ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
ElevenPaths Los mejores webinars de 2019 por ElevenPaths Aprende sobre las últimas tendencias en ciberseguridad y herramientas con nuestros expertos.
ElevenPaths La Alianza Global de Seguridad refuerza sus capacidades con la compartición de inteligencia de amenazas Telefónica, AT&T y Singtel aumentan sus esfuerzos para mejorar aún más la capacidad de detectar y eliminar las amenazas del entorno de los clientes.
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Yaiza Rubio Qué hemos presentado en el Security Innovation Day 2018: Stela FileTrack, el control de la información sensible (IV) En este post hablaremos de la parte centrada en el nuevo producto estrella de la Unidad de Ciberseguridad de Telefónica, Stela FileTrack. Rames Sarwat, VP de Alianzas Estratégicas en ElevenPaths,...
ElevenPaths Limitando el ámbito de uso de nuestros secretos en Latch con “Limited Secrets” Cuando creamos como desarrollador una aplicación de Latch, ésta nos proporciona un identificador de aplicación (appId) y un secreto. Éste par de claves nos permiten firmar las peticiones realizadas a...
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
ElevenPaths ElevenPaths Radio 2×09 – Entrevista a David Marugán ¿Qué es el radio hacking y para qué se utiliza? Nos lo cuenta en este episodio David Marugán, consultor de seguridad y especialista en radiocomunicaciones.
ElevenPaths ElevenPaths Radio #8 – Incidente de seguridad, primeros pasos Los ataques informáticos son cada vez más frecuentes, afectando desde las grandes corporaciones, gobiernos y también a las pequeñas empresas. Lo más importante es saber cómo actuar ente un...
Un recorrido por el “metasploit” de la NSA y sus exploits para WindowsElevenPaths 24 abril, 2017 En estos días, una de las noticias que ha generado mucho movimiento en la comunidad de seguridad ha sido la nueva publicación de TheShadowBrokers relacionada con el hackeo que originalmente habría sido realizado a la NSA alrededor de 2013. Esta vez, han compartido en un repositorio de GitHub una gran cantidad de datos que demuestran que la NSA tiene (¿tiene?) acceso a diversas entidades bancarias y financieras y al servicio SWIFT, como así también parte del “arsenal” de herramientas y exploits pertenecientes a dicha entidad, que afectan a diversas plataformas. Resulta interesante ver la confianza en la efectividad de las herramientas que se refleja en los comentarios de la detallada documentación que poseen, sugiriendo, por ejemplo, que “tomemos una cerveza” para festejar el éxito En nuestro laboratorio hemos comenzado por probar una de las herramientas más interesantes de las que se han publicado, (Fuzzbunch, algo así como el “Metasploit” de la NSA), junto con aquellos exploits dirigidos a diferentes versiones de Microsoft Windows cliente y servidor. En Fuzzbunch, la sintaxis de uso y sus respectivos parámetros se asemejan mucho al conocido Metasploit. Sin embargo, la versión de Fuzzbunch publicada en esta filtración es antigua y se desconoce si existe una más actualizada. Puede ser ejecutada únicamente en sistemas de 32bits, está desarrollada en Python 2.6 y también depende de versiones antiguas de la librería PyWin32 (a efectos prácticos de las pruebas, esto último nos obliga a disponer de al menos un Windows XP x32 donde instalaremos Python 2.6 y la versión v2.12 de PyWin32). Fuzzbunch es sin duda una herramienta interesante porque los exploits del leak dependen de su funcionamiento, y como es de esperar, no funciona tan solo haciendo lo antes mencionado y llamando al script. Debemos realizar algunas pequeñas modificaciones sobre el script principal llamado “fb.py” y sobre el archivo “Fuzzbunch.xml”. En el caso de “fb.py” se debe comentar la línea 72 tal como se ve puede apreciar en la imagen siguiente con el fin de evitar un error que arroja el script al intentar cargar el directorio “ListeningPost” que no se encuentra disponible dentro del código filtrado. En el caso de “Fuzzbunch.xml” se deben modificar las líneas 19 y 24, ya que poseen rutas hardcodeadas