21 jul. 2017

Explotar EternalRomance y EternalSynergy en Windows 2016

Las recientes incidencias de ransomware han sido atribuidas en parte a herramientas de hackeo de la NSA, en particular al exploit EternalBlue. En la mayoría de los casos, estas herramientas sólo podían ser utilizadas contra versiones "antiguas" del sistema operativo Windows. Sin embargo, se ha logrado utilizar una versión modificada del exploit EternalSynergy contra versiones más recientes de Windows.

EternalSynergy es una de las herramientas de la NSA incluida en las revelaciones de The Shadow Brokers. Microsoft ha asegurado que EternalSynergy no funciona con las últimas versiones de Windows debido a mejoras realizadas en el Kernel del sistema operativo. Sin embargo, Worawit Wang (aka sleepya_) ha logrado adaptar la herramienta a versiones más recientes de Windows. La versión modificada de EternalSynergy ataca la misma vulnerabilidad de SMB, aunque utilizando una técnica diferente.

La nueva versión de EternalSynergy afecta una larga lista de versiones de Windows, incluyendo Windows 8.1, Windows Server 2012 y 2016. Wang asegura que, por ahora, los usuarios de Windows 10 están protegidos, pero que "esto podría cambiar". Con ello, alrededor del 75% de todas las computadoras operadas con Windows en todo el mundo son vulnerables a la nueva versión de EternalSynergy.

Wang optó por distribuir la herramienta a todo interesado en descargarla vía GitHub y ExploitDB junto con una descripción de cómo utilizarla contra computadoras vulnerables. Pero, hacer funcionar el exploit no es sencillo y Wang no ha publicado detalles sobre cómo hacerlo.
Por eso, Sheila A. Berta (aka UnaPibaGeek), Security Researcher en ElevenPaths, escribió un paso a paso de cómo explotar EternalRomance & Synergy en Windows Server 2016. Hace unos días Sheila también publicó cómo comprometer Windows 7/2008 R2 y 2012 R2 a través del exploit ETERNALBLUE.

Por lo tanto, todo usuario que aún no haya implementado la actualización de seguridad MS17-010 de Microsoft es vulnerable a potenciales ataques. Parchea!

Millones de dispositivos Android y iPhone vulnerables a traves de WiFi

El investigador Nitay Artenstein de Exodus Intelligence ha encontrado un bug que afecta a dispositivos de Apple y Android, permite ejecutar código de manera remota en dichos dispositivos y sin interacción del usuario.

Bautizado como BroadPwn, le corresponde la identificación CVE-2017-9417, pero aún no se sabe mucho sobre cómo funciona porque su descubridor ha decidido no publicar esa información hasta finales de mes, en BlackHat.

Lo poco que se sabe es que afecta a los chips WiFi de Broadcom usados por Apple y Android en sus dispositivos. Los chips afectados son BCM4354, BCM4358 y BCM43549 y podrían ser usados por un atacante para acceder al dispositivo a través de la red WiFi.

En el caso de iOS, lo único que tenemos que hacer es actualizar a iOS 10.3.3, la nueva versión lanzada ayer por Apple, que ya implementa el parche necesario para evitar que se aprovechen del bug.

Con respecto a dispositivos Android, las versiones afectadas son 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 y Samsung, LG, HTC, o la propia Google, tienen modelos vulnerables con esos chips de Broadcom. Google ya lanzó un parche para solucionar el bug en Android, pero como es habitual en ese sistema, no llegará al mismo tiempo a todos los usuarios.

También se recomienda actualizar gSOAP

Fuente: The Hacker News

20 jul. 2017

Dark Web, desmantelan AlphaBay y Hanza

Lo adelantamos hace unos días y ahora finalmente se confirmó: en una operación internacional coordinada entre European Cybercrime Centre (EC3) de Europol, el FBI, la DEA y la Policía Nacional Holandesa han bajado el sitio AlphaBay (AlphaBay complaint), uno de los mercados criminales más grandes de la Dark Web.
La semana pasada se supo que el misterioso cierre del 4 de julio fue porque el sitio habría sido desconectado por las autoridades internacionales.

