Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths ElevenPaths Talks: Fog / Edge / Cloudlet Computing ¡Ver el talk aquí! Hoy a las 15:30h (CET) no te pierdas este webinar en el que analizaremos el destino de los términos Fog, Edge o Cloudlet computing en el...
Área de Innovación y Laboratorio de ElevenPaths Nueva investigación: “ML based analysis and classification of Android malware signatures”, en la revista Future Generation Computer Systems La detección basada en firmas de los antivirus hace tiempo que quedó relegada a un segundo plano para dar paso a nuevas soluciones que puedan superar (o al menos,...
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Internet se ha roto, otra vez (y II ) Poco se puede aportar ya al fallo de implementación criptográfica Heartbleed (en Eleven Paths ya tenemos disponibles plugins para FOCA y Faast). Se trata de un grave problema que tendrá (y es...
Gonzalo Álvarez Marañón El gran reto de la computación segura en la nube: usando datos cifrados sin descifrarlos (I) Tomás dirige una asesoría fiscal y lleva la contabilidad de docenas de clientes. Almacena toda la información de sus clientes en la nube, de esta manera, se olvida de...
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 5-11 de septiembre Boletín de actualizaciones de Microsoft Microsoft publicó el martes su boletín de actualizaciones correspondiente al mes de septiembre. En este nuevo boletín se han corregido un total de 129 vulnerabilidades...
Diego Samuel Espitia GandCrab: historia del ransomware de principio a fin Fue en enero de 2018 cuando se detectaron las primeras muestras de un Ransomware-as-a-Service (RaaS), que llamaron GrandCrab. No solo fue uno de los primeros en ser ofrecido como...
Zerologon, ¡parchea o muere!Nacho Brihuega 1 octubre, 2020 Zerologon. Si te dedicas al mundo IT y no aún no has escuchado este nombre, preocúpate y sigue leyendo. Zerologon es, posiblemente, la vulnerabilidad de este año tan “especial” y seguramente de los últimos. Es una de esas vulnerabilidades que no deja indiferente a nadie. Antes de nada, ¿es crítica la vulnerabilidad? Sí, sí y mil veces sí. Personalmente diría que es la vulnerabilidad más crítica que he conocido desde que entré en este mundo de la ciberseguridad. Comencemos por el principio: Zerologon (CVE-2020-1472) fue descubierto por la empresa Secura en agosto de 2020, el cual fue reportado a Microsoft, quien le asignó un CVSS de 10.0 (sobre 10, la mayor criticidad posible). Posteriormente, el día 11 de septiembre, Secura publicó un advisory y un paper sobre la vulnerabilidad, en el que se incluía una herramienta para detectar máquinas vulnerables. Tras esto, se han publicado numerosas PoC y herramientas que permiten explotar la vulnerabilidad. ¿Por qué es tan crítica esta vulnerabilidad? Porque permite a cualquier usuario (ni siquiera requiere estar en el dominio) con conectividad al DC resetear la contraseña del domain admin. Os animo a leer el detalle que prepararon desde hackplayers sobre este tema. Análisis práctico de Zerologon Una vez vista la teoría, vamos a la práctica. Para testear la vulnerabilidad se ha creado un DC en una máquina virtual, en mi caso la máquina víctima tiene la IP: 192.168.0.21 En primer lugar, una vez se tiene conectividad al DC, se puede usar el script de Secura para testear si el DC es vulnerable. Sin embargo, uno de los parámetros del script es el hostname. Para ello, podemos emplear nmap: O bien se puede hacer uso de una enumeración SMB con Crackmapexec: Y, como se observa pasando ese parámetro junto con la IP, el script nos da como resultado si el DC es vulnerable a Zerologon. Una vez chequeado que es vulnerable, haciendo uso de este repositorio dispone de dos scripts: CVE-2020-14-72-exploit.py: permite automatizar la explotación de la vulnerabilidad.Restorepassword.py: permite restaurar la contraseña. Sin embargo, si lo ejecutamos tal cual, nos encontraremos con este problema de impacket: Para solucionar esto podemos optar por vías: Eliminar impacket y bajar la última versión (puedes consultar esta referencia).Emplear un virtualenv (en este artículo de s4vitar se explica cómo hacerlo). Ahora ejecutándolo de nuevo, funciona: Así mismo, el autor de Mimikatz ya ha actualizado la herramienta para aprovechar esta vulnerabilidad. En este enlace se puede observar el GIF que ha preparado con la PoC. ¿Cómo se puede aprovechar esta funcionalidad? Aprovechando este recurso tenemos el comando tal cual: secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr' Siendo en nuestro caso: Obteniendo listar todos los hashes de los usuarios del dominio. A continuación, se podrían crackear los hashes o bien emplear la técnica de Pass the Hash para autenticarse en el DC. Para ello, se puede usar pth-winexe o evil-winrm con el hash de administrador: Para restaurarla contraseña, tendremos que recurrir al script “restorepassword”: python restorepassword.py <DOMAIN><hostname>@<hostname> -target-ip IP -hexpass 54656d706f7………etc o bien emplear esta funcionalidad. python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH Acordaos de restaurar la password si lo probáis en un algo test de intrusión. Y sobre todo…Parchea, parchea, pachea Recomendaciones Identificar con el script de check de Secura las máquinas vulnerables y aplicar el parche: CVE-2020-1472 | Netlogon Elevation of Privilege VulnerabilityCVE-2020-1472 Detail Referencias Hacking Windows con Zerologon: Vulnerabilidad crítica que puede comprometer tu Domain Controller #ParcheaZerologon desatado: la vulnerabilidad que permite comprometer cualquier controlador de dominio de Windows fácilmente[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)CCN-CERT AL 09/20 Vulnerabilidad crítica en Windows ServerCVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability #CodeTalks4Devs – Un Macintosh SE con espacio infinito de almacenamiento gracias a Google PhotosNoticias de Ciberseguridad: Boletín semanal 26 de septiembre-2 de octubre
Área de Innovación y Laboratorio de ElevenPaths II edición del programa TUTORÍA: investigaciones de ciberseguridad orientadas a producto El interés de los jóvenes estudiantes lo demuestra: los retos tecnológicos vinculados a las tecnologías de la información son interesantes y despiertan en los alumnos una curiosidad y motivación...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Martiniano Mallavibarrena La nueva fuerza de trabajo digital y los riesgos alrededor de la robótica de procesos (RPA) En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation),...
ElevenPaths ¿Qué es la VPN y para qué sirve? Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez...