Archivo

Archive for the ‘Windows’ Category

El retiro del soporte técnico para Windows XP es esperado por los hackers

agosto 8, 2013 Deja un comentario

logo-de-xpLos cibercriminales están reservando las vulnerabilidades 0-Day (para los que no hay solución) a la espera que Microsoft retire el soporte técnico, algo que ocurrirá el 8 de abril de 2014.

El objetivo sería que los exploits preparados utilizando este tipo de vulnerabilidades críticas no tengan respuesta de Microsoft, ya que en esa fecha finalizarán las actualizaciones para el sistema, incluyendo las de seguridad.

“Cuando alguien descubre una vulnerabilidad para Windows XP ejecutable de forma remota y lo publica hoy, Microsoft lo solucionará en un par de semanas”, explican analistas de seguridad.

Si la vulnerabilidad no va a ser corregida porque el soporte técnico haya llegado a su fin, los exploits podrá venderse en el mercado negro con un precio sustancialmente superior, subrayan.

Por ello, los cibercriminales estarán mucho más motivados para encontrar vulnerabilidades en el sistema. Y más teniendo en cuenta que a pesar de sus doce años de vida, Windowes XP mantiene un apoyo masivo con cuotas de mercado superiores al 30% en sistemas operativos de escritorio.

Especialmente importante es su uso en empresas y administraciones y a pesar de las múltiples recomendaciones de Microsoft y el peligro de perder dentro de solo un año actualizaciones y parches de seguridad, su cuota de uso no muestra que tengan demasiada prisa.

Anuncios

Microsoft publicará 6 boletines de seguridad el próximo martes

noviembre 11, 2012 Deja un comentario
microsoftMicrosoft ha publicado un avance de los boletines de seguridad que publicará el próximo martes. Serán un total de seis boletines que solucionarán 13 vulnerabilidades. Es la primera vez que se publicarán parches oficiales para Windows 8 y Server 2012 dentro del ciclo de actualización.

Un pequeño resumen de lo que se publicará (que siguiendo su nomenclatura habitual, abarcará desde el boletín MS12-071 hasta el MS12-076): Leer más…

Trucos para la consola de Windows

septiembre 5, 2012 Deja un comentario
Tomo prestada la idea del magnífico blog de Open Security Research para, imitando a las antiguas revistas de papel, publicar algunos trucos de la famosa línea de comandos de Windows 7/2008. Algunos más enfocados a seguridad, otros simplemente prácticos.
1.- Ejecutar CMD como Administrador.
Aunque realmente sirve para cualquier comando, si se pulsan las teclas control+shift y la tecla enter,  una vez se ha buscado por “cmd” en el buscador de Windows 7, directamente se ejecutará con permisos de Administrador. Es una tontería, pero una vez te acostumbras, desplegar las opciones con el botón derecho del ratón para irse sobre “Ejecutar como administrador”, se vuelve casi molesto.
2.- Configuración del firewall.
El comando netsh (Network Shell), sirve para manejar la configuración de red del sistema. Es bastante completo y permite definir un interfaz con direccionamiento DHCP, con una IP estática o incluso mostrar la configuración del firewall de un perfil.
Para ver un resumen: netsh advfirewall show currentprofile
Para obtener las reglas del firewall: netsh advfirewall firewall rule name=all
Para deshabilitarlo: netsh firewall set opmode disable
3.- Restablecer Winsock2 y TCP/IP.
Con netsh también se puede restablecer la configuración de Winsock2 y TCP/IP si se detectan problemas de conectividad y algunos expedientes X de red (esas cosas que pasan a veces en Windows y que no se solucionan mirando el /var/log/messages)
4.- Contraseña de una conexión Wireless en texto claro.

Mediante el mismo netsh existe la opción de generar un fichero de configuración del perfil actual de la conexión de la configuración wireless. Este fichero almacenará en texto claro (en formato hexadecimal), la contraseña que utiliza el sistema para conectarse al punto de acceso.
Guardar la configuración en el directorio actual: netsh wlan export profile folder=. key=clear


5.- Borrar registro de eventos.