La citada operación Bayonet de la DEA y el FBI acabó con el arresto de Alexandre Cazes, creador y administrador de este mercado negro de la Dark Web. Cazes, ciudadano canadiense de 26 años, fue arrestado en Tailandia el 5 de julio, el mismo día del "apagón" de AlphaBay.

Cazes estaba esperando su extradición a Estados Unidos cuando un guardia lo encontró ahorcado en su celda del edificio de la Narcotics Suppression Bureau en Bangkok. El creador de AlphaBay llevaba ocho años viviendo en Tailandia, donde se había casado con una mujer de este país. En el arresto se decomisaron cuatro coches de la marca Lamborghini y documentos que indicaban que poseía tres casas de lujo (el FBI apunta a esta como una de ellas) en el país. El valor combinado se estima que rondaba los 11,7 millones de dólares.
Como explicaba el experto en seguridad the grugq, una de las claves del arresto de Cazes fue su error a la hora de utilizar su dirección de correo electrónico. En diciembre de 2016 las autoridades descubrieron que el correo electrónico personal de Cazes ("[email protected]") se incluía en la cabecera del mensaje de bienvenida de AlphaBay a sus nuevos usuarios en diciembre de 2014.

Hoy, en un comunicado de prensa Europol confirmó que estas agencias también se han apoderado de otro mercado ilegal llamado Hansa.

Según Europol, "los dos mercados eran responsables del comercio de más de 350.000 productos ilícitos, incluyendo drogas, armas de fuego y malware utilizando en el cibercrimen. Este es un éxito excepcional por parte de las autoridades de Europa y Estados Unidos. Al actuar conjuntamente a nivel mundial, la comunidad policial ha enviado un claro mensaje de que tenemos los medios para identificar la criminalidad y atacar, incluso en en la Dark Web".

Después de la desaparición de la Silk Road (y el arrestó y condena a perpetua de su fundador Ross William Ulbricht), en 2014 AlphaBay se convirtió en líder en vender productos ilícitos como drogas, números de tarjeta de crédito robados, exploits y malware. Antes de su desmantelamiento, AlphaBay Market llegó a tener más de 200.000 clientes y 40.000 vendedores, con más de 250.000 listados de drogas ilegales y más de 100.000 documentos de identidad robados así como dispositivos de acceso, malware y otras herramientas informáticas de hacking.

La policía holandesa acabó arrestando a dos de sus administradores en Alemania y decomisó varios servidores en Holanda, Alemania y Lituania, pero lo sorprendente es que en esas operaciones la policía acabó tomando el control de este mercado el 20 de junio de 2017 sin que la mayoría de los usuarios lo sospechase. La entrevista de una de las responsables de la investigación en Krebs On Security da más detalles sobre esa operación.

Las autoridades federales revelaron que en secreto tomaron el control sobre el mercado Hansa hace un mes y lo mantuvieron funcionando en un esfuerzo por monitorear las actividades de vendedores y compradores, sin su conocimiento. Durante el mismo período las autoridades federales deliberadamente bajaron AlphaBay, obligando a sus usuarios a unirse a Hansa y así como rastrear el comercio ilegal.

La policía holandesa ha creado un sitio en la red Tor en la que se avisa de que la investigación contra vendedores de drogas y otros productos ilegales está en marcha. "Si eres uno de ellos, tienes nuestra atención.", afirman.

Fuentes:

Nuevos documentos filtrados de la CIA [Vault 7 - Wikileaks]

Wikileaks divulgó en el marco del proyecto Vault 7 un nuevo paquete de documentos secretos de la CIA denominados UCL/Raytheon y que incluyen informes sobre el funcionamiento de algunos programas utilizados por terceros para hacer espionaje de ciertos objetivos.

"Los documentos en su mayoría contienen ideas, que prueban el concepto de funcionamiento, y la evaluación de los vectores de ataque de programas malignos, parcialmente basadas en los documentos de acceso público de los investigadores de seguridad y empresas privadas de seguridad informática", dice una nota que acompaña a la filtración.

