28 jul 2021

Clickbait o no, la odisea de saber cuánto debo invertir en ciberseguridad

Por el 28 jul 2021 con 1 comentario

Desde hace varios años, cuando empecé a cambiar el Burp por ecuaciones de 4 filas en Excel, comencé a entrar en debates algo más profundos sobre el por qué de ciertas cosas del sector. Una pregunta que siempre se suele repetir en mesas redondas, entrevistas con prensa o, simplemente, cuando visitas una empresa nueva, es la de "¿cuánto debo invertir en seguridad?". Que una Ibex35 invierta en ciberseguridad, es lo habitual. Si no, su negocio estaría perdido (y todo y con eso, muy a menudo sufren ciertos sustos). Pero... ¿y una PYME?

Antes de nada, me gustaría definir que es una PYME (en España), que es un concepto que no todo el mundo suele tener claro. De acuerdo al Anexo I del Reglamento (UE) nº 651/2014 de la Comisión, una PYME sería una empresa menor de 250 empleados o de 50 millones de euros de facturación. Dentro de las PYMEs, tendríamos 3 subdivisiones, las medianas (con más de 50 empleados y menos de 250, o más de 10 millones de euros de facturación y menos de 50 millones), las pequeñas (con más de 10 empleados y menos de 50, o más de 2 millones de facturación y menos de 10), y las micro (las que restan).

Vista la división del párrafo anterior, parece obvio que las PYMEs medianas y pequeñas deberían invertir en cyber porque se lo "pueden permitir", pero, opinión personal, nunca me han parecido acertadas las estrategias de invertir el X% de tu facturación en ciberseguridad, por poco que sea, dado que no podemos negar la evidencia de que la seguridad es un "gasto", y esto es algo que aprendes tras pegarte durante años con los departamentos de compras de infinidad de clientes. Hay que invertir, lo que haya que invertir. Entiendo su motivo, es una manera sencilla de categorizar y de recomendar algo que para muchos parece obvio, pero nos tiene que quedar claro el concepto de que la seguridad es una cuestión de confianza, y la seguridad debe implantarse cuando no tenemos confianza. ¿No confiamos en que nuestra aplicación sea robusta? Ponemos un WAF. ¿No confiamos en que nuestro servicio de correo frene el spam? Ponemos un antispam. ¿No confiamos en que nuestros desarrolladores programen sin generar brechas de seguridad? Establecemos un programa de auditorías periódicas. ¿No confiamos en que nuestra contraseña sea robusta? Desplegamos un 2FA. Cuestión de confianza. 

No todas las empresas nos dedicamos a lo mismo, y, por tanto, no todas tenemos las mismas necesidades de seguridad, ni tenemos por qué tener el mismo gasto.  Una PYME pequeña de unos 20 empleados que facture 1,5 millones de euros, y se dedique al comercio online, probablemente tenga que tener un buen ERP, un CRM, una aplicación fuerte y robusta para la venta online, una pasarela de pago, un buen WAF, un antispam top, etc. etc. Es decir, una parte importante de sus beneficios deberían ir dedicados a la calidad y seguridad de sus servicios, dado que es el core de su negocio. Sin embargo, Ibai Llanos, que también gana esos 1,5 millones de euros, probablemente le valga con tener su PC bastionado hasta los dientes con un buen antivirus, 2FA en todas sus cuentas, y en las de su mánager o agencia de marketing. ¿Veis por donde voy? Por mucho que las empresas tengan un "mismo tamaño" en lo que se refiere a nº de empleados o facturación, no tienen por que tener las mismas necesidad de seguridad, ni mucho menos tienen por qué realizar la misma inversión.

El Instituto Ponemon, que realiza muchos estudios de este tipo, sacó como conclusión en 2015 que las empresas invertían en ciberseguridad de media el 8,2% del presupuesto de TI. Así mismo, de acuerdo con otro estudio de IDG de 2020, las empresas españolas invirtieron el 4% de sus ventas en TI. Si hacemos una sencilla ecuación, obtenemos que el presupuesto cyber "medio" estaría en el 0,3% de la facturación, por lo que nuestros amigos Ibai y la PYME de comercio electrónico deberían invertir en ciberseguridad unos 45.000 € al año. Con estos números básicos, Ibai Llanos sería el influencer mejor protegido de Twitch :), pero la PYME de comercio probablemente sufra un leak más pronto que tarde...

