Hacking Remote Apps: Jailbreaking con Excel (III de IV)
**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************
Si no has sido capaz de imaginar cuál iba a ser el cambio que se ha producido en la alerta de seguridad referente a la macro auto-firmada tras haber instalado la CA de nuestra entidad certificadora es que has visto pocas demos de hacking. Si has pensado en que esa alerta iba a cambiar, entonces la respuesta es sí, una vez instalada la CA el cuadro de diálogo del warning muta, permitiendo habilitar el contenido de las macros VBA documento Excel, o lo que es lo mismo, ejecutar los comandos en el sistema.
Lo más curioso es que al ser una instalación a nivel de usuario se puede confiar en todos los certificados emitidos por esta CA. ¿Y esto para qué puede ser utilizado?
Comenzando la III guerra mundial
Una de las cosas curiosas de los certificados emitidos por una entidad certificadora es la de poder elegir diferentes CRLs, es decir, la ubicación de la Lista de Certificados Revocados, y que se usará para comprobar si una certificado en concreto sigue siendo válido o la Entidad que lo emitió ha decidido bloquearlo.
Esta CRL permite rutas en formato LDAP, como vimos en el artículo de "Cotillear la estructura PKI del Department Of Defense Americano", pero también en formato Http, lo que puede ser utilizado para realizar un ataque similar al de "Buscadores como arma de destrucción masiva". Es decir, se puede enviar un documento con una macro firmado por la falsa CA instalada, con un certificado con una CRL como la de esta imagen.
Esto hará que nada más abrir el documento se haga un GET a la URL de la CRL, lanzándose el ataque de SQL Injection que se ha dejado cargado como una bomba de relojería al confiar en la CA que los emite.
¿Tiene esto sentido si la CA se ha instalado a nivel de usuario? Pues tendrá sentido en aquellos entornos en los que se utiliza un pool de usuarios para ejecutar las aplicaciones, y estos usuarios son compartidos por todas las conexiones a aplicaciones que se ejecuten, como sucede en muchos entornos Citrix.
Política 4: No macros
Viendo el éxito de las políticas anteriores nos queda la salida de la última opción, la de bloquear las macros en Excel. Esta opción no permite ningún warning ni ninguna supuesta excepción posible a la hora de ejecutar los documentos, lo que la hace aparentemente la más segura, a la par que la que más tonto dejaría a Excel, ya que le quitaría la potencia de VBA sin excepciones.
Sin embargo, mientras que no se haya aplicado la "castración química" del paquete de Microsoft Office mediante la aplicación de la política de Disable VBA in Office Aplications citada en la primera parte de este artículo, va a existir una forma de saltarse esta restricción y volver a ejecutar las tan ansiadas macros VBA en Excel que le vuelvan a convertir en una poderosa herramienta.
¿Cómo? Pues tendrás que esperar a la última parte de este artículo.
**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************
Si no has sido capaz de imaginar cuál iba a ser el cambio que se ha producido en la alerta de seguridad referente a la macro auto-firmada tras haber instalado la CA de nuestra entidad certificadora es que has visto pocas demos de hacking. Si has pensado en que esa alerta iba a cambiar, entonces la respuesta es sí, una vez instalada la CA el cuadro de diálogo del warning muta, permitiendo habilitar el contenido de las macros VBA documento Excel, o lo que es lo mismo, ejecutar los comandos en el sistema.
Figura 11: La alerta cambia y permite habilitar el contenido y confiar en el publicador |
Comenzando la III guerra mundial
Una de las cosas curiosas de los certificados emitidos por una entidad certificadora es la de poder elegir diferentes CRLs, es decir, la ubicación de la Lista de Certificados Revocados, y que se usará para comprobar si una certificado en concreto sigue siendo válido o la Entidad que lo emitió ha decidido bloquearlo.
Figura 12: CRL en certificado digital |
Esta CRL permite rutas en formato LDAP, como vimos en el artículo de "Cotillear la estructura PKI del Department Of Defense Americano", pero también en formato Http, lo que puede ser utilizado para realizar un ataque similar al de "Buscadores como arma de destrucción masiva". Es decir, se puede enviar un documento con una macro firmado por la falsa CA instalada, con un certificado con una CRL como la de esta imagen.
Figura 13: CRL Con SQL Injection |
Esto hará que nada más abrir el documento se haga un GET a la URL de la CRL, lanzándose el ataque de SQL Injection que se ha dejado cargado como una bomba de relojería al confiar en la CA que los emite.
Figura 14: La CA más falsa que judas instalada en el perfil de usuario |
¿Tiene esto sentido si la CA se ha instalado a nivel de usuario? Pues tendrá sentido en aquellos entornos en los que se utiliza un pool de usuarios para ejecutar las aplicaciones, y estos usuarios son compartidos por todas las conexiones a aplicaciones que se ejecuten, como sucede en muchos entornos Citrix.
Política 4: No macros
Viendo el éxito de las políticas anteriores nos queda la salida de la última opción, la de bloquear las macros en Excel. Esta opción no permite ningún warning ni ninguna supuesta excepción posible a la hora de ejecutar los documentos, lo que la hace aparentemente la más segura, a la par que la que más tonto dejaría a Excel, ya que le quitaría la potencia de VBA sin excepciones.
Figura 15: Warning que avisa de que las macros han sido deshabilitadas |
Sin embargo, mientras que no se haya aplicado la "castración química" del paquete de Microsoft Office mediante la aplicación de la política de Disable VBA in Office Aplications citada en la primera parte de este artículo, va a existir una forma de saltarse esta restricción y volver a ejecutar las tan ansiadas macros VBA en Excel que le vuelvan a convertir en una poderosa herramienta.
¿Cómo? Pues tendrás que esperar a la última parte de este artículo.
**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
**************************************************************************************************
3 comentarios:
eres muy bueno en seguridad quisiera aprender pero los costos de libros son muy caros soy de america sur y no gano mucho pero quiero ser especialista en seguridad tengo mucho tiempo pero nose como comenzar primero = ' (. Saludos
La Juventud de Torrejon de Ardoz (Madrid) apoyada por el colectivo Anonymous, 15M y otra serie de asociaciones civiles, expresan su repulsa por la brutal represión a la que fue sometida la ciudadanía en el desalojo del Ayuntamiento el pasado dia.
http://www.ayto-torrejon.es/NoticiasFicha.asp?ccClave=1261
Anonymous
Somos Legion
Genial, deseando ver la última entrega
Anónimo, eres un cansino con lo de anonymous ya XD
Publicar un comentario