Sergio De Los Santos Pagar o no pagar a los criminales que cifran los datos de una compañía AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
ElevenPaths Chema Alonso se incorpora al Consejo de Administración de Alise Devices En el sector de la tecnología, y concretamente en el de la seguridad, suele escasear el género femenino. A Beatriz Cerraloza, CEO de la Start-up Alise Devices, le echamos...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths en DEFCON, la crónica Aunque lo importante es la investigación presentada (daremos los detalles en una publicación posterior), vamos a repasar en esta entrada algunas de las curiosidades vividas en la convención de...
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Fileless malware: ataques en crecimiento pero controlables Los ataques de fileless malware han aumentado un 900% desde 20219, descubre cómo protegerte.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 12-18 de diciembre Compromiso en la cadena de suministro: SolarWinds Orion Investigadores de FireEye daban a conocer el domingo 13 de diciembre una importante operación global de espionaje y robo de información que...
ElevenPaths Nueva herramienta: PinPatrol, un add-on para Firefox Hemos creado una nueva herramienta para mejorar la experiencia de uso con HSTS y HPKP en Firefox. Es un add-on de Firefox que muestra esta información en formato “legible”...
Sergio De Los Santos Pagar o no pagar a los criminales que cifran los datos de una compañía AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 12-18 de septiembre PoC para vulnerabilidad crítica en Netlogon Investigadores de Secura han publicado una herramienta que permite comprobar si un controlador de dominio es vulnerable a la vulnerabilidad CVE-2020-1472, en Netlogon. El...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
Zerologon, ¡parchea o muere!Nacho Brihuega 1 octubre, 2020 Zerologon. Si te dedicas al mundo IT y no aún no has escuchado este nombre, preocúpate y sigue leyendo. Zerologon es, posiblemente, la vulnerabilidad de este año tan “especial” y seguramente de los últimos. Es una de esas vulnerabilidades que no deja indiferente a nadie. Antes de nada, ¿es crítica la vulnerabilidad? Sí, sí y mil veces sí. Personalmente diría que es la vulnerabilidad más crítica que he conocido desde que entré en este mundo de la ciberseguridad. Comencemos por el principio: Zerologon (CVE-2020-1472) fue descubierto por la empresa Secura en agosto de 2020, el cual fue reportado a Microsoft, quien le asignó un CVSS de 10.0 (sobre 10, la mayor criticidad posible). Posteriormente, el día 11 de septiembre, Secura publicó un advisory y un paper sobre la vulnerabilidad, en el que se incluía una herramienta para detectar máquinas vulnerables. Tras esto, se han publicado numerosas PoC y herramientas que permiten explotar la vulnerabilidad. ¿Por qué es tan crítica esta vulnerabilidad? Porque permite a cualquier usuario (ni siquiera requiere estar en el dominio) con conectividad al DC resetear la contraseña del domain admin. Os animo a leer el detalle que prepararon desde hackplayers sobre este tema. Análisis práctico de Zerologon Una vez vista la teoría, vamos a la práctica. Para testear la vulnerabilidad se ha creado un DC en una máquina virtual, en mi caso la máquina víctima tiene la IP: 192.168.0.21 En primer lugar, una vez se tiene conectividad al DC, se puede usar el script de Secura para testear si el DC es vulnerable. Sin embargo, uno de los parámetros del script es el hostname. Para ello, podemos emplear nmap: O bien se puede hacer uso de una enumeración SMB con Crackmapexec: Y, como se observa pasando ese parámetro junto con la IP, el script nos da como resultado si el DC es vulnerable a Zerologon. Una vez chequeado que es vulnerable, haciendo uso de este repositorio dispone de dos scripts: CVE-2020-14-72-exploit.py: permite automatizar la explotación de la vulnerabilidad.Restorepassword.py: permite restaurar la contraseña. Sin embargo, si lo ejecutamos tal cual, nos encontraremos con este problema de impacket: Para solucionar esto podemos optar por vías: Eliminar impacket y bajar la última versión (puedes consultar esta referencia).Emplear un virtualenv (en este artículo de s4vitar se explica cómo hacerlo). Ahora ejecutándolo de nuevo, funciona: Así mismo, el autor de Mimikatz ya ha actualizado la herramienta para aprovechar esta vulnerabilidad. En este enlace se puede observar el GIF que ha preparado con la PoC. ¿Cómo se puede aprovechar esta funcionalidad? Aprovechando este recurso tenemos el comando tal cual: secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 'DOMAIN/DC_NETBIOS_NAME$@dc_ip_addr' Siendo en nuestro caso: Obteniendo listar todos los hashes de los usuarios del dominio. A continuación, se podrían crackear los hashes o bien emplear la técnica de Pass the Hash para autenticarse en el DC. Para ello, se puede usar pth-winexe o evil-winrm con el hash de administrador: Para restaurarla contraseña, tendremos que recurrir al script “restorepassword”: python restorepassword.py <DOMAIN><hostname>@<hostname> -target-ip IP -hexpass 54656d706f7………etc o bien emplear esta funcionalidad. python3 reinstall_original_pw.py DC_NETBIOS_NAME DC_IP_ADDR ORIG_NT_HASH Acordaos de restaurar la password si lo probáis en un algo test de intrusión. Y sobre todo…Parchea, parchea, pachea Recomendaciones Identificar con el script de check de Secura las máquinas vulnerables y aplicar el parche: CVE-2020-1472 | Netlogon Elevation of Privilege VulnerabilityCVE-2020-1472 Detail Referencias Hacking Windows con Zerologon: Vulnerabilidad crítica que puede comprometer tu Domain Controller #ParcheaZerologon desatado: la vulnerabilidad que permite comprometer cualquier controlador de dominio de Windows fácilmente[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)CCN-CERT AL 09/20 Vulnerabilidad crítica en Windows ServerCVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability #CodeTalks4Devs – Un Macintosh SE con espacio infinito de almacenamiento gracias a Google PhotosNoticias de Ciberseguridad: Boletín semanal 26 de septiembre-2 de octubre
Sergio De Los Santos Pagar o no pagar a los criminales que cifran los datos de una compañía AXA Francia elimina de su cobertura de ciberseguro el pago de rescate por ransomware. Descubre qué significa para el futuro de este tipo de cibercrimen.
ElevenPaths Boletín semanal de ciberseguridad 1-7 de mayo Apple corrige cuatro vulnerabilidades día cero en WebKit Apple publicó ayer actualizaciones de seguridad para corregir cuatro vulnerabilidades de día cero que podrían estar siendo activamente explotadas, según indica la propia entidad....
Diego Samuel Espitia Fileless malware: ataques en crecimiento pero controlables Los ataques de fileless malware han aumentado un 900% desde 20219, descubre cómo protegerte.
Gonzalo Álvarez Marañón El futuro de las credenciales universitarias apunta hacia Blockchain y Open Badges Descubre cómo el Blockchain y las OpenBadges van a evolucionar las credenciales tradicionales para eliminar el fraude.
ElevenPaths ElevenPaths Radio 3×13 – Entrevista a Marta García Aller Hablamos sobre algoritmos, privacidad y tecnología con Marta García Aller, periodista de El Confidencial y escritora de "Lo imprevisible".
ElevenPaths Boletín semanal de ciberseguridad 24-30 de abril BadAlloc – Vulnerabilidades críticas en dispositivos IoT y OT de uso industrial Investigadores de seguridad de Microsoft han descubierto 25 vulnerabilidades críticas de ejecución remota de código (RCE), a las...