Con el comando wevtutil se gestionan los logs de los sistemas Windows, configuración, borrado, almacenamiento, etcétera. Es bastante completo y para aprender a usarlo nada como leerse su documentación.

Para eliminar los registros de Seguridad, System y Application:

  • wevtutil cl “Security”
  • wevtutil cl “System”
  • wevtutil cl “Application”

 

6.- Datos del sistema de WMI.
Utilizando el comando wmic es posible hacer consultas al Windows Management Instrumentation (WMI), que entre otras cosas, almacena decenas de tablas con información sobre el sistema.

 

Algunos ejemplos:
  • Lista completa y detallada de usuarios: wmic useraccount list full
  • Lista de usuarios de sistema: wmic sysaccount list full
  • Direcciones IP y nombres de interfaz de red: wmic nicconfig get index,description,ipaddress
  • Lista de procesos (sustituto de tasklist): wmic process list brief

 

7.- Modificar el prompt.

Al igual que en Linux se modifica el PROMPT con la variable PS1, en Windows es posible con el comando prompt.

  • Prompt por defect: prompt $p$g
  • Prompt con el nombre del sistema, de usuario y la ruta: prompt [%computername%] [%username%] $p$g
 
8.- Cambiar color de la terminal.
Para cambiar los colores de la consola no hace falta irse a las propiedades, desde línea de comando y con un simple “color 0a“, estaremos en un viejo fósforo P1 a lo Matrix.
El “0” representa el color de fondo (negro) y la “a”, el verde de las letras. Con color /? se consultan todas las posibilidades. Otra mucho más útil: color f0, blanco sobre negro, muy práctica para las capturas de pantalla.
9.- Consultar los ficheros que abre cada proceso.
En Windows también se puede averiguar (sin necesidad de herramientas como handle de sysinternals) los ficheros que están abiertos por cada proceso al igual que se hace en Linux con lsof.

Primero se habilita openfiles con la instrucción: openfiles /local on


Una vez se reinicia el sistema (esta es la única pega), tan solo hace falta ejecutar el comando: openfiles

 
 
10.- Cambiar el tamaño de la consola.

Ya que el propio cmd no deja redimensionarse horizontalmente, para hacerlo directamente desde el propio cmd sin tener que abrir sus propiedades, se utiliza el comando: mode, seguido de las columnas y líneas que se desean:

Establecer una ventana de 80 caracteres de columna y 40 líneas: mode 80,40

 

11.- Comparar archivos de texto y buscar textos

También es posible comparar archivos de texto usando fc, que mostrará las diferencias entre ambos, similar al comando diff de sistemas unix:

Diferencias entre el archivo 1.txt y 2.txt (uno tiene la letra d y otro no): fc 1.txt 2.txt

También es posible buscar una cadena de texto pasando por una tubería con el comando “find“, tal y como se hace con grep:

  • Buscar los archivos que contengan la cadena ‘dll’: dir | find “dll”
  • Una alternativa es usar el comando findstr
12.- Copias incrementales de ficheros.

Para copiar un directorio y todo su contenido recursivamente, pero tan solo aquellos ficheros que no estén en el destino. Es decir, incrementalmente y manteniendo fechas de timestamp, se puede usar el comando robocopy.

Copia del directorio c:\tmp al directorio c:\tmpbackup:

robocopy c:\tmp c:\tmpbackup /copyall /dcopy:t /mir

13.- Histórico de comandos.
Tan solo pulsando la tecla F7 se abrirá un pseudo pop-up con los últimos comandos ejecutados. Al igual que ocurre cuando se pulsa sobre la tecla de cursores arriba, solo que visualmente.

