatz mediante minidump y tratar de acceder a la información, obtenemos el mismo mensaje de error.

Otro intento fallido...
 
 
Podríamos pensar que se encuentra activada la protección sobre lsass, por lo que procedemos a cargar el driver de mimikatz para desactivar esta característica. Si bien el driver se carga sin problema y se elude la protección, no logramos acceder a la información y obtenemos el mismo error. 

Intento luego de desbloquear protección con driver

Como dato extra, podemos ver que en el registro no se encuentra la clave RunAsPPL que establece que deben protegerse las credenciales cargadas en memoria.

Registro: HKLM\SYSTEM\CurrentControlSet\Control\Lsa

Probablemente se trata de problemas en el parseo, debido a cambios relativos a la nueva versión, esto ha ocurrido anteriormente al liberarse nuevas versiones del sistema operativo que obligan a adaptar la herramienta, podemos ver que en esta issue se menciona el problema.
 
Algo similar ocurre para los casos de lsassy y crackmapexec, ambos ejecutados desde una máquina remota conectada a la red.

Mensaje de error de signature tanto para lsassy como para CrackMapExec

En conclusión, podemos intuir que los métodos de gestión de credenciales no han sufrido cambios desde la anterior versión de Windows, tanto para los hashes en la SAM, como los que se mantienen en memoria en el proceso lsass.exe. Por el momento, no podemos hacer uso de mimikatz y otras herramientas para acceder a algunas credenciales, pero confiamos en los investigadores y desarrolladores para que puedan hacer los ajustes necesarios para que funcionen en esta nueva versión, tal como ha ocurrido con los distintos builds en ocasiones anteriores.
 
Saludos!!




Leer más
      editar

8 jun 2021

El 11 de junio celebraremos el Webinar gratuito: "Ciberseguridad en los eSports"

Por el 8 jun 2021 con 0 comentarios


El próximo 11 de junio a las 19:00h (España), tendremos el placer de organizar junto a la Federación Española de Jugadores de Videojuegos y eSports y el Consejo de la Juventud de España un webinar centrado en la ciberseguridad en los eSports. Será una mesa redonda de debate, en la que participaré junto a mi compañero Jesús Alcalde para responder las dudas de ciberseguridad del resto de miembros de la mesa, de forma abierta y cercana. Así mismo, cualquier internauta podrá preguntar a los miembros de la mesa sus dudas en la materia, y trataremos de resolverlas en directo, por lo que, ¡no os lo podéis perder! Nos encantaría que fuese un webinar dinámico, donde todos podáis participar, y por ello, FEJUVES ha puesto a vuestra disposición un formulario para que, durante esta semana, podáis enviar todas vuestras dudas y consultas sobre ciberseguridad en los eSports, para que puedan ser resueltas durante el webinar:

https://www.fejuves.es/el-11-de-junio-celebraremos-el-webinar-gratuito-ciberseguridad-en-los-esports/

Sin duda, las estafas en las compras de skins y demás contenidos digitales, los robos de cuentas de redes sociales o los ciberataques a servidores y demás dispositivos, ocuparán gran parte de las cuestiones, pero no dudéis en plantear cualquier inquietud sobre seguridad en el mundo de los videojuegos, los eSports o la generación de contenidos, y trataremos de darles respuesta con el mejor de los criterios posibles.

Finalmente, nos gustaría contaros que tendremos numerosas sorpresas en la mesa, con varias  incorporaciones muy interesantes e influyentes del sector, que iremos desvelando a lo largo de esta semana. 

¡Estad muy atentos a nuestras redes sociales!


Leer más
      editar

2 jun 2021

¿Cómo proteger tu cuenta de Twitter? MyPublicInbox colabora con ESET en la creación de un asistente

Por el 2 jun 2021 con 0 comentarios

La configuración de la privacidad y de la seguridad en una red social puede ser, en algunos casos, un dolor de muelas para un usuario. Cada vez las redes sociales ofrecen mayores funcionalidades, así como mayores posibilidades tecnológicas. Debido a esto, es importante conocer las posibilidades de privacidad y seguridad que tienen éstas. Si nos centramos en Twitter podemos encontrar un gran número de opciones que permiten que podamos ser "encontrables" por nuestro email o teléfono, que podamos proporcionar nuestra localización, que podamos ser suplantables por no tener la verificación de la cuenta, disponer de un segundo factor de autenticación en la cuenta y un largo etcétera de situaciones y cosas.

En MyPublicInbox han creado un nuevo servicio, en colaboración con ESET, para que todos los usuarios de la plataforma puedan utilizarlo. Ya seas un perfil público o un contactado puedes acceder al servicio. La opción se encuentra en la parte superior derecha del sitio web, en la zona de tu perfil, y encontrarás la frase "Securiza tu Twitter". El wizzard para securizar Twitter tiene un coste de 100 tempos. El servicio dura un mes y se puede ejecutar las veces que se quiera. 

¿Cómo funciona?

