Telefónica Ecuador Tecnología aplicada a la cobertura de salud: actualidad y futuro La salud del paciente y su calidad de vida son los objetivos fundamentales de la medicina sanitaria. Gracias a los avances de la tecnología se ha conseguido mejorar y estar más...
Sebastián Molinetti Qué es un lead y cómo aumentar las oportunidades de venta Saber abordar a los clientes y prospectos es determinante para los objetivos comerciales de cualquier empresa. En ese sentido, el término lead aparece constantemente tanto en los departamentos de...
Raúl Salgado Seis claves para gestionar la diversidad generacional Roberto tiene 24 años. Acaba de incorporarse a una importante agencia de publicidad, en la que se sienta frente a Tania, de 57 años. Le gusta vestir muy alternativo....
Raúl Alonso Cuando el ego profesional compite con el objetivo empresarial Íñigo es ingeniero y responsable de Calidad en una pequeña empresa de ascensores. Hace no muchos meses recibió desde Dirección General el encargo de gestionar los cambios de operativa...
Óscar Maqueda Ciberataques a infraestructuras sanitarias Los sistemas hospitalarios dependen necesariamente de las tecnologías, por lo que es crucial contar con unas medidas de ciberseguridad mínimas.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 22-28 de agosto El ransomware Conti se distribuye tras Trickbot Conti es un ransomware aparecido por primera vez en ataques aislados en diciembre de 2019 pero que comenzó a ser una amenaza patente...
Javier Alcalá Wayra organiza un Co-Investment Day centrado en startups de bienestar El sector del wellness representa un mercado de 4,2bn de dólares y vive un enorme crecimiento que se ha visto acelerado con la llegada de la pandemia. El bienestar...
Kassandra Block 5 razones para crear tu Living App y ganar visibilidad en el hogar de los clientes de Movistar+ ¿Quién no se acuerda del Mobile World Congress del año 2019? No solo fue la última vez que se juntaron empresas de diferentes sectores digitales para poner en común...
Zerologon, ¡parchea o muere!Nacho Brihuega 1 octubre, 2020 Zerologon. Si te dedicas al mundo IT y no aún no has escuchado este nombre, preocúpate y sigue leyendo. Zerologon es, posiblemente, la vulnerabilidad de este año tan “especial” y seguramente de los últimos. Es una de esas vulnerabilidades que no deja indiferente a nadie. Antes de nada, ¿es crítica la vulnerabilidad? Sí, sí y mil veces sí. Personalmente diría que es la vulnerabilidad más crítica que he conocido desde que entré en este mundo de la ciberseguridad. Comencemos por el principio: Zerologon (CVE-2020-1472) fue descubierto por la empresa Secura en agosto de 2020, el cual fue reportado a Microsoft, quien le asignó un CVSS de 10.0 (sobre 10, la mayor criticidad posible). Posteriormente, el día 11 de septiembre, Secura publicó un advisory y un paper sobre la vulnerabilidad, en el que se incluía una herramienta para detectar máquinas vulnerables. Tras esto, se han publicado numerosas PoC y herramientas que permiten explotar la vulnerabilidad. ¿Por qué es tan crítica esta vulnerabilidad? Porque permite a cualquier usuario (ni siquiera requiere estar en el dominio) con conectividad al DC resetear la contraseña del domain admin. Os animo a leer el detalle que prepararon desde hackplayers sobre este tema. Análisis práctico de Zerologon Una vez vista la teoría, vamos a la práctica. Para testear la vulnerabilidad se ha creado un DC en una máquina virtual, en mi caso la máquina víctima tiene la IP: 192.168.0.21 En primer lugar, una vez se tiene conectividad al DC, se puede usar el script de Secura para testear si el DC es vulnerable. Sin embargo, uno de los parámetros del script es el hostname. Para ello, podemos emplear nmap: O bien se puede hacer uso de una enumeración SMB con Crackmapexec: Y, como se observa pasando ese parámetro junto con la IP, el script nos da como resultado si el DC es vulnerable a Zerologon. Una vez chequeado