14.- Averiguar qué proceso abre un puerto.
En Windows 7/2008 existe la posibilidad de conocer cuál es el proceso que está haciendo bind de un determinado puerto con el comando netstat. Tal y como hace el famoso tcpview, solo que desde línea de la terminal.
Para listar todos los puertos y mostrar los ID del proceso que lo usa: netstat -ano
Posteriormente se usa “tasklist” para listar los procesos y “findstr” para filtrar el contenido en base a una cadena de texto.
15.- Copiar al portapapeles la salida de un comando.
Para almacenar la salida de un comando en el portapales directamente, tan solo hay que usar una tubería y el comando clip
 

Fuente: SecurityByDefault

http://www.securitybydefault.com/2012/09/trucos-para-la-consola-de-windows.html

Categorías:Noticias, Windows Etiquetas: , , ,

Es posible obtener el PasswordHint de Windows #Metasploit

agosto 29, 2012 Deja un comentario

El investigador Jonathan Claudius de SpiderLabs ha descubierto una vulnerabilidad en los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtención de la contraseña de administrador para inicios de sesión y control del sistema.

El investigador explica que la vulnerabilidad reside en la función ‘indicio’ o ‘sugerencia’ de contraseñas, útil para el usuario si olvida la contraseña pero también para un atacante.

Estas sugerencias de contraseñas de Windows XP, 7 y 8 se almacenan en el registro del sistema operativo y aunque están en un formato cifrado parece que se pueden convertir fácilmente en un formato legible:

HKLM\SAM\SAM\Domains\Account\Users\\UserPasswordHint

El investigador ha escrito un script que automatiza el ataque y lo ha publicado en Metasploit (clic para agrandar).

Si normalmente para romper las contraseñas de inicio de sesión de Windows se necesita acceso físico al equipo, este tipo de exploit (combinado con otras herramientas) permitiría acceder remotamente a estas ‘sugerencias’ de contraseñas y tras obtenerla inicios de sesión remoto.

La recomendación (hasta que Microsoft confirme y parchee en su caso la vulnerabilidad) sería dejar en blanco la sugerencia de contraseña. No hace falta recordar que 2012 es el año de robo de contraseñas y por ello obligatorio contar con una contraseña robusta.

Fuente: Muy Seguridad Segu-Info

Microsoft saca herramienta anti-exploit para administradores de IT

agosto 21, 2012 Deja un comentario

Microsoft dió a conocer una nueva herramienta para ayudar a los administradores de TI a actualizar con mitigaciones anti-exploits del tipo ASLR (Aleatorización del Esquema de Espacio de Direccionamiento) y DEP (Prevención de Ejecución de Datos) en versiones de Windows más antiguas.

La herramienta, llamada Kit de Herramientas de Experiencia de Mitigación Mejorada (Enhanced Mitigation Experience Toolkit – EMET) funciona aplicando las tecnologías de mitigación de seguridad a aplicaciónes arbitrarias para bloqueo contra la explotación a través de vectores comunes de ataque.

Además de implementar ASLR y DEP en versiónes más antiguas de sistema operativo Windows, Microsoft dice que EMET también agregará mitigaciones anti-explotación a los programas existentes de terceros que actualmente no eligen las mitigaciones.

“Esto ayuda a proteger contra la explotación exitosa de vulnerabilidades sin solución disponible,” dice Mike Reavey, un director en Microsoft’s Security Response Center (MSRC).

ASLR y DEP, los cuales sirven como bloqueos de defensa en profundidad durante los ataques de malware, están habilitados por defecto en las versiones más nuevas de Windows.

