Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas...
Transcript of Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas...
![Page 1: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/1.jpg)
Fecha: Setiembre 2019
![Page 2: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/2.jpg)
Objetivo del Estudio:•
•• https://www.linkedin.com/in/cesar-farro-flores/
•• https://www.linkedin.com/in/andres-morales-zamudio-8270381a/
Autores:
•
Publicación:
![Page 4: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/4.jpg)
Objetivo del Estudio:
•
![Page 5: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/5.jpg)
Antecedente:
1)
2)
¿Por qué analizar la seguridad del servicio RDP Terminal Server?
![Page 6: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/6.jpg)
Case 1: Ransomware .arrow
![Page 7: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/7.jpg)
Case 1: Ransomware .arrow
![Page 8: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/8.jpg)
Case 1: Revision of firewall logs: Time Threat
TypeRiskLevel
Threat ID
ThreatName
Source Region
Application Protocol Dst Region
28/04/2018 03:28
Intrusion Low 10001127 RDP Local Account Brute-force Attempt
Russian Federation185.156.177.4
RDP TCP Peru
28/04/2018 03:28:59
Intrusion Low 1000078 Microsoft SQL Server Authentication Brute-force Attempt
HaiKou112.67.5.223
MS_SQLServer TCP Peru
28/04/2018 03:28:59
Intrusion Low 1000078 Microsoft SQL Server Authentication Brute-force Attempt
HaiKou112.67.5.223
MS_SQLServer TCP Peru
28/04/2018 18:13:15
Intrusion Low 370090 Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability
UnitedKingdom194.72.112.130
HTTP TCP Peru
28/04/2018 18:13:16
Intrusion Low 403702 Oracle WebLogic Server WorkContextXmlInputAdapter Insecure Deserialization
UnitedKingdom194.72.112.130
HTTP TCP Peru
Source: Firewall and IPS
![Page 9: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/9.jpg)
Case 1: Revision of firewalls logs:
Source: Firewall and IPS
![Page 10: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/10.jpg)
Case 1: Hospital Ransomware .arrow
Windows Server Terminal server
Entorno de red:1. Microsoft Terminal Server
and Data Base SQL ambos publicados a Internet.
2. Reglas incorrectamente configuradas en el firewall: “Any Any Any”.
Win ServerData Base SQL
Atacante
1
2
Port:3389/tcp
![Page 11: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/11.jpg)
Case 2: bitlocker infected 10 Servers
![Page 12: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/12.jpg)
Case 2: bitlocker infected 10 Servers
![Page 13: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/13.jpg)
Case 2: bitlocker (1)
LAN Servers
UTMFW+ IPS
FileServer
BackupServer
Intranet SQLServer
PortalServer
WAN/MPLS
LAN Servidores y PCS
BackupServer
FileServer
Controles implementados:------
Data Center Principal:
Remote Office
1
2
3
5
Port:445/tcp
Port:3389/tcp
Windows Server
Terminal server
![Page 14: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/14.jpg)
Caso 2: bitlocker (2)
Red Servidores
UTMFW+ IPS
FileServer
BackupServer
Intranet SQLServer
PortalServer
WAN/MPLS
2
3
5
1.1
1.2
Windows Server
Terminal server
Remote Office
Data Center Principal:
![Page 15: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/15.jpg)
“Los atacantes usan los servicios RDP,
SMB y MSSQL como punto de ingreso”
Por lo tanto:
![Page 16: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/16.jpg)
Servicio Terminal Server: RDP 3389/tcp
![Page 17: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/17.jpg)
CVE-2019-0708 Vulnerabilidad RDP permite Acceso Remoto sin credenciales
Fuente: https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
![Page 18: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/18.jpg)
Bluekeep, exploits..!!
Fuente: https://www.exploit-db.com/
![Page 19: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/19.jpg)
Probar el Bluekeep exploit..
![Page 20: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/20.jpg)
Probar el Bluekeep exploit..
![Page 21: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/21.jpg)
Probar el Bluekeep exploit..
![Page 22: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/22.jpg)
• Definir el alcance del análisis:• Países a evaluar.• Fechas a realizar y cantidad de escaneos
• Obtener las herramientas y probarlas.• Obtener un listado de direcciones IPv4.• Explotar los resultados obtenidos en cuadros resumen.
Requerimientos para el análisis:
![Page 23: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/23.jpg)
• Rangos IPs obtenidos: python getranges.py• https://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest 1• ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest 2• ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest 3
Obtener las Direcciones IPv4:
![Page 24: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/24.jpg)
• Herramientas públicas como masscan [1] y rdpscan [2], ambas herramientas han sido escritas por Robert Graham[3].
• Se realizó un escaneo del puerto 3389/tcp a los rangos de ips obtenidos de las fuentes lacnic, arin y ripe.
• Dichos resultados fueron procesados y empleados con la herramienta rdpscan para obtener la lista de direcciones ips vulnerables.
• Fuentes:•••
Herramientas:
![Page 25: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/25.jpg)
•
Scannings realizados:
Fuente: https://medium.com/@cesarfarro/63-000-hosts-vulnerables-a-bluekeep-cve-2019-0708-en-america-latina-y-españa-en-el-servicio-rdp-9900bc6c9c07
![Page 26: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/26.jpg)
http://www.nirsoft.net/countryip/index.html
Scanning, Hosts Port 3389/tcp:
![Page 27: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/27.jpg)
Scanning, IPs Vulnerables:
![Page 28: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/28.jpg)
Resultados: +63,000 IPs Vulnerables
![Page 29: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/29.jpg)
Variable: CVE-2019-0708
![Page 30: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/30.jpg)
Resultados: +63,000 IPs Vulnerables
![Page 31: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/31.jpg)
• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no
se usa el servicio desactivarlo, limitar su acceso o bloquearlo en el firewall perimetral, no correr el servicio
RDP como Administrador, utilizar el servicio VPN de acceso remoto del firewall.
• Los más de 63,000 Hosts vulnerables pueden ser usados para instalar Ransomware, Virus/Gusanos o
Criptojacking, e inclusive se pueden emplear para realizar movimiento lateral e infectar toda la
redempleando las credenciales recolectadas en ese primer punto de contacto.
• El escaneo podría tener un % de error ya que al momento de realizar el escaneo podría haber sido
bloqueado o mitigado por nuestro proveedor de cloud, enlace de Internet y capacidad del servidor, aunque se
realizaron múltiples pruebas y se obtuvieron resultados similares.
• No necesariamente el 100% de hosts con el puerto 3389/tcp abierto están corriendo el
servicio RDP asociado al Terminal Server, algunas empresas podrían estar corriendo otro servicio.
• Sí algún CERT/CSIRT requiere la lista de Hosts Vulnerables al CVE-2019–0708 se podrían poner en
contacto con Cesar Farro al correo [email protected].
Conclusiones Finales
![Page 32: Fecha: Setiembre 2019...• Se recomienda aplicar el parche recomendado por Microsoft a los sistemas operativos afectados [1], si no se usa el servicio desactivarlo, limitar su acceso](https://reader036.fdocuments.ec/reader036/viewer/2022071215/60448d37c9e0820fea7335c7/html5/thumbnails/32.jpg)
Autores:
•
Publicación:
•• https://www.linkedin.com/in/cesar-farro-flores/
•• https://www.linkedin.com/in/andres-morales-zamudio-8270381a/