La nueva filtración contiene documentos elaborados por la empresa contratista Raytheon Blackbird Technologies en el marco del proyecto UMBRAGE Component Library (UCL) enviados a la CIA en noviembre de 2014 y septiembre de 2015.

Según Wikileaks, la empresa llevó a cabo "análisis de los ciberataques en su ámbito natural e hizo recomendaciones a los equipos desarrolladores de la CIA para la ulterior investigación y el desarrollo de la prueba del concepto de sus propios programas malignos".

El informe fue utilizado por la CIA para desarrollar su propio Remote Development Branch (RDB) con proyecto de malware avanzado. También se ha revelado que el proyecto UMBRAGE consideraba el desarrollo de software para Macintosh, a partir de códigos de código y herramientas de spyware disponibles públicamente.

La información de cada informe

  • Reporte 1: Raytheon detalló el uso de una variante , que fue desarrollado en 2015. Este RAT está diseñado para hacer capturas de teclado y fue utilizado por un grupo de espionaje chino y una APT llamado "Emisary Panda".
  • Reporte 2: este documento brinda detalles de la variante de la herramienta también conocido como IsSpace, que fue utilizado por Samurai Panda, otro grupo de hacking chino. En este caso se utiliza un exploit 0-Day de Adobe Flash (CVE-2015-5122 - Hacking Team Dump) y una técnica de bypass de UAC para enumerar credenciales de Windows y saltear el Firewall.
  • Reporte 3: este informe contiene detalles sobre "Regin", un muy sofisticado ejemplo de malware que se ha detectado durante el año 2013 y principalmente diseñado para la vigilancia y la recolección de datos. Regin es una herramienta de ciberespionage y se ha llegado a afirmar que es más sofisticado Stuxnet y Duqu. Siempre se creyó que fue desarrollado por la NSA. Este malware utiliza un método modular que permite a un operador habilitar ajustes personalizados y es altamente persistentes, pensado para operaciones de largo plazo.
  • Reporte 4: detalla un malware supuestamente desarrollado por Rusia y llamado "HammerToss", el cual fue descubierto en 2015 pero que se sospecha que fue utilizado desde 2014.
  • Reporte 5: este documento detalla una inyección de código y métodos de API hooking de un troyano llamado "Gamker".
La semana pasada, WikiLeaks también divulgó el Proyecto Highrise que permitía a la agencia recolectar datos desde teléfonos comprometidos y enviarlos a su servidor a través de mensajes SMS.

Hasta ahora WikiLeaks ha publicado 17 paquetes con información de herramientas utilizadas por la CIA.

Fuente: The Hacker News

Vulnerabilidad crítica en cámaras Axis y protocolo gSOAP

La empresa Senrio encontró que Axis Communications, uno de los mayores fabricantes de cámaras web de seguridad en todo el mundo, tiene modelos de cámaras vulnerables a desbordamiento de búfer de pila (CVE-2017-9765).
La explotación de la vulnerabilidad a la que bautizaron Devil's Ivy, resulta en la ejecución remota de código en gSOAP (Simple Object Access Protocol), una biblioteca de código abierto de terceros. Cuando se explota, permite a un atacante acceder remotamente a un feed de vídeo o denegar al propietario dicho acceso. Dado que estas cámaras están destinadas a asegurar algo, como el lobby de banco, esto podría conducir a la recopilación de información sensible o evitar que un crimen sea observado o registrado.

Axis informó a Senri que Devil's Ivy está presente en 249 modelos de cámaras, con la excepción de tres de sus cámaras más antiguas. Una vez que se comprobó que el arreglo de Axis solucionaba la vulnerabilidad, Axis comenzó a liberar rápidamente el firmware parcheado y a impulsar a sus clientes a actualizar.

El impacto de la vulnerabilidad es grave y se encuentra profundamente en la capa de comunicación, en la biblioteca gSOAP que son un conjunto de herramientas de servicios web ampliamente utilizado y que permite que los dispositivos de todo tipo puedan "hablar" con Internet.

