jueves, marzo 28, 2013

De Washington D.C. a Beijing con el bug de IIS Short Name

Jugando con la FOCA en el último RootedLab de Pentesting Web Applications encontramos el bug de IIS Short Name en un par de sitios bastante curiosos que he reportado como recuerdo de todos los que estuvimos en el curso para que no se nos olvide. Aprovechando que esta noche el jueves que viene sale el programa de Ciberguerra en Mundo Hacker en el que salgo yo hablando de esto y de China, aprovecho para contaros una pequeña prueba que hice respeto a este bug y este tema.

Viendo lo extendido que está ese bug, decidí jugar un poco con FOCA a ver en qué sitios crappy me encontraba el bug. Teniendo en cuenta que ahora están tan de moda las noticias de agresiones por Internet - especialmente entre China y EEUU que han protagonizado ya varios incidentes de ciberguerra como el ya famoso informe Mandiant sobre APT1 - pensé en hacer un poco de Hacking con Buscadores y usar Shodan para localizar algunos servidores IIS que pudieran ser vulnerables en el Gobierno de China y en el Army.mil americano.

Figura 1: Buscando servidores IIS con Shodan en el dominio gov.cn

La verdad es que a los 10 minutos había abandonado la tarea, ya que el número de sitios que tienen ese bugs en los dos bandos es enorme, lo que hace sea como si tuvieran casi, un listado de directorios abiertos en los servidores, ya que una vez localizado el resto es automatizar una herramienta como nuestro plugin de FOCA PRO IIS NTFS Short Name Fuzzer.

Figura 2: Pruebas para reconocer respuestas True y False en servidores IIS

En Gobierno de China probe un par de ellos al azar, y el segundo ya era vulnerable, tal y como puede verse en estas sencillas pruebas que han de hacerse. En este caso la respuesta True a un nombre de fichero.

Figura 3: Error 404 a ficheros que comiencen por "a" significa True

Y aquí está la respuesta False. Es decir, no hay ningún nombre de fichero que comience por x en este directorio.

Figura 4: Error 400 a ficheros que comiencen por "x" significa False

En el army.mil los resultados son prácticamente análogos, basta con tirar por Shodan y localizar varios de ellos, para que rápidamente salgan sitios booleanizables con preguntas True/False sobre nombres de archivos.

Figura 5: Error 404 a ficheros que comiencen por cualquier letra significa True
Figura 6: Error 500 en este caso significa que no hay ningún fichero que comience por "x"

La verdad es que este bug es bastante fácil de localizar, por eso fue tiro hecho el encontrar uno de ellos en Apple.com, y sorprende que en sitios tan preocupados como el army.mil, donde tienen en el Departamento de Defensa Americano el sistema CLEAR (Content, Locator, Examination, Analysis and Reporting) para encontrar hasta fugas de información con metadatos, dejen este bug tan abandonado.

Saludos Malignos!

2 comentarios:

  1. ni que fuera la panacea del hack..

    ResponderEliminar
  2. @emilanet, ni un metadato, ni un robots.txt, ni un directory listing, ni un usuario invitado sin privilegios suelen ser definitivos, pero la suma da el éxito.

    Y como digo en el artículo, en USA han sacado normativa para los metadatos, y esta vulnerabilidad está reconocida como tal. Seguro que lo arreglan en el futuro.

    Saludos!

    ResponderEliminar