O Maior evento de Hacking e Segurança da Informação do Brasil

Pentest em SharePoint

Victor Pasknel

meterpreter > sysinfo

● Victor Pasknel (Msc / CEH / ECSA)● Consultor de Segurança (Morphus)● Professor Universitário (Especialização)● Pesquisador (Análise de tráfego / IDS)● Blog: HackingComTapioca● Baterista (Coldness / X-Metal)

7/15/14 3

Agenda

1) Introdução2) Metodologia3) Ferramentas4) Conclusões

7/15/14 4

Introdução

7/15/14 5

Introdução

● SharePoint– Lançado em 2001 pela Microsoft– Utilizado por 78% das empresas na “Fortune 500” (Microsoft)– Objetivos do SharePoint

• Criado para oferecer serviços para aplicações• Frequentemente encontrado em portais (intranet/extranet)

– Mais do que uma plataforma web!• Gerenciamento de contéudo / documentos (entre outros...)• Aplicações customizadas

7/15/14 6

Introdução

● SharePoint (Versões)– Diversas versões foram lançadas

• Microsoft SharePoint Portal Server 2001• Microsoft SharePoint Team Services (2002)• Microsoft Office SharePoint Server 2007• Microsoft SharePoint Foundation 2010• Microsoft SharePoint Foundation 2013• SharePoint Online (Cloud)

– Edições• Foundations, Standard e Enterprise• Baseado na necessidade da empresa

7/15/14 7

Introdução

● Aplicativos para SharePoint– Aplicações web de terceiros (Mais funcionalidades!)

7/15/14 8

Introdução

● Penetration Testing (Pentest)– “Simulação” de um ataque real contra uma empresa– Foco no acesso!– Etapas de um Pentest

• Levantamento de Informações• Scanning / Enumeração• Análise de Vulnerabilidades• Exploração• Pós-exploração

7/15/14 9

Metodologia

7/15/14 10

Metodologia

● Pentest em SharePoint– Etapas de um Pentest aplicadas para SharePoint!– Principais técnicas / ferramentas:

• Levantamento de Informações• Scanning / Enumeração• Análise de Vulnerabilidades

7/15/14 11

Metodologia

● Levantamento de Informações– Utilização de informações publicadas na Internet– Não existe contato direto com o alvo (vitima)– Google Hacking:

• Consultas avançadas do Google• Encontrando servidores em um determinado domínio• SharePoint GoogleDiggity Dictionary

– http://www.bishopfox.com/download/411/

7/15/14 12

Metodologia● Levantamento de Informações

– Google Hacking (Exemplos)• site:dominio.com.br +inurl:”/_layouts/viewlsts.aspx”

7/15/14 13

Metodologia● Levantamento de Informações

– Google Hacking (Exemplos 02)• site:dominio.com.br +inurl:”/_layouts/viewlsts.aspx”

7/15/14 14

Metodologia

● Scanning / Enumeração– Descobrir servidores SharePoint presentes no alvo– Verificação de banners (identificação de versão)– Shodan

• Autor: John Matherly• Página Oficial: http://www.shodanhq.com/• Banco de banners (de serviços) obtidos pela internet• Permite realizar pesquisas customizadas!• Conjunto de portas específicas:

– TCP: 21, 22, 23, 80, 443, 8080– UDP: 161, 5060

7/15/14 15

Metodologia

● Scanning / Enumeração– Cabeçalho HTTP

• Campo: “MicrosoftSharePointTeamServices”

7/15/14 16

Metodologia

● Scanning / Enumeração– Shodan (Servidores Web)

"MicrosoftSharePointTeamServices"– Shodan (Servidores MSSQL)

• "InstanceName;SHAREPOINT"

7/15/14 17

7/15/14 18

7/15/14 19

Metodologia

● Análise de Vulnerabilidades– Descoberta de vulnerabilidades

• Versões específicas de SharePoint• Aplicações web para SharePoint

– Principais Pontos:• Exploits conhecidos (públicos)• Problemas comuns

7/15/14 20

Metodologia

● Exploits Conhecidos (Exemplos)– Histórico de XSS

• CVE-2014-1754 (SharePoint Server 2013)• CVE-2013-3180 (SharePoint Server 2010 SP1 e SP2)• CVE-2013-3179 (SharePoint Server 2007 SP3 / 2010 / 2013)• Entre outros...