Para ayudar a entender la magnitud y alcance de esta vulnerabilidad, la empresa Genivia que gestiona gSOAP, afirma tener más de 1M de descargas de la biblioteca, la mayor parte de los cuales son probablemente desarrolladores, incluso con IBM, Microsoft, Adobe y Xerox como clientes. Por ejemplo, en 2017 se ha descargado 30.000 veces.

Además, Axis es una de las miles de compañías que forman parte del foro de ONVIF, una organización responsable de mantener software y protocolos de red de propósito general, suficiente como para que una variedad de compañías lo utilicen en una amplia gama de productos de seguridad física. Aproximadamente el 6% de los miembros del foro utilizan gSOAP y por lo tanto es probable que decenas de millones de productos y dispositivos sean afectados por Devil's Ivy, aunque en este momento no se puede determinar en qué medida pueden explotarse dichos dispositivos.

Axis informó inmediatamente a Genivia, quien lanzó un parche. Axis también se acercó a ONVIF para asegurar que todos los miembros del foro sean conscientes de la cuestión, y puedan avanzar rápidamente para desarrollar una solución.

Recomendaciones

  1. Mantener los dispositivos de seguridad física fuera de la Internet pública. A partir del 1 de julio, una búsqueda de Shodan indicó más de 14.700 cámaras de domo Axis accesibles públicamente a cualquier persona en el mundo. Todas las cámaras que son vulnerables a Devil's Ivy son potencialmente explotables. Los dispositivos como las cámaras de seguridad deben estar conectados a una red privada, lo que hará que la explotación sea mucho más difícil.
  2. Colocar un firewall u otro mecanismo defensivo frente al dispositivo IoT, o utilizar NAT para reducir su exposición y mejorar la probabilidad de detectar amenazas contra ellos.
  3. Parchear los dispositivos IoT no siempre es posible, incluso cuando el SO subyacente es algo familiar, como Windows XP. Cuando un fabricante publica un parche, asegúrese de actualizar sus dispositivos lo antes posible. Si esto no está dentro de su control, coloque otras capas de seguridad entre su dispositivo vulnerable y el Internet externo.
Para ver el exploit en acción, se puede ver video que publicó la empresa

Fuente: Senrio

19 jul. 2017

Estonia, se prepara para sus elecciones a través de Internet

Estonia, el único país del mundo donde los votantes eligen a sus líderes mediante una votación online, está tomando medidas para defenderse de posibles ataques de piratería informática mientras los temores por la seguridad cibernética se intensifican.

Una actualización del software utilizado para el sistema, que fue introducido en 2005, está lista para ser sometida a pruebas antes de las elecciones locales de octubre, según Tarvi Martens, responsable de la votación electrónica del Comité Electoral Nacional. La actualización incluye funciones para impedir la manipulación conocidas como verificabilidad de extremo a extremo, la cual aborda las preocupaciones de seguridad de grupos como la Organización para la Seguridad y la Cooperación en Europa (OSCE), dijo.

"La verificabilidad de extremo a extremo es el 'santo grial' del voto electrónico", dijo Martens este mes en una entrevista telefónica. "Cuando hablamos de críticas internacionales, el nuevo software ahora las aborda".

El país báltico de 1.3 millones de personas -un centro tecnológico que ayudó a crear Skype, aloja el centro de defensa cibernética de la OTAN y recibe el 99% de las declaraciones de impuestos online- está en alerta después de que Estados Unidos acusara a Rusia de haber atacado sus elecciones presidenciales de 2016. Estonia, miembro contra su voluntad de la Unión Soviética durante 50 años, culpa al Kremlin de un ataque cibernético masivo hace 10 años que desactivó el Gobierno, los medios de comunicación y los sitios web bancarios durante horas. Rusia niega haber participado en los incidentes de Estados Unidos o Estonia.

Dado que casi un tercio de los votos fueron emitidos electrónicamente en las elecciones generales de Estonia en 2015, el primer ministro Juri Ratas dijo la semana pasada en una entrevista que "es necesario un trabajo cotidiano para mejorar su seguridad, ya que cualquier irrupción socavaría la credibilidad de todo el sistema".