¿Qué tenemos que hacer entonces? Pues lo que se lleva recomendando toda la vida, realizar un buen análisis de riesgos, identificar cuales son tus activos clave, localizar amenazas, riesgos y aplicar las mitigaciones que se estimen necesarias. ¿Necesito una ISO 27001 para ello? En absoluto. Si la implantas adecuadamente como mejora, te será de mucha ayuda dado que plasma el conocimiento de muchos profesionales en la materia y te dará una base sobre la que armar la seguridad global de la compañía. Pero si tu objetivo es implantarla por el mero cumplimiento (cumplo y miento), ahorratelo. Probablemente un nivel 1 de CIS Controls te dará una guía básica sobre como acometer esos primeros pasos en el camino hacia la ciberseguridad, con un trabajo que apenas te llevará una semana si eres una micropyme o una pyme pequeña. Y de esta primera revisión obtendrás un primer plan de acción que te permita calcular "cuánto" debes gastar para sentar una base mínima en seguridad.

No me enrollo más, simplemente quería dejaros esta reflexión/conclusión. No tratemos de buscar cifras mágicas que apliquen a cualquier negocio. Cada empresa necesitará gastar una cifra, y esta solo podrá ser calculada tras conocer sus necesidades y su situación actual.

Saludos!

Leer más

, ,

      editar

22 jul 2021

CVE-2021-36934: Microsoft no gana para disgustos (y nosotros tampoco)

Por el 22 jul 2021 con 0 comentarios

Muy buenas!

Después de un par de semanas con el revuelo del PrintNightmare (para los despistados, una vulnerabilidad que permitía ejecutar comandos como SYSTEM en Windows) este lunes nos fuimos a la cama viendo como el bueno de Benjamin Delpy (Kiwi o "el tío de Mimikatz" para los amigos) comunicaba una nueva vulnerabilidad grave que afecta a los sistemas Windows modernos: 10, Server e, incluso, el flamante nuevo Windows 11.


La vulnerabilidad realmente es simple: por alguna razón (¿despiste?), Microsoft ha cambiado las ACL de los ficheros SAM y SYSTEM para que puedan ser leídos por cualquier usuario del equipo, aunque no tenga privilegios de Administrador. Estos ficheros pueden ser utilizados para obtener los hashes NTLM de los usuarios locales del equipo y, de este modo, crackearlos para obtener las contraseñas en claro o usar directamente los hashes para autenticarte como otro usuario del equipo, como el administrador local del mismo, permitiendo una escalada de privilegios local de forma sencilla.

Tal vez a alguno le chirríe esto último: ¿autenticarte con el hash?¿Directamente, sin saber la contraseña? Sí, esto es lo que se denomina "pass-the-hash" y, aunque no tenga sentido ninguno... es algo antiguo, ampliamente conocido y que Microsoft, de momento, no va a cambiar ¯\_(ツ)_/¯

Volviendo a la vulnerabilidad, cualquier usuario tiene acceso de lectura a estos ficheros... pero no es tan trivial leerlos, porque están bloqueados por el Sistema Operativo. Sin embargo, aquí llega el segundo problema de esta vulnerabilidad: las Shadow Copies. Sin entrar en mucho detalle, esto es un servicio de Windows que crea instantáneas del equipo para recuperar en caso de desastre (los famosos puntos de restauración). El problema aquí es que la copia de seguridad de los ficheros SAM y SYSTEM sí puede ser leída con total normalidad y mantiene los ACL de los originales, lo que permite que cualquier usuario obtenga dichos ficheros de una forma totalmente trivial.

Para ver la criticidad de esta vulnerabilidad, en el siguiente vídeo de Kiwi podemos ver cómo la explota, cambiando la contraseña al usuario administrador local de la máquina aprovechando que puede leer la SAM y SYSTEM de la Shadow Copy sin tener privilegios de ningún tipo.


¿Y ahora qué?

Bien, lo primero que tenemos que hacer es asumir que somos vulnerables, ya que esto afecta a todos los Windows 10 a partir de la versión 1809. Este es uno de esos casos en el que actualizas y se lía (shame on you, Microsoft). Sin embargo, la solución es muy sencilla.

Si queremos confirmar que somos vulnerables, simplemente debemos lanzar el comando icacls C:\Windows\system32\config\SAM como administrador. Si aparece un resultado como el siguiente, tenemos el problema en casa:


Para arreglar esto, la solución propuesta por Microsoft en el CVE-2021-36934 es simple: arreglar manualmente las ACL a estos ficheros con el comando icacls %windir%\system32\config\*.* /inheritance:e (de nuevo, como adminstrador). En este caso, observaremos como los ficheros SAM y SYSTEM únicamente son accesibles por el grupo de Administradores.

Vale, llegados a este punto, la vulnerabilidad ha desaparecido... pero recordemos que lo más seguro es que tengamos una shadow copy con los ficheros SAM y SYSTEM del pasado, aún vulnerables.

Para confirmar que las shadow copies existen, usaremos el comando vssadmin list shadows (como administrador).


