0xsecure: noviembre 2019

ARP Spoofing (Suplantación de ARP)

Adres Resolution Protocol o ARP es el protocolo que tiene la función de asociar una dirección IP a una dirección MAC, los modems, routers, equipos de computo, etc, tienen tablas ARP.

Debido a que no se tiene necesidad de utilizar direcciones IP publicas en entornos domésticos, empresariales en donde no se publique ningún servicio hacia Internet y también por el problema de que las direcciones IP publicas se estaban agotando, se implemento las direcciones IP privadas y el protocolo ARP.

Explicación Práctica

Cuando envías una petición a cualquier recurso en Internet, esta petición se hará desde tu dirección IP publica, que seria la de tu módem domestico, cuando el recurso desde Internet responda la petición lo hará a la dirección IP publica de tu módem y este mediante la ayuda de las tablas ARP direccionara el trafico a su destinatario correspondiente.

Consultar la tabla ARP

En la configuración avanzada de los Modems, podemos encontrar la tabla ARP en donde están asociadas las direcciones MAC con su respectiva dirección IP.

Para Sistemas Operativos Windows, se puede consultar las tablas ARP para cada interfaz de red con el comando arp -a:

Para Sistemas Operativos basado en Linux, se puede consultar las tablas ARP para cada interfaz de red con el comando arp -a:

PoC: Realizar Ataque ARP Spoofing

Se realizara un ataque ARP Spoofing a un equipo de computo con Sistema Operativo Windows, para esto estableceremos el siguiente diagrama de red con el cual no apoyaremos en esta demostración:

Etiquetas: Hacking

Autenticación a Nivel Red (NLA) para conexiones de Servicios de Escritorio Remoto VS BlueKeep

Recientemente el equipo de Microsoft DART (Detection and Response Team) publicó medias para para evitar afectaciones a servidores vulnerables a BlueKeep (2019-0708) en los servicios de Escritorio Remoto debido a que se han liberado explois públicos y se ha detectado los primeros ataques masivos a nivel mundial, esta vulnerabilidad es de nivel de riesgo alto debido a que es escalable y se puede ejecutar código remoto sin autenticación.

Las versiones afectadas de Windows son Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 y todas las versiones compatibles de Windows 10.

Las medidas que recomienda el equipo de Microst DART (Detection and Response Team) fuerón las siguientes:

1. Deshabilitar los servicios de escritorio remoto, expuestos desde Internet.
2. Limitar mediante el Firewall perimetral empresarial el acceso al puerto 3389.
2. Instalar los parches de seguridad recientemente liberados por Microsoft.
3. Implementar la autenticación de doble factor.

Y por ultimo, habilitar la Autenticación a Nivel Red (NLA), esto obliga a los usuarios a autenticarse antes de conectarse a sistemas remotos, lo que disminuye drásticamente la posibilidad de éxito de la explotación de la vulnerabilidad, el DART recomienda ampliamente habilitar esta medida ya que ayuda a mitigar una gran cantidad de ataques.

Para sistemas empresariales, se puede habilitar mediante un Objeto de Política de Grupo (GPO):

Vamos a la ruta Policy > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host >Security

Por ultimo habilitaremos Require user authentication for remote connections by using Network Level Authentication.

La ventaja de habilitar NLA a nivel GPO de seguridad en todo lo servidores y equipos, es que la vulnerabilidad quedara parcialmente mitigada hasta que se instalen los parches de seguridad correspondientes y si se llegase a comprometer algún servidor o equipo no se podrá escalar a otros dentro de la red con la misma vulnerabilidad.

Referencias:

https://www.microsoft.com/security/blog/2019/08/08/protect-against-bluekeep/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/

Etiquetas: BlueTeam