En 2014, un grupo de expertos dirigido por Alex Halderman, un profesor de la Universidad de Michigan, recomendó la "retirada inmediata" del voto estonio por Internet, citando "importantes" riesgos de seguridad. Al año siguiente, la OSCE instó a Estonia a garantizar la verificabilidad de extremo a extremo. Algunos miembros del Partido del Centro quieren que se elimine la votación electrónica.

Para emitir su voto, los electores estonios necesitan una tarjeta de identificación y deben pasar dos niveles de verificación protegidos por códigos de acceso. La Autoridad del Sistema de Información de Estonia, que supervisa la seguridad cibernética del Gobierno, dice que el sistema no puede ser violado y, para Martens, la autentificación versátil y la adaptabilidad a diferentes tamaños de grupos de votantes significan que otros países podrían usarlo.

El sistema de Estonia es muy diferente del estadounidense, según Martens. Los ataques en Estados Unidos consistieron en incursiones en bases de datos de votantes y sistemas de software. "Los problemas estadounidenses no se relacionan con la votación por Internet, sino con las máquinas para votar", dijo Martens. "Hay un montón de máquinas y nadie puede supervisar el software que entra en cada una. En la votación por Internet, hay una sola pieza de software que puede ser controlada".

Fuente: Economía Hoy

Oracle soluciona 308 vulnerabilidades (parchea, si puedes)

Este mes los administradores de Oracle deben hojear el mayor paquete trimestral de actualizaciones de la historia: la CPU (Critical Patch Update) de julio tiene 308 vulnerabilidades, 165 de las cuales son de explotación remota y en más de 90 productos de la empresa. En lo que va de 2017, Oracle ha solucionado 878 vulnerabilidades en tres paquetes.

Esta actualización gigantesca de Oracle supera el récord de 300 parches de abril pasado. Desde el CPU de abril de 2017, el mundo ha sido sacudido por ataques globales de malware que explotan fallas conocidas. Si bien las soluciones están fácilmente disponibles, los equipos de seguridad están sobrecargados y con pocos recursos por lo que no pueden aplicar los parches lo suficientemente rápido como para mantenerse por delante de los atacantes.

Las empresas continúan dependiendo de aplicaciones legadas que no pueden ser parcheadas o actualizadas, creando otra vía de ataque. Ahora, esta nueva CPU introduce un paquete de actualizaciones lo suficientemente grande como para esta actualizando durante los próximos meses.

Oracle E-Business Suite es responsable de más de 120 de las vulnerabilidades tratadas en la actualización, 118 de las cuales son explotables remotamente. Oracle Fusion Middleware soluciona 18 vulnerabilidades y Java SE aborda 17, pero 16 fallas son explotables remotamente.
Siete de las vulnerabilidades de Fusion Middleware tienen una puntuación CVSS de al menos 8.6 y 3 son remotamente explotables. Oracle Outside In Technology, Tuxedo y WebLogic Server tiene vulnerabilidades valorados en 9.8.

Tres vulnerabilidades de Java SE, Java SE Embedded y JRockit tienen una puntuación de al menos 9.0, todas son explotables remotamente y afectan a múltiples versiones del software.

Oracle también corrigió 37 vulnerabilidades en la suite de aplicaciones de Oracle Financial Services, 14 de las cuales eran explotables remotamente. Cuatro bugs en el componente Oracle FLEXCUBE califican con una puntuación CVSS de al menos 8.1, pero sólo uno de ellos es remotamente explotable.

También vale la pena destacar cinco parches en Oracle Database Server, tres de los cuales son remotamente explotables en los componentes Oracle Secure Backup y Oracle Big Data Graph incluidos con el servidor.

Fuente: ThreatPost

Vulnerabilidad y exploit para Webex (Parchea!)

Cisco Webex es un servicio propiedad de la conocida empresa de telecomunicaciones que busca ofrecer a los usuarios la posibilidad de realizar todo tipo de videoconferencias a través de Internet. Este servicio funciona de muchas formas diferentes, aunque una de las más utilizadas es a través de las extensiones oficiales para los principales navegadores, Google Chrome y Firefox, que nos permiten hacer uso de este servicio de videoconferencias directamente desde el navegador. Sin embargo, debemos tener cuidado con estas extensiones, y es que, sin saberlo, han estado poniendo en peligro a los usuarios por culpa de una vulnerabilidad crítica recién descubierta.