Como no sabemos en qué momento apareció la vulnerabilidad, siempre que sea posible, la mejor opción será borrar todas las shadow copies con el comando vssadmin delete shadows /for=c: /all.

Una vez hayamos borrado las shadow copies y arreglado las ACL de los ficheros SAM y SYSTEM, podremos volver a respirar tranquilos (y esperemos que durante cierto tiempo). Finalmente, podremos esperar a que se cree una nueva shadow copy o forzar su creación de forma manual a través de la herramienta de creación de puntos de restauración.


Saludos!!

Leer más

, ,

      editar

20 jul 2021

Ciberseguridad: El gran reto de la era digital

Por el 20 jul 2021 con 0 comentarios

El próximo día 22 de julio (jueves) a las 18.00 la Universidad Europea de Madrid realiza un evento sobre el reto que supone la ciberseguridad en la era digital. Tengo la suerte de estar presente en el evento, ya que llevaré el peso de las preguntas, junto a unos invitados de primer nivel. El próximo mes de septiembre tengo el honor de volver a la Dirección del Máster de Seguridad de las Tecnologías de la Información y las Comunicaciones. De 2018 a 2020 tuve la suerte de compartir Dirección y ahora en el curso 2021-2022 tengo la suerte de volver. 

¿Qué habrá en las mesas redondas? Habrá 3 mesas redondas con diferentes temáticas. 

Mesa 1: 18.00 a 18.40

El futuro de la ciberseguridad y el trabajo en el sector

Iván Sánchez (CISO de Sanitas en Europa y LatAm) 

Silvia Barrera

Daniel González Gutiérrez (Vicepresidente y Socio de Zerolynx) 

Pilar Vila (CEO en Forensic & Security y directora del Curso Online en Peritaje Informático) 

Juan Francisco Bolivar (Director, Head of Cybersecurity Operations and Cyber-Resilience en Radisson Hotel Group)


Mesa 2: 18:40 a 19:15

Ciberseguridad, una gran oportunidad de desarrollo para jóvenes

Santiago Hernández Ramos (ex-alumno. BBVA) 

Elías Grande (ex-alumno. BBVA) 

Álvaro Nuñez-Romero (ex-alumno. Telefónica Tech) 

Paula de la Hoz (Telefónica Tech)


Mesa 3: 19:15 a 19:40

Nuevas tendencias y plataformas: Youtube, Twitch y Ciberseguridad

Marcelo Vázquez (aka S4vitar)

Guillermo Obispo (Protapp)


Puedes contactar con los ponentes a través de MyPublicInbox.

Os esperamos en el evento el día 22 de julio a las 18.00.



Leer más

,

      editar

13 jul 2021

Participamos en el XXI Congreso Español sobre Sistemas Inteligentes de Transporte (#ITSES2021)

Por el 13 jul 2021 con 0 comentarios


Desde hoy, hasta el próximo jueves 15 de julio, en la Sala Retiro de IFEMA, tendrá lugar el XXI Congreso Español sobre Sistemas Inteligentes de Transporte (ITS). Durante estas tres jornadas se abordará el doble reto que se nos plantea para los próximos años: la aportación eficaz de los ITS en la consecución de las metas del Plan de Recuperación, Transformación y Resiliencia y la participación del Sector ITS en los importantes fondos para lograr el impulso que se requiere en este complicado momento. A través de diferentes conferencias y mesas de debate se presentará el tema desde diferentes ámbitos que prometen ser muy interesantes.

Desde Zerolynx tendremos la oportunidad de asistir al evento más importante del sector, a través de una relevante conferencia sobre la importancia de la ciberseguridad en la movilidad.

Actualmente, el aumento de conectividad en los vehículos inteligentes supone un grave problema para la sociedad, ya que ocasiona una mayor exposición ante ciberataques que puedan derivar de forma colateral en accidentes de tráfico o puedan alterar la circulación en las vías, aparte de afectar a la protección de los datos. Debido al peligro que supone un ciberataque y los graves efectos que puede causar en la sociedad, es necesario un exhaustivo diseño, implementación y evaluación de las medidas de ciberseguridad empleadas en los vehículos de nueva generación y sus sistemas de comunicaciones. Open Mobility Security Project tiene como objetivo ser el marco de trabajo de referencia que permita a fabricantes, proveedores y auditores evaluar la ciberseguridad de un sistema de movilidad conectado, siendo aplicable durante todas las fases del desarrollo de producto, facilitando así el cumplimiento normativo y la generación de evidencias que ello implica, de una forma ágil, sencilla y con gran trazabilidad, a través de un framework libre y abierto.

Nuestra presentación tendrá lugar mañana miércoles 14 de julio, durante el bloque “ITS para la Gestión de la movilidad”, el cual dará comienzo alrededor de las 17:15. No os la perdáis.

