m313 Security Blog

Recientemente se ha dado a conocer esta vulnerabilidad que permite la ejecución remota de código sin necesidad de tener credenciales. La vulnerabilidad es grave, muy grave, crítica. No obstante me agrada poder decir que no se ha anunciado como una nueva vulnerabilidad que rompe internet.

Lo interesante no es hablar y hablar sobre este fallo, sino hacerse con los recursos técnicos suficientes para entenderla, auditarla y en su caso explotarla. No es dificil pero es tedioso, ya que la sobredósis de información hace pesado el acto de separar la paja del grano, espero que os guste mi separación.

Información.

Para entender la vulnerabilidad en sí misma, las causas de la misma y los detalles técnicos el mejor documento que he encontrado es un papper de Sourcefire, empresa del conocido NIDS Snort.

Auditoría.

Para saber si una máquina es vulnerable tenemos por un lado un script realizado por Portcullis Lab, escrito en Python. Por otro lado Nessus ha sacado dos plugins al respecto: 34477 y 34476.

Detección.

Snort ha sacado recientemente una actualización de las reglas VRT que incorpora reglas de detección de esta vulnerabilidad.

Explotación.

Para explotar esta vulnerabildad ha sido publicado un exploit para el framework Metasploit. Tengo que decir que tal como lo descargas este exploit no funciona, pero a poco que investiguéis os daréis cuenta de que le faltan un par de cosillas. Es una medida habitual contra los script kiddies. Yo he realizado las modificaciones y puedo decir que funciona perfectamente.

Por otro lado en Milw0rm han publicado un exploit alternativo, no lo he probado, pero dada la reputación del sitio creo necesario nombrarlo.

Si conocéis alguna mejor ya sabéis, tengo activados los comentarios.

Compártelo

Hace poco estudiando para el exámen del CHFI estuve trasteando con el Autopsy Forensic Browser y descubrí una vulnerabilidad de XSS en la aplicación.

La vulnerabilidad en sí no es muy grave, no tiene un punto de explotación claro, si bien es necesario no tener este tipo de fallos en aplicaciones forenses, ya que de ellas se espera la mayor robusted. Uno de los problemas del software OpenSource en el ámbito forense (lo dice el CHFI no yo) es que generalmente no son programas muy aceptados debido a que la publicación del código fuente los hace más vulnerables (?????).

Sobra decir las dudas que tengo al respecto de esa afirmación pero poco importa. Hoy escribo porque ha salido una nueva versión de Autopsy, la 2.20 y este error ha sido corregido.

mi_ego++

Compártelo

Hace muy poco tiempo me he visto en la necesidad de detectar visualmente si varios servidores NTP no están sincronizados. Producto de esta necesidad he creado un script.

El pequeño script en perl realiza peticiones sobre una lista de NTP’s y muestra sus timestamps para analizar visualmente si están sincronizados entre sí.

Es evidente que la sincronización entre servidores NTP debe revisarse a nivel de configuración, ya que los retardos en el envío de paquetes no aseguran que las peticiones lleguen simultaneamente. Además las peticiones se realizan en modo secuencial. El presente script tiene por objeto poder realizar en remoto una comprobación visual que pueda descartar a simple vista servidores no sincronizados de manera evidente.

Su uso es muy simple, solo hay que editar el array @lista_servidores e incluir todos los que quieras comprobar. El script resuelve las IP’s y realiza las peticiones sobre los servidores NTP.
Por ejemplo, para la siguiente lista:

‘1.at.pool.ntp.org’,'3.es.pool.ntp.org’,'1.europe.pool.ntp.org’,'0.us.pool.ntp.org’,'1.north-america.pool.ntp.org’

Obtenemos el siguiente resultado:

¿Mejoras? Se me ocurren varias:

1. Referenciar las IP’s a los dominios, de manera que en los resultados se pueda distinguir a simple vista a qué dominio pertenecen las IP’s consultadas.
2. Realizar las consultas en varios hilos y que se vayan mostrando por pantalla según llegan los resultados. Así se ganaría en precisión.

La realidad es que para lo poco útil que es el script creo que no merece la pena.

Lo podéis descargar en el siguiente enlace.

Compártelo

PlainSight es un framework forense dedicado a la recolección de datos. Entre sus principales características destacan las siguientes:

• Obtener información de los discos duros, usuarios, grupos
• Examinar la configuración del Firewall de Windows
• Ver historiales de navegación
• Extraer hash LanMan
• Recuperación de ficheros
• …

El framework funciona bajo Linux, y es OpenSource. Podemos verlo en acción en los siguientes videos:

Falta el pero, en esta ocasión el pero es que se trata de una aplicación de reciente creación. La versión estable es la 0.1 y salió a la luz en Septiembre de este año por lo que habrá que esperar a que gane consistencia, o en su defecto probar mucho esta aplicación y no utilizarla nunca como fuente primaria ni única de adquisición de datos.

Para descargar la aplicación acudid a la página oficial:

http://www.plainsight.info

Compártelo