Canal de Telegram

19 jun 2009

Segu-Info » , » Ataques "Client Side", la puerta trasera de toda compañía

Ataques "Client Side", la puerta trasera de toda compañía

19 jun 2009, 6:55:00 p.m.   Comenta primero!
  ,  
Diego A. Spahn (Senior Penetration Testing Engineer - Global Crossing)

Escenario

Mi compañía está segura!! Tengo un IPS (Intrusion Prevention System): esta es una frase que estamos escuchando cada vez más seguido de nuestros clientes. Lejos de aquellos días en los que fácilmente se lograban explotar vulnerabilidades triviales sin ningún tipo de complejidad, hoy nos encontramos con un escenario totalmente diferente.

Tiempo atrás, solo las compañías más concientizadas utilizaban un Firewall en sus perímetros mientras que la mayoría no lo hacían. En los últimos años, ese pensamiento fue cambiando al punto que actualmente no hay empresa que no sepa que debe colocar al menos un firewall para protegerse de “ciertas” amenazas.

Hoy en día cada vez más compañías utilizan sistemas avanzados de detección y prevención de intrusos en su perímetro haciendo las tareas un poco difíciles a los atacantes casuales o script kiddies. Este último punto tiene que recalcarse dado que cualquier persona no demasiado técnica puede descargar herramientas gratis, leer un tutorial y simplemente empezar a escanear segmentos enteros.

Una gran (des)ventaja de estos sistemas proactivos es la de hacer “creer” a los atacantes que los sistemas están al día y configurados correctamente (se lo conoce como virtual patch) cuando en realidad no lo están.

El problema

Esta supuesta solución para todos los problemas de los administradores de red no hace más que fomentar que tanto en los servidores críticos, como en las redes internas (segmentos enteros, DMZs, etc.) estén totalmente desactualizados.

Un atacante real (la verdadera amenaza de una compañía) conoce estos nuevos escenarios y simplemente se limita a explotar aquello más débil en la cadena de la seguridad: al usuario. No es necesario “romper” ninguno de los mecanismos de perímetro para penetrar en una empresa.

Es aquí donde se mezclan distintos factores técnicos y no técnicos, que dan lugar a una nueva gama de ataques muy utilizados: Client Side Attacks.

Client Side attacks

Existen todo tipo de vulnerabilidades tanto a nivel aplicaciones de escritorio, como navegador web, apareciendo una tras otra y haciendo que un usuario desprevenido (o no concientizado) se convierta en la principal brecha de seguridad de la empresa.

Para citar un ejemplo, tenemos el boletín de Microsoft (del 2 de abril de 2009) que alertaba sobre una nueva vulnerabilidad en archivos de presentaciones PPT con posibilidad de ejecución de código arbitrario.

Es también conocido el exploit (herramienta utilizada para tomar ventaja de una vulnerabilidad) que afecta a los productos Acrobat Reader, incluyendo a su versión más nueva v.9 (¿quien no usa un lector de PDFs hoy en día?).

¿Pero qué tienen que ver estas vulnerabilidades “locales” con la explotación remota? Es simple. Si se trata del ejemplo de la presentación PPT, simplemente es necesario enviarla a las victimas con la promesa de ser un simple chiste, una cadena de emails, encuesta salarial actualizada, etc., y esperar a que sea abierta.

Para el caso del PDF “malicioso”, la metodología puede ser la misma o mejor aún, se puede subir el archivo a un sitio malicioso y enviar el link a las víctimas.

El atacante

¿Qué tiene que hacer el atacante? En principio montar un servidor que estará “muy atento” a conexiones provenientes de diversos usuarios engañados, el cual ejecutará una serie de exploits por cada conexión que reciba.

Tan simple como eso. Se diseña la estrategia y luego “se espera a que caigan”.

Una vez explotada la vulnerabilidad (y por lo general encapsulada a través de un protocolo utilizado para navegación Web) el atacante tiene acceso directo a la PC del usuario sin haber disparado un solo paquete (al menos, no en etapas de reconocimiento o scanning).

Pivoting

¿Cuáles son las opciones del atacante? Simplemente “toma” al sistema explotado como si fuese su propia máquina y se encarga de comprometer tantos hosts como pueda, escalando privilegios y sacando ventaja de un hecho destacado anteriormente: los sistemas internos están totalmente desactualizados.

La solución

El problema tiene que ser atacado desde diferentes puntos y varía de empresa en empresa. Algunos tips serian:

  • Utilizar FW + IPS tanto internamente como en el perímetro
  • Segmentar las redes internamente (sobre todo en secciones críticas para la compañía) para evitar una propagación interna descontrolada.
  • Concientizar a los usuarios (a todos!)
  • Aplicar políticas internas de actualización y mejora contínua.
  • Realizar periódicamente ataques simulados de penetración para conocer y dejar en evidencia cualquier problema “pasado por alto”

Fuente: CXO

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!