Leer más

, ,

      editar

9 jul 2021

Prevención y mitigación de ataques Ransomware

Por el 9 jul 2021 con 0 comentarios
Buenas! Hoy os traigo un post muy interesante para que podáis compartir con vuestras familias y amigos, compañeros y, en definitiva, con todos aquellos no tan habituados a tratar con la ciberseguridad diariamente como nosotros. Seguro que os ahorra alguna explicación que otra sobre el ransomware, por lo que recomendadles este artículo para que lo lean con calma y puedan aprender un poco más sobre este problema de actualidad. ¡No les asustéis demasiado!

Mucho texto, música de ambientación y.. acción.


¿Qué es un ransomware?

En un tipo de ataque realizado por ciber criminales que impide a los usuarios de la organización el acceso a sus archivos y por ende, a su sistema. Se caracterizan por exigir el pago de un rescate para poder "revertir" el ataque (normalmente, solicitado mediante pago vía criptomonedas, por su anonimidad). Comúnmente, realizan el cifrado de todos los datos de los equipos afectados pero, algunos además, roban y filtran los datos públicamente.

El 61% de las empresas sufrieron un ataque ransomware en 2020. Un 20% más que en 2019.

Nuestra recomendación siempre será NO REALIZAR EL PAGO BAJO NINGÚN CONCEPTO, ya que, de esta forma, promovemos el uso de este tipo de prácticas y no nos asegura que vayamos a revertir el estado de los archivos de nuestra organización.

Más del 52% de las empresas pagaron el rescate y solo el 66% de ellas, recuperaron sus datos. El 34% restante perdieron tanto el dinero, como todos sus datos.

Recientemente (y durante los últimos años) hemos visto el peligro y coste que suponen este tipo de ataques en organizaciones de cualquier tipo. Además de que muchos de los datos jamás podrán ser recuperados, puesto que el pago a los ciber criminales NO asegura para nada que vayan a revertir el estado de tus ficheros.

Los ataques ransomware son peligrosos además de por paralizar por completo la organización, por la facilidad con la que las organizaciones pueden ser infectadas.

Podéis leer estos desastrosos datos en la siguiente fuente: The state of email security report

¿Los ataques ransomware son peligrosos a pesar de tener una copia de seguridad de toda mi infraestructura?


Imagen de candado inútil

(Obviemos que esa copia de seguridad no es accesible desde la red interna de la empresa 😜)

Si, son peligrosos, puesto que el problema no es el ransomware sino que esto nos indica que la seguridad de la infraestructura y la formación de tus empleados en materia de ciberseguridad y prevención de ciberataques no está a la altura del cibermomento que vivimos. Hoy, será un ransomware, mañana, un leak de todos tus datos y pasado, los de tus clientes.

Las compañías que fueron atacadas con ransomware en 2020 perdieron una media de 6 días laborables de trabajo. Además, el 37% perdieron más de 7.

Además, es bastante improbable que exista una copia de seguridad completa de toda tu infraestructura y de tenerla, se perdería mucho tiempo en restaurar el estado anterior de todos los sistemas y podría conllevar una pérdida económica grave (esto, teniendo en cuenta que la copia de seguridad funcione, dado que en gran parte de los casos los backups nunca se prueban...).

Formación como método de prevención

Llegamos a un punto importantísimo y vital en este caso. Estos ataques, frecuentemente, comienzan a través de phishing, por ejemplo, vía correo electrónico y es por eso que los empleados son una parte fundamental en la prevención. Una correcta formación de la organización y todo su personal puede prevenir casi cualquier tipo de ataque satisfactorio a la compañía, puesto que son el primer punto de entrada de los ciberataques.

Actualizar, actualizar y actualizar 

Siempre hacemos hincapié en este punto, en la actualización del software utilizado en toda la compañía, además, del uso de software de calidad.

Los ataques con cualquier tipo de fin, aprovechan fallos publicados en internet del software que estemos utilizando en nuestra organización. De no tener nuestros sistemas y software actualizados, estaríamos poniendo en riesgo la integridad de los datos de toda la compañía (y de los clientes 😕), lo que podría conllevar pérdidas económicas y sanciones legales.


Las vulnerabilidades en software que aún no han sido parcheadas o revisadas son llamadas 0day.