Hace unos días, el experto de seguridad de Google Project Zero, Tavis Ormandy, hacía pública una vulnerabilidad crítica en las extensiones de Google Chrome y Mozilla Firefox de Cisco Webex. Esta vulnerabilidad, considerada tanto por el experto de seguridad como por Cisco como crítica, puede permitir a un atacante ejecutar código de forma remota en los equipos que ejecuten esta extensión sin demasiada dificultad hasta el punto de llegar a tomar el control del equipo vulnerable.

Para explotar la vulnerabilidad, un atacante simplemente debía engañar a un usuario para visitar una página web o acceder a un enlace malicioso con el exploit, controlado por el atacante, que cargue en la extensión el correspondiente exploit de manera que se pueda explotar la vulnerabilidad.
Cuando el atacante consigue explotar la vulnerabilidad puede, por ejemplo, ejecutar cualquier aplicación del sistema en nuestro sistema operativo, desactivar ciertas funciones y medidas de seguridad e incluso llevar a cabo ataques de malware más complejos.

Tal como asegura la compañía en su boletín de seguridad, todas las versiones anteriores a la 1.0.12 de Cisco Webex para Google Chrome y Mozilla Firefox son vulnerables a este peligroso fallo de seguridad, por lo que, para protegernos de él, debemos asegurarnos de tener instalada, al menos, dicha versión de la extensión de manera que el fallo quede mitigado y nuestro ordenador no corra peligro.

Además, como medidas de seguridad adicionales, es recomendable asegurarnos de tener nuestro sistema Windows actualizado con los últimos parches de seguridad y un software de seguridad preparado para detectar y bloquear cualquier amenaza, como Windows Defender.

Actualiza Cisco Webex cuanto antes, existe un exploit público.

Si no utilizamos Cisco Webex, también podemos optar por desinstalar la extensión de nuestro navegador de manera que nos aseguremos que en ningún momento nuestra seguridad corre peligro.

Para finalizar, Cisco ha confirmado que las extensiones de Internet Explorer, Microsoft Edge y las equivalentes para macOS y Linux no son vulnerables a estos ataques informáticos.

Fuente: Redes Zone | Project Zero

18 jul. 2017

Roban USD 7,4 millones en Ethereum cambiando una dirección de pago

Y no, no es un clickbait de "no te creerás cómo se pueden robar 8 millones de dólares en Bitcoin con este simple truco". El robo se produjo hace unos días cuando una startup israelí, llamada CoinDash, lanzara un ICO (Initial Coin Offering), que sirve para financiar proyectos. En ese ICO, los inversores podían enviar fondos a la dirección ofrecida por la empresa. O eso creían.

Tres minutos después de lanzarse el ICO, un delincuente robó 8 millones de dólares en tokens de Ether, simplemente cambiando la dirección a la que se enviaban las monedas. En total, obtuvo 43.438,455 Ether, que al valor actual de la moneda equivalen a casi 8,2 millones de dólares.

La dirección para enviar el dinero se publicó inicialmente en la página para inversores de CoinDash. Unos minutos después, la compañía advirtió de que la pagina había sido hackeada, y que la dirección que aparecía en ella era fraudulenta, y pidieron a la gente que no enviaran Ethereum a la dirección que aparecía en la página. Este mensaje, por desgracia, llegó demasiado tarde. Mientras que el hacker se llevó el equivalente a unos 8 millones de dólares, la dirección “real” de CoinDash recibió 6,4 millones de dólares durante el tiempo en el que apareció.

La web todavía sigue bajo ataque y está caída

Además de que todavía no han identificado al atacante, CoinDash todavía está bajo ataque. Se avisa a los inversores que no envíen ninguna moneda a la página de CoinDash, pues el ICO ya acabó, y las direcciones que aparecen pueden ser fraudulentas. La página de la compañía está sin conexión actualmente, y la compañía ha habilitado un formulario de Google para los usuarios afectados.
ethereum-cryptocurrency-hack
A pesar de que afirmaron que se trataba de un hack, hay quien sospecha que en realidad pudieron ser los propios miembros de CoinDash quienes cambiaron la dirección para quedarse con unos cuantos millones de dólares en Ether en su cuenta personal. Los usuarios que enviaron dinero a la cuenta fraudulenta recibirán tokens de CoinDash.

