Ana Siles El yin y el yang del CIO Las disrupciones que están provocando las tecnologías y el contexto de transformación que viven las empresas están cambiando el papel del CIO. Los CEO dan ahora mayor prioridad a la tecnología,...
Alvaro Sandoval Comunicación empresarial: 5 tips para un plan exitoso La comunicación empresarial siempre ha sido un recurso importante para el funcionamiento de las grandes empresas. Sin embargo, en la era de la globalización y la transformación digital, la comunicación es fundamental...
Mónica Sofía García Cómo tener más tiempo para hacer lo que te gusta Sí, sí, lo sé. Te gustaría tener más tiempo para hacer un montón de cosas y la vida no te da para más que ir a contrarreloj y cumplir...
Alfonso Alcántara La psicología positiva en la empresa es negativa: Diccionario para directivos motivadores (II) En este artículo voy a intentar contarte con rigor pero con humor la trampa que supone el pensamiento positivo para los profesionales y para las empresas.Y también aprovecho para...
Telefónica Tech Los 4 mejores lenguajes de programación para principiantes ¿Este año te has propuesto nuevos retos pero no sabes por dónde empezar? ¿Qué te parecería convertirte en todo un experto de la programación? Sabemos que así, en frío,...
ElevenPaths ElevenPaths Radio – 1×05 Entrevista a Gianluca D’Antonio En este nueva entrega de nuestros podcast, Gonzalo Álvarez Marañón entrevista a Gianluca D’Antonio, Socio en Deloitte España, Presidente del ISMS Fórum y Director del Máster en Ciberseguridad del...
Kassandra Block La Living App de Aquaservice: cómo dar el mejor servicio a tus clientes ¿Sabías que España es uno de los países que más agua embotellada consume por persona? Según la Asociación Nacional de Empresas de Aguas de Bebida Envasadas (ANEABE), España ocupa el cuarto lugar de la Unión Europea, en...
María Crespo Burgueño ‘Scale This Up’ Podcast – 1×2 Entrevista a Silvina Moschini (SheWorks!) y Paloma Castellano (Wayra) La tecnología dibuja nuevas formas de trabajo, ¿estamos preparados para aprovecharlas? ¿Fomentarán estas oportunidades la incorporación de más mujeres al mercado laboral? En el segundo episodio del podcast “Scale...
Zerologon, ¡parchea o muere!Nacho Brihuega 1 octubre, 2020 Zerologon. Si te dedicas al mundo IT y no aún no has escuchado este nombre, preocúpate y sigue leyendo. Zerologon es, posiblemente, la vulnerabilidad de este año tan “especial” y seguramente de los últimos. Es una de esas vulnerabilidades que no deja indiferente a nadie. Antes de nada, ¿es crítica la vulnerabilidad? Sí, sí y mil veces sí. Personalmente diría que es la vulnerabilidad más crítica que he conocido desde que entré en este mundo de la ciberseguridad. Comencemos por el principio: Zerologon (CVE-2020-1472) fue descubierto por la empresa Secura en agosto de 2020, el cual fue reportado a Microsoft, quien le asignó un CVSS de 10.0 (sobre 10, la mayor criticidad posible). Posteriormente, el día 11 de septiembre, Secura publicó un advisory y un paper sobre la vulnerabilidad, en el que se incluía una herramienta para detectar máquinas vulnerables. Tras esto, se han publicado numerosas PoC y herramientas que permiten explotar la vulnerabilidad. ¿Por qué es tan crítica esta vulnerabilidad? Porque permite a cualquier usuario (ni siquiera requiere estar en el dominio) con conectividad al DC resetear la contraseña del domain admin. Os animo a leer el detalle que prepararon desde hackplayers sobre este tema. Análisis práctico de Zerologon Una vez vista la teoría, vamos a la práctica. Para testear la vulnerabilidad se ha creado un DC en una máquina virtual, en mi caso la máquina víctima tiene la IP: 192.168.0.21 En primer lugar, una vez se tiene conectividad al DC, se puede usar el script de Secura para testear si el DC es vulnerable. Sin embargo, uno de los parámetros del script es el hostname. Para ello, podemos emplear nmap: O bien se puede hacer uso de una enumeración SMB con Crackmapexec: Y, como se observa pasando ese parámetro junto con la IP, el script nos da como resultado si el DC es vulnerable a Zerologon. Una vez chequeado que es vulnerable, haciendo uso de este repositorio dispone de dos scripts: CVE-2020-14-72-exploit.py: permite automatizar la explotación de la vulnerabilidad.Restorepassword.py: permite restaurar la contraseña. Sin embargo, si lo ejecutamos tal cual, nos encontraremos con este problema de impacket: Para solucionar esto podemos optar por vías: Eliminar impacket y bajar la última versión (puedes consultar esta referencia).Emplear un virtualenv (en este artículo de s4vitar se explica cómo hacerlo). Ahora ejecutándolo de nuevo, funciona: Así mismo, el autor de Mimikatz ya ha actualizado la herramienta para aprovechar esta vulnerabilidad. En este enlace se puede observar el GIF que ha preparado con la PoC. ¿Cómo se puede aprovechar esta funcionalidad? Aprovechando este recurso tenemos el comando tal cual: secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr' Siendo en nuestro caso: Obteniendo listar todos los hashes de los usuarios del dominio. A continuación, se podrían crackear los hashes o bien emplear la técnica de Pass the Hash para autenticarse en el DC. Para ello, se puede usar pth-winexe o evil-winrm con el hash de administrador: Para restaurarla contraseña, tendremos que recurrir al script “restorepassword”: python restorepassword.py <DOMAIN><hostname>@<hostname> -target-ip IP -hexpass 54656d706f7………etc o bien emplear esta funcionalidad. python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH Acordaos de restaurar la password si lo probáis en un algo test de intrusión. Y sobre todo…Parchea, parchea, pachea Recomendaciones Identificar con el script de check de Secura las máquinas vulnerables y aplicar el parche: CVE-2020-1472 | Netlogon Elevation of Privilege VulnerabilityCVE-2020-1472 Detail Referencias Hacking Windows con Zerologon: Vulnerabilidad crítica que puede comprometer tu Domain Controller #ParcheaZerologon desatado: la vulnerabilidad que permite comprometer cualquier controlador de dominio de Windows fácilmente[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)CCN-CERT AL 09/20 Vulnerabilidad crítica en Windows ServerCVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability #CodeTalks4Devs – Un Macintosh SE con espacio infinito de almacenamiento gracias a Google PhotosNoticias de Ciberseguridad: Boletín semanal 26 de septiembre-2 de octubre
Telefónica Tech ¿Es hora de empezar a plantar semillas digitales para el futuro? Preparar las operaciones empresariales para el futuro del trabajo es uno de los problemas que definen nuestra época. Las organizaciones de todo el mundo se encuentran ahora en una...
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