Nuestra recomendación para la mejora de la prevención y mitigación de ataques ransomware

  • Actualizar la seguridad del correo electrónico de la organización.
  • Actualizar e inventariar cualquier tipo de software implementado en la organización.
  • Una correcta configuración de los servicios de email de la organización.
  • Uso de antivirus actualizado y de calidad.
  • Creación de múltiples copias de seguridad en diferentes ubicaciones y NO conectadas a la red empresarial, además, de pruebas periódicas de las mismas por parte del equipo técnico.
  • Implementar software de detección de vulnerabilidades.
  • Revisión de los posibles 0-day del software que utilizamos y notificar a los proveedores de dicho software para su corrección.
  • Contratar servicios de seguridad ofensiva, fortificación de los sistemas de información e inteligencia a empresas especializadas en este tipo de servicios.
  • Contratar servicios de formación en materia de ciberseguridad y prevención de ciberataques.
  • Procedimientos rigurosos de contraseña y autenticación de doble factor.
  • Contratar servicios de asesoramiento para la correcta implantación de la ciberseguridad en la organización.
Espero que sirva, al menos, como concienciación. 😄

¡Un cibersaludo!
Leer más

,

      editar

25 jun 2021

Salto de pértiga al UAC

Por el 25 jun 2021 con 0 comentarios

¡Muy buenas!

Este es mi primer post en este blog, y quería estrenarme en Flu Project hablando sobre las escaladas de privilegios, en concreto, me centraré en una escalada de privilegios basada en la técnica T1574.001 de MITRE ATT&CK. El objetivo que hoy expondré aquí es el de llegar a abrir una CMD con los privilegios de administrador, evadiendo el UAC del sistema.

Para ello, utilizaremos una técnica de DLL Hijacking, con la cual, cuando el sistema necesite utilizar la DLL en cuestión, utilizará la DLL que nosotros hemos preparado anteriormente con el código “malicioso” en su interior. Esto se produce porque muchos binarios y archivos de sistema no contienen una ruta absoluta hasta la DLL en cuestión.

Como aclaración, todo esto se realizó en las siguientes versiones de Windows 10:

  • 20H2 compilación de SO 19042. 1081
  • 21H1 compilación de SO 19043. 1052



Bien, como dijo John The Ripper, vamos por partes:

Primero, estando en el sistema víctima abrimos una consola de Powershell. Con la cual crearemos una carpeta donde alojaremos el binario a usar y su DLL. Para abrir la consola de comandos, podemos usar la combinación de teclas de Tecla Windows + R, la cual abrirá la ventana de ejecutar. Aquí pondremos la palabra powershell y le daremos a OK o Enter de nuestro teclado.


Cuando se nos haya abierto la consola, podemos probar a utilizar el comando: 

Whoami /priv

Con el cual podremos observar los privilegios que tenemos, los cuales deberían ser como se muestran en las imágenes, sin privilegios especiales.


Segundo, con nuestra consola ya abierta, vamos a crear la carpeta, para ello utilizaremos el siguiente comando.

cd .\Desktop\

New-Item Poc -ItemType Directory


Tercero, con la carpeta ya creada, necesitamos para este ejemplo el binario ComputerDefaults.exe de la carpeta System32. El cual, podemos copiar manualmente o desde consola como muestran las imágenes.

copy C:\Windows\System32\ComputerDefaults.exe "C:\Users\User\Desktop\Poc\ComputerDefaults.exe"


Con esto ya tenemos la mitad del trabajo hecho, ahora solo necesitamos una DLL que utilice este binario, en este caso utilizaremos profapi.dll. Podemos comprobar con el Process Monitor que ComputerDefaults.exe utiliza esta DLL.


La DLL está alojada en la misma ubicación que el binario, esto es lo que hace que funcione, el binario no lo busca únicamente en una ruta absoluta como sería lo correcto, si no que, primero lo busca donde el propio binario está ubicado. Bien, ahora vamos a crear una DLL y la vamos a llamar igual que la que requiere el binario. Para ello, podemos utilizar una plantilla que nos proporciona Windows:

https://docs.microsoft.com/en-us/windows/win32/dlls/dllmain.

Copiamos desde la palabra BOOL hasta el último símbolo de cierre de llave incluido, lo pegamos un archivo de texto nuevo, el cual llamaremos profapi.c


Cuarto, ahora necesitamos modificar el archivo profapi.c, para que cuando lo convirtamos en DLL realice la función que nosotros queremos. 


Con el archivo modificado y guardado, necesitamos descargar Visual Studio para poder compilar la DLL que hemos creado.

https://visualstudio.microsoft.com/


Cuando hayamos descargado e iniciado la instalación, primero hay que descargar los archivos necesarios y después se nos abrirá una ventana donde aparecerá lo que se va a instalar. Por seguridad, le daremos a Modify, el cual nos abrirá otra ventana donde podremos añadir qué paquetes extras queremos en la instalación. A nosotros nos interesan 2 en concreto:

.NET desktop development y Desktop development with C ++.



Con estos dos seleccionados podemos seguir con la instalación. Posteriormente sería recomendable reiniciar el equipo.