que en nuestro sistema no existen, por lo que debemos actualizarlas con otras que sí existan en nuestro sistema, como se puede ver en la Imagen 4. Con esos pequeños cambios, ya es posible ejecutar y tener funcional en nuestro Windows XP, la versión de Fuzzbunch publicada. De aquí en adelante, podemos jugar un poco con la herramienta sabiendo que la parte más interesante, al igual que en Metasploit, es encontrar el exploit ideal para ejecutar contra las víctimas. Dentro de los exploits disponibles para Windows en este leak, los más relevantes y sobre los que más se hablan en estos días, son aquellos pertenecientes a la serie “ETERNAL”, particularmente “ETERNALBLUE” que ofrece una shell sin necesidad de interacción con el usuario afectado ni de credenciales válidas (condiciones ideales para un Remote Code Execution), contra Windows 7 y Windows Server 2008. El efecto es muy similar al conseguido con el famoso exploit de MS08-067 para Windows XP y que cada cierto tiempo se sigue encontrando (increíblemente). En este sentido, hemos sido los primeros en publicar en el famoso sitio exploit-db un “whitepaper” que explica paso a paso cómo puedes utilizarlo desde Fuzzbunch (versión en español aquí y versión en inglés aquí). Además, del resto de los exploits disponibles al día de hoy para utilizarse en Fuzzbunch, hemos creado una pequeña tabla en base a nuestras pruebas de laboratorio sobre aquellos que afectan a las diferentes versiones Microsoft Windows: Por otro lado, como se puede observar en el archivo readme que se encuentra en el repositorio de GitHub del leak, la mayoría de los exploits que se han publicado para Windows afectan a diferentes versiones de SMB y por eso, para explotarlos por lo general será necesario interactuar con el puerto 445 (RPC y SMB a través de TCP/IP) en el sistema operativo. Algo muy útil en redes internas, y quizás no tan complejo como pensamos en la red abierta. Para tener una idea de la cantidad de equipos que exponen el puerto 445 a Internet (de los cuales muchos de ellos son Windows) podemos hacer una simple búsqueda en Shodan: Obviamente no todos los equipos publicados son vulnerables. Además Microsoft ha publicado ya parches con el fin de mitigar las vulnerabilidades que aprovechan estos exploits. Pero si muchos pentesters (y atacantes) seguían aprovechando MS08-067 en 2017… ¿Cuánto tiempo podrán disfrutar todavía de ENTERNALBLUE? La NSA disponía de estas herramientas desde hace tiempo (por fechas de los archivos, probablemente al menos desde 2011) y aún nos queda mucho por delante para seguir estudiando el resto de las herramientas y exploits liberados actualmente porque, y por lo que aparenta, se van a liberar más en el futuro. Innovación y laboratorio Claudio Caracciolo claudio.caracciolo@11paths.com Coordinador del equipo de CSA y Oficina Argentina @holesec Sheila Berta sheila.berta@11paths.com @unapibageek Los bugs de un smart contract podrían arruinar tu apuesta del próximo Real Madrid-BarcelonaCuando la nube está muy lejos
ElevenPaths Boletín semanal de ciberseguridad 16-22 enero Actualización del compromiso de SolarWinds Se han dado a conocer nuevos detalles acerca del compromiso a la cadena de suministro de software desvelado en diciembre: Los investigadores de FireEye han publicado...
Diego Samuel Espitia Detectando los indicadores de un ataque En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de...
Amador Aparicio CVE 2020-35710 o cómo tu RAS Gateway Secure revela el espacio de direccionamiento interno de tu organización Parallels RAS (Remote Application Server), es una solución de entrega de aplicaciones e infraestructura de escritorio virtual (VDI) que permite a empleados y clientes de una organización acceder y...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
ElevenPaths ElevenPaths Radio 3×07 – Entrevista a Mercè Molist ¿Conoces la historia del hacking en España? Primero debemos conocer su ética, su forma de vida y de pensamiento, su cultura… Para hablar sobre hackers y hacking en España, tenemos...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