Este hack recuerda al que ocurrió el año pasado, donde en un ICO desaparecieron 50 millones de dólares después de que unos delincuenetes aprovecharan una vulnerabilidad en el código de un fondo de capital llamado Decentralised Anonymous Organisation (DAO).

Fuente: ADSLZone | The Hacker News

Extensiones para convertir Chrome en una herramienta de Pentesting

En cuanto navegadores me declaro incondicional de Firefox desde su nacimiento, me sirvió en su momento para apartarme de IE y he seguido usándolo hasta nuestros días, incluso para pentesting: FireCAT, Hcon STF, Firefox Security Toolkit, OWASP Mantra y algunas otras extensiones siempre han cubierto de sobra mis necesidades y gustos.

Pero hoy en día casi el 45% de la "cuota de mercado" de navegadores la tiene Google Chrome por lo que entiendo que muchos pentesters se sienten más cómodos utilizándolo durante sus auditorías. Por ello y porque nunca hay que cerrarse al uso de nuevas herramientas, me pareció muy interesante una recopilación en Infosec Institute con 19 extensiones que convertirán al popular navegador en una verdadera "caja de utilidades" para pentesting.

Para agregarlas sólo tenéis que seguir cada enlace correspondiente y añadiréis nuevas y potentes funcionalidades, dejando la barra de vuestro navegador de forma similar a la siguiente:
  1. Web developer: es una extensión de Google Chrome que agrega una barra con varias herramientas de desarrollo web en Chrome. Esta extensión ayuda a analizar elementos de la aplicación web como HTML y JS.
  2. Firebug Lite for Google Chrome: Proporciona un rico entorno visual para analizar elementos HTML, elementos DOM y otros Box Model Shading. También permite editar CSS en tiempo real. Ayuda en el análisis de cómo una aplicación está trabajando en el lado del cliente.
  3. D3coder: permite codificar y decodificar texto seleccionado a través del menú contextual. Por lo tanto, reduce el tiempo para codificar y decodificar cadenas utilizando herramientas separadas. Soporta Timestamp, rot13, base64, hashes CRC32, MD5 y SHA1, bin2hex, bin2text, unserialize, etc.
  4. Site Spider: Es una extensión que agrega un crawler en Chrome. Rastrea todas las páginas e informa de todos los enlaces rotos. También se puede configurar añadiendo restricciones y expresiones regulares, que funcionen en el lado del cliente, y usar autenticación para acceder a todas las páginas. Esta extensión es de código abierto.
  5. Form Fuzzer: se utiliza para completar diferentes campos de formulario con caracteres predefinidos. También puede marcar casillas de verificación, botones de radio y seleccionar elementos en formularios. Cuenta con un menú de configuración donde se pueden gestionar todas las configuraciones de la extensión. Es muy útil para probar formularios. Muy útil en la realización de ataques de inyección XSS y SQL.
  6. Session Manager: es una potente extensión de Chrome que permite a los usuarios guardar, actualizar, restaurar y eliminar conjuntos de pestañas. Puede crear un grupo de pestañas del mismo interés y restaurarlas con un solo clic.
  7. Request Maker: es una herramienta base de pentesting. Se utiliza para crear y capturar peticiones, manipular la URL y crear nuevos encabezados con datos POST. Puede capturar las solicitudes realizadas a través de formularios o XMLHttpRequests. Su función es similar a Burp. También es útil en la realización de varios tipos de ataques en una aplicación web mediante la modificación de las solicitudes http.
  8. Proxy SwitchySharp: es una extensión proxy que ayuda a administrar y cambiar entre múltiples proxies rápidamente. También tiene una opción para cambiar de proxy automáticamente basándose en la URL y puede importar o exportar datos fácilmente.