Quinto, con todo instalado y reiniciado el pc, necesitaremos abrir una consola que nos proporciona Visual Studio. Podemos utilizar el buscador que se encuentra la derecha del símbolo de Windows, incluimos la palabra Native y deberían de salirnos dos, en nuestro caso cogeremos el de x64.


Sexto, con nuestra consola x64 Native Tools abierta, iremos a la ubicación del archivo, para evitar problemas. Y ejecutaremos el siguiente comando:

cl /LD /TC /DUNICODE /D_UNICODE profapi.c

cl – El compilador.
/LD – Crear .DLL
/TC – Compilar todos los archivos como .C
/DUNICODE – Como Unicode todos los textos.
/D_UNICODE – Como Unicode todas las funciones.


Esto nos genera 2 archivos, pero solo nos interesa profapi.dll. Con nuestra DLL creada, solo tenemos que llevarla a la carpeta que hemos creado donde se encuentra el binario ComputerDefaults.exe.


Ahora solo tendremos que hacer doble clic en ComputerDefaults.exe y se nos abrirá una consola. Podremos observar que en el nombre de esta consola aparece la palabra Administrador. Aun así, para asegurarnos, haremos como al inicio de la práctica, utilizaremos el comando Whoami /priv
para ver si de verdad contiene privilegios administrativos.


NOTA: Se ha podido observar que si el UAC no es restrictivo no debería causar ningún problema.

Para finalizar, me gustaría agradecer esta práctica a un par de personas, en primer lugar, Eduardo Parra San José, pues gracias a él puedo estar hoy aquí exponiendo esta técnica la cual él me mostró con el mismo entusiasmo que intento reflejar aquí. Y en segundo lugar y no menos importante a mi compañero de trabajo y de Flu Project, Francisco Palma, el cual hace que todo esto sea posible con sus enseñanzas diarias y su gran paciencia. :)

¡Un saludo!

Leer más

, , , ,

      editar

18 jun 2021

Nuevo Windows 11: Una ventana al futuro

Por el 18 jun 2021 con 0 comentarios

Muy buenas a todos! Recientemente "se filtró" una ISO de la nueva versión del Sistema Operativo de Microsoft, más concretamente se trata de Windows 11 Build 21996.1, la cual podemos levantar en una máquina virtual como de costumbre. El proceso de instalación es similar al que ya conocemos: tenemos el famoso asistente de instalación y luego se nos presentará un renovado asistente de configuración que debemos completar eligiendo las diferentes opciones que se nos proponen, para elegir cómo queremos compartir nuestra información... 
Si bien seguramente hay muchas cosas que todavía restan por pulir antes que liberen la versión definitiva y más allá de algunos cambios visuales respecto a su antecesor, en esta oportunidad queremos evaluar algunos aspectos de seguridad. En particular nos centraremos en las credenciales de usuarios.

Nuestro primer paso es recurrir a las herramientas de la colección de Impacket. Para ello haremos uso de secretsdump desde un equipo conectado a la red para obtener los hashes NTLM de los usuarios locales. Hay que tener en cuenta que para realizar esta tarea se debe contar con credenciales válidas de un usuario con privilegios que tenga permisos sobre RPC en el equipo objetivo.


Obtenemos un volcado de la SAM desde un equipo en la red mediante secretsdump


Luego procedemos a realizar pruebas en local. Lo primero que haremos será desactivar el mecanismo principal de control, el Windows Defender. Las opciones para desactivarlo se mantienen sin cambios, tanto utilizando la interfaz gráfica, como comandos de PowerShell:

> Set-MpPreference -DisableRealtimeMonitoring $true

Luego procedemos a hacer uso de la herramienta mimikatz del gran gentilkiwi. Lo primero que detectamos es que podemos acceder a la SAM sin inconvenientes y de manera habitual.

Obtenemos la SAM localmente mediante mimikatz
 
La limitación aparece cuando queremos acceder a la información del proceso lsass para obtener las credenciales que están cargadas en memoria.

Intento fallido de obtener credenciales desde proceso lsass
 
Como alternativa, podemos realizar un volcado de la memoria del proceso desde el Task Manager, para eso lo iniciamos como administrador y generamos el fichero desde el menú contextual


Generando el volcado del proceso LSASS
 
 
Pero al cargar el fichero en mimikatz mediante minidump y tratar de acceder a la información, obtenemos el mismo mensaje de error.

Otro intento fallido...
 
 
Podríamos pensar que se encuentra activada la protección sobre lsass, por lo que procedemos a cargar el driver de mimikatz para desactivar esta característica. Si bien el driver se carga sin problema y se elude la protección, no logramos acceder a la información y obtenemos el mismo error. 