EMET soporta tanto aplicaciones de 32 bits como de 64 bits y activa mecanismos de protección específicos en binarios compilados. Agrega las siguientes mitigaciones a aplicaciones que no las soportan nativamente:

* Protección de sobre escritura de manejo estructurado de errores (Structured Error Handling Overwrite Protection – SEHOP) que impide la explotación de sobre escritura del Manejo Estructurado de Excepciones (SEH) mediante la realización de validaciones de cadenas SEH.
* La Prevención de Ejecución Dinámica de Datos que marca porciones de la memoria del proceso como no ejecutable, dificultando la explotación de vulnerabilidades de corrupción de memoria.
* La asignación de página NULA que asigna la primera página de memoria antes de la inicialización del programa y bloquea a los atacantes de poder aprovecharse de las referencias NULAS en modo usuario.
* La Asignación de Rociado de memoria Heap que pre-asigna direcciones de memoria para bloquear ataques comunes que llenan la memoria heap del proceso con contenido manipulado especialmente.
* La aleatorización mandatoria del esquema de espacio de direcciones (ASLR) tanto como los módulos que no soportan ASLR en Windows Vista, Windows Server 2008 y Windows 7.
* La tabla de exportación de direcciones (EAT) que usa puntos de parada para filtrar el acceso a la EAT de kernel32.dll y ntdll.dll, bloquea el acceso si el puntero de intrucciones no está dentro del módulo, e interrumpe los shellcodes metasploit comunes actualmente.

Video de explicación

Descargalo!

Traducción: Raúl Batista – Segu-Info
Autor: Ryan Naraine

Fuente: b1nary0

Distintos ataques a Windows 8 en #BlackHat

agosto 15, 2012 Deja un comentario

Según el investigador Sung-ting Tsai de Trend Micro hay tres vulnerabilidades en Windows 8 que podrían permitir a los ciberdelincuentes vulnerar la seguridad del nuevo sistema operativo de Microsoft. El investigador ha explicado en BlackHat la naturaleza de esos problemas de seguridad, si bien se encargaron de remarcar su seguridad.

El primero tiene que ver con saltarse la restricción que Microsoft ha impuesto a algunas aplicaciones para su conexión a Internet. En este caso, la clave no está en intentar saltarse dicha prohibición, sino en vulnerar una aplicación que sí tenga los permisos necesarios.

Según Computerworld, la segunda posibilidad tiene que ver con la ejecución de comandos vía “cmd.exe”, que permitiría activar ejecutables fuera del sandbox. Se trata de una vulnerabilidad que debería de ir acompañada de otros exploit, por lo que no se considera especialmente peligrosa, pero lo cierto es que está en el sistema de Microsoft y por eso es importante su conocimiento.

Por último, la otra posibilidad es utilizar un código malicioso camuflado como DLL. Esta vulnerabilidad podría permitir a los ciberdelincuentes penetrar en el sistema y acceder a datos para su reenvío.

Por su parte, desde Microsoft, han restado importancia a estas vulnerabilidades. Lo cierto es que la versión final del sistema no se ha publicado y es muy posible que el 26 de octubre, fecha oficial de lanzamiento de Windows 8, estos problemas hayan quedado solucionados para conseguir un alto nivel de seguridad en el sistema.

Fuente: CSO España

Fuente: SeguInfo

Si no actualizas Java, estás infectado

agosto 8, 2012 Deja un comentario
Los applets de Java, unidos a una máquina virtual JRE vulnerable, son hoy por hoy la combinación perfecta para que los atacantes infecten a sus víctimas. No importa qué hábitos se sigan en el sistema: no tener actualizado JRE, es garantía de infección. Veamos por qué y cómo protegerse.
En nuestro laboratorio realizamos habitualmente análisis forenses a máquinas infectadas con troyanos bancarios. Así podemos detectar el binario, aislarlo y estudiar su comportamiento.
De esta manera comprobamos cómo y con qué se infecta la gente ahí fuera, en el mundo real donde el malware limpia las cuentas bancarias de los usuarios (una media de 3.000 euros por robo).
Entre otros descubrimientos, en los últimos meses,  hemos comprobado que en el 100% de los análisis realizados (y no han sido pocos) la razón de la infección con troyanos bancarios era una máquina virtual Java desactualizada. En concreto dos vulnerabilidades (aunque también otras más antiguas):