  9. Cookie Editor: una buena extensión para editar las cookies. Esta herramienta es realmente útil mientras se secuestran sesiones y permite borrar, editar, agregar o buscar cookies. También permite a los usuarios proteger, bloquear o exportar cookies en json. Esta extensión viene por defecto con anuncios (que pueden desactivarse) pero todos los ingresos van a Unicef para ayudar a los niños en todo el mundo.
  10. Cache Killer: esta extensión limpia automáticamente el caché del navegador antes de cargar las páginas. Se puede activar o desactivar fácilmente con un solo clic. Es útil para pasar por alto la caché del navegador y ver el sitio web en caso de que haya cambiando. Muy útil para los desarrolladores web.
  11. XSS Rays: es una extensión que ayuda a encontrar vulnerabilidades XSS en un sitio web. Comprueba si hay inyecciones e inspecciona objetos y también puede extraer, ver y editar fácilmente los formularios de forma no destructiva incluso si los formularios no pueden editarse. Muchos pentesters usan esta extensión como una herramienta de prueba XSS dedicada. Es un escáner XSS en JavaScript puro.
  12. WebSecurify: es una herramienta de seguridad web multiplataforma que se ejecuta directamente desde el navegador. Es capaz de encontrar XSS, XSRF, CSRF, inyecciones SQL, subida de archivos, redirecciones de URL y varias otras vulnerabilidades de seguridad. Tiene un crawler incorporado que escanea y rastrea las páginas.
  13. Port Scanner: esta extensión agrega la capacidad de escanear puertos TCP al navegador. Port Scanner analiza cualquier dirección IP o dirección URL y luego busca los puertos abiertos. También está disponible para Opera y Mozilla Firefox.
  14. XSS chef: ayuda a identificar vulnerabilidades XSS en aplicaciones web. Es similar a BeEF, pero para los navegadores. Realiza las siguientes tareas:
    • Monitoriza las pestañas abiertas de las víctimas
    • Ejecuta JS en cada pestaña (XSS global)
    • Extrae HTML, lee/escribe cookies (también httpOnly), almacenamiento local
    • Obtiene y manipula el historial del navegador
    • Mantiene la persistencia hasta que se cierre el navegador completamente (o incluso más si puede persistir en el almacenamiento local de las extensiones)
    • Hace una captura de pantalla de la ventana de víctimas
    • Explotación adicional, por ej. mediante hooks BeEF, keyloggers, etc.
    • Explora el sistema de archivos a través de file://
    • Evade el sandbox de contención de scripts de extensiones de Chrome para interactuar directamente con el JS de la página
    Esto no es una extensión sino un framework. Por lo tanto, la instalación no es la misma que cualquier otra extensión. Echa un vistazo el enlace oficial y mira cómo instalarlo en Chrome.
  15. HPP Finder: es útil para encontrar la vulnerabilidad HTTP Parameter Pollution (HPP) y explotarla. Esta herramienta puede detectar y explotar fácilmente los formularios HTML o URLs que podrían ser susceptibles de ataques de contaminación de parámetros HTTP.
  16. The Exploit Database: no es una herramienta de pentesting en sí, pero ayuda a mentenersse actualizado con todas las últimos exploits, shellcodes y documentos técnicos disponibles en Exploit-DB. Se trata de una herramienta de código abierto y el código fuente se puede encontrar aquí: http://github.com/10n1z3d/EDBEAdd
  17. GHDB: esta extensión ayuda a realizar las consultas necesarias para encontrar páginas específicas basadas en parámetros especiales de búsqueda de Google (dorks).
  18. iMacros for Chrome: Mientras se realizan varias pruebas en páginas web es posible que se necesite automatizar algunas tareas repetitivas en la web. Para ello, se puede utilizar iMacros.
  19. IP Address and Domain Information: se trata de una extensión de recopilación de información que puede ayudar a encontrar la ubicación geográfica, DNS, whois, enrutamiento, resultados de búsqueda, alojamiento, domain neighbors , DNSBL, BGP y ASN información de cada dirección IP (IPv4 e IPv6)
Fuente: HackPlayers | InfoSecInstitute