que es vulnerable, haciendo uso de este repositorio dispone de dos scripts: CVE-2020-14-72-exploit.py: permite automatizar la explotación de la vulnerabilidad.Restorepassword.py: permite restaurar la contraseña. Sin embargo, si lo ejecutamos tal cual, nos encontraremos con este problema de impacket: Para solucionar esto podemos optar por vías: Eliminar impacket y bajar la última versión (puedes consultar esta referencia).Emplear un virtualenv (en este artículo de s4vitar se explica cómo hacerlo). Ahora ejecutándolo de nuevo, funciona: Así mismo, el autor de Mimikatz ya ha actualizado la herramienta para aprovechar esta vulnerabilidad. En este enlace se puede observar el GIF que ha preparado con la PoC. ¿Cómo se puede aprovechar esta funcionalidad? Aprovechando este recurso tenemos el comando tal cual: secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr' Siendo en nuestro caso: Obteniendo listar todos los hashes de los usuarios del dominio. A continuación, se podrían crackear los hashes o bien emplear la técnica de Pass the Hash para autenticarse en el DC. Para ello, se puede usar pth-winexe o evil-winrm con el hash de administrador: Para restaurarla contraseña, tendremos que recurrir al script “restorepassword”: python restorepassword.py <DOMAIN><hostname>@<hostname> -target-ip IP -hexpass 54656d706f7………etc o bien emplear esta funcionalidad. python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH Acordaos de restaurar la password si lo probáis en un algo test de intrusión. Y sobre todo…Parchea, parchea, pachea Recomendaciones Identificar con el script de check de Secura las máquinas vulnerables y aplicar el parche: CVE-2020-1472 | Netlogon Elevation of Privilege VulnerabilityCVE-2020-1472 Detail Referencias Hacking Windows con Zerologon: Vulnerabilidad crítica que puede comprometer tu Domain Controller #ParcheaZerologon desatado: la vulnerabilidad que permite comprometer cualquier controlador de dominio de Windows fácilmente[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)CCN-CERT AL 09/20 Vulnerabilidad crítica en Windows ServerCVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability #CodeTalks4Devs – Un Macintosh SE con espacio infinito de almacenamiento gracias a Google PhotosNoticias de Ciberseguridad: Boletín semanal 26 de septiembre-2 de octubre
Sebastián Molinetti ¿Cómo funciona una nube híbrida? A la hora de abordar la digitalización e iniciar el «viaje» a la nube, la mayoría de las empresas españolas optan por soluciones multicloud o por nubes híbridas...
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 25 de noviembre Publicado exploit para vulnerabilidades ProxyNotShell A finales del pasado mes de septiembre se produjeron las primeras publicaciones acerca de nuevas vulnerabilidades críticas en Microsoft Exchange Server, CVE-2022-41040 y CVE-2022-41082, que recibieron el nombre...
Martiniano Mallavibarrena ¿Realmente estamos comprando en internet de forma “segura”? En estas fechas en las que encadenamos Black Friday, Navidad y Reyes, nunca está de más pararse un momento para hacer un repaso mental de algunos aspectos y buenas...
Telefónica Tech Trending Techies meetup: «La línea defensiva en Ciberseguridad» Hace unos días celebramos el meetup “La línea defensiva en Ciberseguridad”, un evento presencial que organizamos en el espacio de Ironhack, en Matadero Madrid, a través de la iniciativa...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 18 de noviembre Actualizaciones de seguridad para 35 vulnerabilidades de Cisco Cisco ha publicado una actualización de seguridad con la que solventa 35 vulnerabilidades en Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense...
José Pedro Gómez Lozano Cuestión de confianza: la necesidad de gobierno y control de un proyecto ¿Para qué necesito las figuras de gestión para la gobernanza de mi proyecto? Decía un filósofo allá en el siglo XIII que una flecha tiene toda la potencia en sí...