Intento luego de desbloquear protección con driver

Como dato extra, podemos ver que en el registro no se encuentra la clave RunAsPPL que establece que deben protegerse las credenciales cargadas en memoria.

Registro: HKLM\SYSTEM\CurrentControlSet\Control\Lsa

Probablemente se trata de problemas en el parseo, debido a cambios relativos a la nueva versión, esto ha ocurrido anteriormente al liberarse nuevas versiones del sistema operativo que obligan a adaptar la herramienta, podemos ver que en esta issue se menciona el problema.
 
Algo similar ocurre para los casos de lsassy y crackmapexec, ambos ejecutados desde una máquina remota conectada a la red.

Mensaje de error de signature tanto para lsassy como para CrackMapExec

En conclusión, podemos intuir que los métodos de gestión de credenciales no han sufrido cambios desde la anterior versión de Windows, tanto para los hashes en la SAM, como los que se mantienen en memoria en el proceso lsass.exe. Por el momento, no podemos hacer uso de mimikatz y otras herramientas para acceder a algunas credenciales, pero confiamos en los investigadores y desarrolladores para que puedan hacer los ajustes necesarios para que funcionen en esta nueva versión, tal como ha ocurrido con los distintos builds en ocasiones anteriores.
 
Saludos!!




Leer más

, ,

      editar

8 jun 2021

El 11 de junio celebraremos el Webinar gratuito: "Ciberseguridad en los eSports"

Por el 8 jun 2021 con 0 comentarios


El próximo 11 de junio a las 19:00h (España), tendremos el placer de organizar junto a la Federación Española de Jugadores de Videojuegos y eSports y el Consejo de la Juventud de España un webinar centrado en la ciberseguridad en los eSports. Será una mesa redonda de debate, en la que participaré junto a mi compañero Jesús Alcalde para responder las dudas de ciberseguridad del resto de miembros de la mesa, de forma abierta y cercana. Así mismo, cualquier internauta podrá preguntar a los miembros de la mesa sus dudas en la materia, y trataremos de resolverlas en directo, por lo que, ¡no os lo podéis perder! Nos encantaría que fuese un webinar dinámico, donde todos podáis participar, y por ello, FEJUVES ha puesto a vuestra disposición un formulario para que, durante esta semana, podáis enviar todas vuestras dudas y consultas sobre ciberseguridad en los eSports, para que puedan ser resueltas durante el webinar:

https://www.fejuves.es/el-11-de-junio-celebraremos-el-webinar-gratuito-ciberseguridad-en-los-esports/

Sin duda, las estafas en las compras de skins y demás contenidos digitales, los robos de cuentas de redes sociales o los ciberataques a servidores y demás dispositivos, ocuparán gran parte de las cuestiones, pero no dudéis en plantear cualquier inquietud sobre seguridad en el mundo de los videojuegos, los eSports o la generación de contenidos, y trataremos de darles respuesta con el mejor de los criterios posibles.

Finalmente, nos gustaría contaros que tendremos numerosas sorpresas en la mesa, con varias  incorporaciones muy interesantes e influyentes del sector, que iremos desvelando a lo largo de esta semana. 

¡Estad muy atentos a nuestras redes sociales!


Leer más

, , , , ,

      editar

2 jun 2021

¿Cómo proteger tu cuenta de Twitter? MyPublicInbox colabora con ESET en la creación de un asistente

Por el 2 jun 2021 con 0 comentarios

La configuración de la privacidad y de la seguridad en una red social puede ser, en algunos casos, un dolor de muelas para un usuario. Cada vez las redes sociales ofrecen mayores funcionalidades, así como mayores posibilidades tecnológicas. Debido a esto, es importante conocer las posibilidades de privacidad y seguridad que tienen éstas. Si nos centramos en Twitter podemos encontrar un gran número de opciones que permiten que podamos ser "encontrables" por nuestro email o teléfono, que podamos proporcionar nuestra localización, que podamos ser suplantables por no tener la verificación de la cuenta, disponer de un segundo factor de autenticación en la cuenta y un largo etcétera de situaciones y cosas.

En MyPublicInbox han creado un nuevo servicio, en colaboración con ESET, para que todos los usuarios de la plataforma puedan utilizarlo. Ya seas un perfil público o un contactado puedes acceder al servicio. La opción se encuentra en la parte superior derecha del sitio web, en la zona de tu perfil, y encontrarás la frase "Securiza tu Twitter". El wizzard para securizar Twitter tiene un coste de 100 tempos. El servicio dura un mes y se puede ejecutar las veces que se quiera. 

¿Cómo funciona?

Cuando se quiere utilizar el servicio se pide que se autorice a una app de MyPublicInbox. Esta app revisará diferentes aspectos relacionados con la privacidad y seguridad del usuario. Cuando pasan unos segundos y se verifican ciertas acciones, el resultado proporciona el nivel de seguridad de tu cuenta, en función de lo que el wizzard haya podido comprobar. 