– RCE• CVE-2014-0251 (SharePoint Server 2007 SP3 / 2010 / 2013)

– Metasploit• CVE-2010-3964 / MS10-104 (SharePoint Server 2007 SP2)

7/15/14 21

Metodologia

● Problemas Comuns– Aplicações web para SharePoint

• Não deixa de ser uma aplicação web• SQLi, XSS, CSRF...

– Categorias• Páginas padrões• Permissões impróprias • Tipos de Conteúdos

7/15/14 22

Metodologia

● Páginas Padrões– SharePoint apresenta uma série de páginas padrões

• Depende da versão e configuração utilizada– Exemplos:

• Perfil de usuários (integração com AD)• Dados organizacionais• Geração de conteúdo

– “Explorando páginas padrões”• Extração de MUITAS informações úteis para o atacante• Forte vetor para ataques de engenharia social

7/15/14 23

Metodologia

● Páginas Padrões (Exemplos)– Enumeração de Usuários / Grupos

• /_layouts/userdisp.aspx?ID={XYZ}• /_layouts/MyPage.aspx• /_layouts/groups.aspx

– Web Services• “/_vti_bin/people.asmx”

– Geração de Conteúdo• “/_layouts/bpcf.aspx”

7/15/14 24

7/15/14 25

7/15/14 26

Metodologia

● Permissões Impróprias– Usuários podem publicar documentos no SharePoint– Problemas frequentes:

• Usuário costumam utilizar permissões amplas• Informações sensíveis são publicadas

– Logins e senhas (em texto claro!)– Endereços de aplicações internas

– Mapeando permissões• Processo semi-automático

– Crawlers– Mecanismo de busca

7/15/14 27

Metodologia

● Tipos de Conteúdos– Categorias de Problemas:

• Client-Side– Upload de páginas web com java script malicioso (XSS)– Problemas de confiança

• WebShells– Webshells (aspx) enviado para o servidor– Execução de comandos!

• Malware– Upload de executáveis (Ex: backdoors)– Problemas de confiança (de novo!)

7/15/14 28

Ferramentas

7/15/14 29

Ferramentas

● Ferramentas– Sparty– SPScan– Metasploit (GitHub)– BeEF

7/15/14 30

Ferramentas

● Sparty– Autor: Aditya K Sood (http://sparty.secniche.org/)– Script para análise de aplicações web (frontpage e sharepoint)– Ferramenta lançada no Black Hat USA 2013 – Principais Funcionalidades:

• Detecção de versão• Detecção de web services• Enumeração de arquivos (páginas padrões)• Entre outros...

7/15/14 31

Ferramentas

● SPScan– Autor: SecureIdeas (http://sourceforge.net/projects/spscan/) – Script para avaliar servidores SharePoint (Escrito em Ruby)– Criado a partir do WPScan (Word Press Scanner)– Principais Funcionalidades:

• Detecção de versão• Detecção de plugins

7/15/14 32

Ferramentas

● Metasploit (Módulos de Terceiros)– Metasploit SharePoint Scraper

• Autor: syntaxerr66 (GitHub)• Enumeração de usuários através de “/_layouts/user.disp.aspx”• Extração de dados (Nome, email, telefone, cargo...)

7/15/14 33

Ferramentas

● Browser Exploitation Framework (BeEF)– Autor: Wade Alcorn (http://beefproject.com)– Focado em exploração de browsers (via XSS)– Integração com Metasploit!– Injetar JavaScript (BeEF) em HTML e compartilhar!

• Política de “Same-Origin” não é quebrada!• JavaScript pode interagir com páginas do SharePoint

7/15/14 34

Conclusões

7/15/14 35

Conclusões

● SharePoint cada vez mais presente nas organizações● “Mina de ouro” de informações para o atacante● Grande oportunidade para engenharia social!● Customização de ferramentas pode ser necessário

7/15/14 36

7/15/14 37

7/15/14 38

7/15/14 39

7/15/14 40