Cuando se quiere utilizar el servicio se pide que se autorice a una app de MyPublicInbox. Esta app revisará diferentes aspectos relacionados con la privacidad y seguridad del usuario. Cuando pasan unos segundos y se verifican ciertas acciones, el resultado proporciona el nivel de seguridad de tu cuenta, en función de lo que el wizzard haya podido comprobar. 


El resultado tiene un aspecto informativo que ayuda a entender los riesgos que podemos tener en nuestra cuenta de Twitter. Lo interesante es que, además, el wizzard proporciona consejos, aparte de indicarnos que cosas deberíamos mejorar. En resumen, un sencillo wizzard que revisa las opciones de seguridad y privacidad y que permite a los usuarios entender las cosas que pueden mejorar para fortificar su cuenta, en este caso en Twitter. Seguramente, con el paso del tiempo, se encontrará en más redes sociales. Buena idea de la gente de MyPublicInbox.
Leer más
      editar

1 jun 2021

WLMS.exe: el amante de los reinicios

Por el 1 jun 2021 con 0 comentarios

 ¡Muy buenas a todos!

Hoy os venimos a hablar de WLMS, mejor conocido como Windows License Monitoring Service, el servicio de Windows que permite gestionar las licencias de evaluación de las ISOs proporcionadas por Microsoft en su repositorio oficial.

Fig 1: Si tienes este registro... te han tongado con tu Windows.

¿Cómo funciona WLMS?

WLMS es un servicio presente en los sistemas Windows de evaluación encargado de gestionar la validez de las licencias de prueba. Este servicio es el encargado de controlar que dicha licencia expire dentro de los plazos establecidos y, en caso de hacerlo, realiza determinadas acciones, como añadir un cartelito indicando que la licencia ha expirado o programar un reinicio del sistema automáticamente cada hora.

Fig 2: Si solo notificara esto, hasta sería gracioso.

Ahora bien, la limitación de funcionalidades o la aparición de carteles informativos no suelen ser problemas para este tipo de máquinas virtuales, ya que, normalmente, el principal uso de estos entornos suele ser la realización de tests y despliegues de prueba. Sin embargo, la aparición de un reinicio forzado cada hora... ¿es necesario?

Fig 3: ¿Licencia inactiva? Pues te reinicio.

¿Cómo evitamos los reinicios?

Aunque en la documentación de Microsoft WLMS no exista (o, al menos, nosotros no hemos sido capaces de localizarlo), existen varios artículos donde comentan cómo funciona y posibles maneras de parar su funcionamiento. Obviamente, la manera más sencilla es la más óptima: deshabilitar el servicio.

Para ello, tenemos que tener en consideración los siguientes puntos:

  • El servicio WLMS se ejecuta con integridad de SYSTEM, por lo que necesitaremos dicha integridad para modificar los permisos y las características del mismo.
  • El servicio está definido de tal manera que, cuando exista un fallo en su ejecución, el equipo se reiniciará automáticamente. 
  • Aunque el servicio se desactive, es probable que el equipo se reinicie solo una última vez. A partir de ese reinicio, no debería volver a reiniciarse solo.
Fig 4: El servicio "intocable".

¿Cómo cambiamos las características de este servicio?

Como hemos comentado, necesitamos integridad de SYSTEM para poder modificar las propiedades del servicio. Para conseguir dicha integridad, tenemos varios mecanismos (como se detalla en este post). Nosotros, optaremos por la versión cómoda: Process Hacker. 

Fig 5: Process Hacker + Run as: Cmd as System.

Mediante Process Hacker, podremos obtener una consola con integridad de SYSTEM y, desde ella, podremos abrir el proceso services.msc para modificar los permisos de WLMS.

Fig 6: Abrimos services.msc como System.

Una vez tengamos el servicio de WLMS abierto, podremos modificar sus propiedades: deshabilitar el servicio y, por si acaso, quitar las acciones en caso de fallo del servicio.

Fig 7: Configuración final del servicio tras su modificación.

Si todo ha ido bien, tras reiniciar nuestra máquina (o esperar a que se reinicie sola), nuestro equipo de pruebas no volverá a reiniciarse solo nunca más, aunque la licencia haya expirado.

Fig 8: Más de 1 hora encendida y sin licencia...

Para terminar, si por un casual tenéis un laboratorio de pruebas con un Directorio Activo desplegado y todas vuestras máquinas son de evaluación, podéis desplegar una GPO que deshabilite dicho servicio en todo el parque, facilitando el proceso y evitando el uso de programas externos como Process Hacker o PsExec.

Fig 9: GPO para deshabilitar el servicio.

Nota: con la GPO solo se deshabilita el servicio, no se cambian las propiedades del mismo en caso de fallo... aunque si el servicio no se ejecuta, no debería haber fallos de ejecución, ¿no?

Fig 10: Aunque yo lo cambiaría de todas formas...

Happy Juanking!

Leer más
      editar
< >