El resultado tiene un aspecto informativo que ayuda a entender los riesgos que podemos tener en nuestra cuenta de Twitter. Lo interesante es que, además, el wizzard proporciona consejos, aparte de indicarnos que cosas deberíamos mejorar. En resumen, un sencillo wizzard que revisa las opciones de seguridad y privacidad y que permite a los usuarios entender las cosas que pueden mejorar para fortificar su cuenta, en este caso en Twitter. Seguramente, con el paso del tiempo, se encontrará en más redes sociales. Buena idea de la gente de MyPublicInbox.
Leer más
      editar

1 jun 2021

WLMS.exe: el amante de los reinicios

Por el 1 jun 2021 con 0 comentarios

 ¡Muy buenas a todos!

Hoy os venimos a hablar de WLMS, mejor conocido como Windows License Monitoring Service, el servicio de Windows que permite gestionar las licencias de evaluación de las ISOs proporcionadas por Microsoft en su repositorio oficial.

Fig 1: Si tienes este registro... te han tongado con tu Windows.

¿Cómo funciona WLMS?

WLMS es un servicio presente en los sistemas Windows de evaluación encargado de gestionar la validez de las licencias de prueba. Este servicio es el encargado de controlar que dicha licencia expire dentro de los plazos establecidos y, en caso de hacerlo, realiza determinadas acciones, como añadir un cartelito indicando que la licencia ha expirado o programar un reinicio del sistema automáticamente cada hora.

Fig 2: Si solo notificara esto, hasta sería gracioso.

Ahora bien, la limitación de funcionalidades o la aparición de carteles informativos no suelen ser problemas para este tipo de máquinas virtuales, ya que, normalmente, el principal uso de estos entornos suele ser la realización de tests y despliegues de prueba. Sin embargo, la aparición de un reinicio forzado cada hora... ¿es necesario?

Fig 3: ¿Licencia inactiva? Pues te reinicio.

¿Cómo evitamos los reinicios?

Aunque en la documentación de Microsoft WLMS no exista (o, al menos, nosotros no hemos sido capaces de localizarlo), existen varios artículos donde comentan cómo funciona y posibles maneras de parar su funcionamiento. Obviamente, la manera más sencilla es la más óptima: deshabilitar el servicio.

Para ello, tenemos que tener en consideración los siguientes puntos:

  • El servicio WLMS se ejecuta con integridad de SYSTEM, por lo que necesitaremos dicha integridad para modificar los permisos y las características del mismo.
  • El servicio está definido de tal manera que, cuando exista un fallo en su ejecución, el equipo se reiniciará automáticamente. 
  • Aunque el servicio se desactive, es probable que el equipo se reinicie solo una última vez. A partir de ese reinicio, no debería volver a reiniciarse solo.
Fig 4: El servicio "intocable".

¿Cómo cambiamos las características de este servicio?

Como hemos comentado, necesitamos integridad de SYSTEM para poder modificar las propiedades del servicio. Para conseguir dicha integridad, tenemos varios mecanismos (como se detalla en este post). Nosotros, optaremos por la versión cómoda: Process Hacker. 

Fig 5: Process Hacker + Run as: Cmd as System.

Mediante Process Hacker, podremos obtener una consola con integridad de SYSTEM y, desde ella, podremos abrir el proceso services.msc para modificar los permisos de WLMS.

Fig 6: Abrimos services.msc como System.

Una vez tengamos el servicio de WLMS abierto, podremos modificar sus propiedades: deshabilitar el servicio y, por si acaso, quitar las acciones en caso de fallo del servicio.

Fig 7: Configuración final del servicio tras su modificación.

Si todo ha ido bien, tras reiniciar nuestra máquina (o esperar a que se reinicie sola), nuestro equipo de pruebas no volverá a reiniciarse solo nunca más, aunque la licencia haya expirado.

Fig 8: Más de 1 hora encendida y sin licencia...

Para terminar, si por un casual tenéis un laboratorio de pruebas con un Directorio Activo desplegado y todas vuestras máquinas son de evaluación, podéis desplegar una GPO que deshabilite dicho servicio en todo el parque, facilitando el proceso y evitando el uso de programas externos como Process Hacker o PsExec.

Fig 9: GPO para deshabilitar el servicio.

Nota: con la GPO solo se deshabilita el servicio, no se cambian las propiedades del mismo en caso de fallo... aunque si el servicio no se ejecuta, no debería haber fallos de ejecución, ¿no?

Fig 10: Aunque yo lo cambiaría de todas formas...

Happy Juanking!

Leer más

      editar
>