 

Cómo suele funcionar el exploit
La víctima visita cualquier web. Cualquiera: desde páginas pornográficas hasta webs de ganchillo (ejemplos reales). No importa el navegador. De forma más o menos transparente (según el navegador) se carga el applet que explota la vulnerabilidad. El usuario quedará infectado. Una curiosidad es que el código Java se encargará de descargar “a trozos” un ejecutable que ensambla en local. También, que el ejecutable será “único” para la víctima. Aunque su funcionalidad sea la de intentar robar las credenciales del banco, su “hash” o firma será diferente en cada caso, y no funcionará en otra máquina que no sea la que ha infectado. Una especie de poliformismo del lado del servidor pero “en tiempo de ensamblado en local“.
Por si fuera poco, el malware no necesita de privilegios de administrador para funcionar. Se instala en %appdata%, dentro de un directorio con nombres aleatorios donde suele tener permisos de escritura, y se asegura la supervivencia posicionándose en la rama del registro del usuario CurrenVersion\Run donde también puede escribir.
¿Qué hace mal Oracle?
Oracle no es un buen ejemplo en el campo de la gestión de seguridad. Sun tampoco lo era (la compró en abril de 2009). Por ejemplo, tuvimos que esperar a finales de 2008 para que Sun hiciera algo muy simple: desinstalar las versiones vulnerables cuando un usuario se actualizaba. Sí, dejaban en el sistema la versión vulnerable dentro de la misma rama.
Pero el problema es que en cierta medida, Oracle sigue haciéndolo. Si bien dentro de la misma rama se borran las anteriores… no se eliminan, ni se actualizan, ramas anteriores. Muchos usuarios se encuentran en este momento con dos ramas de JRE en su sistema. La 6 (que va por su update 33), y la 7 (que va por su update 5). Conservar alguna anterior es más que arriesgado. Por ejemplo si con la rama 6 update 18 (arcaica) el usuario decide instalar la última versión 7 update 5 desde la web oficial, se encontrará con esto:
No solo no se elimina la rama 6, sino que tampoco se actualiza de la 18 a la última 33. Ni siquiera advierte del peligro de mantener esa rama. Y lo que es peor… los dos serán accesibles para el atacante desde el navegador.
Oracle tampoco se ha pasado a la “autoactualización“, a la que se ha visto obligada Adobe con su Flash recientemente. Primero permitía a los usuarios que se actualizasen libremente. Luego mejoró, con  un mensaje claro cuando aparecía una nueva versión (y en este estadio se encuentra Oracle). Pero más tarde se ha visto obligado a actualizar, sí o sí por defecto, y despreocupar al usuario. Oracle no quiere hacer eso. Tiene pánico a que los diferentes programas no funcionen en sus muchas ramas (todavía actualiza la rama 1.4).
Tal es el problema, que Firefox, Chrome e incluso Safari, bloquean las versiones antiguas de Java, para evitar más infecciones.
Protección
Las medidas de protección son las de siempre… más alguna otra. Por ejemplo, son varios los profesionales como Brian Krebs o Larry Seltzer que directamente aconsejan desinstalar Java por completo. Ambos alegan que no se echará de menos. Esto es discutible y depende del perfil de cada usuario. Pero sí es cierto que, al menos, se debe evitar que sea accesible desde el navegador. Existen varias páginas que ofrecen instrucciones para deshabilitarlo (independientemente del navegador) para Windows y Mac.
Otros métodos de protección incluyen, según el navegador, evitar los applets en páginas desconocidas, o directamente evitar el JavaScript selectivamente.
Más información:
Don’t Need Java? Junk It.
Java (por fin) eliminará las versiones antiguas al actualizar
How to protect yourself from Java-based malware
Ditching Java might be a good move
A Month Without Java: The Results
Sergio de los Santos
Twitter: @ssantosv
Fuente: Hispasec