Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon BadTunnel podría ser el fallo con más impacto en toda la historia de Microsoft Windows




Un investigador de seguridad chino llamado Yang Yu ha descubierto un fallo de diseño de Windows bautizado como BadTunnel (de momento sin logo) que afecta a todas las versiones de Windows (incluído Windows 10). La vulnerabilidad podría permitir a un atacante secuestrar el tráfico de la red de toda una empresa y puede ser explotada en silencio a través de muchos vectores de ataques diferentes como Microsoft Office, Edge, Internet Explorer, y también a través de IIS y los servidores Web Apache, o a través de una unidad de disco USB. Tan sólo se necesita que la víctima abra un documento de Office desde el navegador Internet Explorer










Su descubridor, el chino Yang Yu del lab Xuanwu de Tencent en Pekín que recibió 50.000$ de Microsoft  


El investigador chino Yang Yu, director del Laboratorio de Xuanwu de Tencent ha descubierto un fallo de diseño en Microsoft Windows que afecta a todas las versiones del popular sistema operativo.

Yang Yu dará más detalles sobre el fallo BadTunnel en la próxima conferencia Black Hat USA, que tendrá lugar en Las Vegas enagosto, "BadTunnel: How Do I Get Big Brother Power?”" es el título de la presentación anunciada.




El pasado martes entre todas las actualizaciones y parches que publicó Microsoft se corregía por fin una que ha estado oculta y latente en las últimas décadas y que afecta a todos los sistemas operativos Microsoft Windows, desde Windows 95 hasta Windows 10. Concretamente el boletín MS16-077 que incluye el parche para la vulnerabilidad bautizada como BadTunnel que, básicamente, puede permitir a un atacante redireccionar todo el tráfico de la víctima mediante un NetBIOS-spoofing a través de red.




WPAD son las siglas en inglés de (Web Proxy Auto-Discovery Protocol) y ISATAP corresponde a (Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).

Microsoft ya ha parcheado el fallo BadTunnel que de acuerdo con Yang Yu tiene el impacto más amplio en la historia de Windows.

Yu dijo que el fallo afecta a todas las versiones de Microsoft Windows y podría ser explotada en silencio a través de muchos canales diferentes. BadTunnel puede ser activado a través de todas las versiones de Microsoft Office, Edge, Internet Explorer, y también a través de IIS y los servidores Web Apache, a través de una unidad de disco USB, y también a través de una serie de aplicaciones de terceros en Windows.

El BadTunnel resulta de una combinación de problemas que podrían permitir a atacantes para lanzar un exploit.

"Esta vulnerabilidad se debe a una serie de implementaciones aparentemente correctas, que incluye un protocolo de capa de transporte, un protocolo de capa de aplicación, un tema muy poco específico para explotar.", y varias implementaciones de protocolos utilizados por firewalls y dispositivos NAT, "

El experto clasificó el BadTunnel como una técnica para spoofing de NetBIOS a través de la red, esto significa que el atacante puede aprovechar en él para obtener acceso a tráfico de red sin estar en la misma red de la víctima. El ataque es muy difícil de detectar, ya que no se trata de un código malicioso tipo malware y  además permite pasar por alto los dispositivos cortafuegos y direcciones de red (NAT).

Yu dice que su descubrimiento de BadTunnel comenzó durante un vuelo el año pasado. "Un día el año pasado, cuando yo estaba en un avión, me aburrí. Empecé a imaginar diferentes problemas de seguridad y de repente ocurrió una marca escenario nuevo ataque ", recuerda. "Después del viaje, inmediatamente empecé a prueba en diferentes configuraciones del sistema, y finalmente descubrí esta vulnerabilidad en el sistema operativo Windows.

Yu informó por primera vez su hallazgo a Microsoft en enero Su consejo para los usuarios de Windows: "Para el usuario medio, siempre asegúrese de que tiene los últimos parches disponibles. Si por alguna razón no se puede instalar el parche, le sugiero que deshabilite el NetBIOS sobre TCP / IP para evitar el ataque BadTunnel.

Vectores de ataque de BadTunnel


La posibilidad de un ataque es muy simple, el atacante sólo tiene que engañar a las víctimas en la visita una página web maliciosa a través de navegador Internet Explorer o de Edge, o para abrir un documento de Office especialmente diseñado. El sitio web utilizado por los atacantes aparecerá como un servidor de archivos o un servidor de impresión local, mientras tanto, permitirá el secuestro del tráfico de la red de la víctima.

A continuación, el secuestro de todo el tráfico de la víctima, incluyendo las actualizaciones de Windows Update y lista de certificados de revocación

Usar BadTunnel para secuestrar WPAD es posiblemente la vulnerabilidad de Windows que tiene el impacto más amplio de epxlotación en toda la historia. También es la única vulnerabilidad que puede apuntar a todas las versiones de Windows con un exploit.

Pero podría haber sido incluso más interesante, ya que Mac OS de Apple también implementó NetBIOS, y es compatible con la ruta UNC en algunos casos. WPAD también se puede activar manualmente.. Sin embargo, debido a la diferencia en los detalles de implementación del protocolo NetBIOS, este ataque no afecta a la Mac OS.

Mitigaciones recomendadas

Aplicar los parches:
Si no es posible aplicar los parches de seguridad que solucionan la vulnerabiliad.

Una posible solución para empresas:
  • Bloquear el tráfico 137/UDP externo (hacía internet)
Para los usuarios que no necesitan tener acceso a servicios de uso compartido de red de Windows, pueden deshabilitar NetBIOS sobre TCP / IP:



Por un impacto mínimo de compatibilidad, la dirección WPAD (Web Proxy Auto-Discovery Protocol) o se puede fijar a 127.0.0.1 o 255.255.255.255 en


%SystemRoot%\System32\drivers\etc\hosts
 %systemdrive%\Windows\System32\Drivers\etc\hosts
Añadir la línea:

wpad  255.255.255.255

o se puede desactivar el descubrimiento de proxy automático para evitar el secuestro:



Fuentes:
http://www.hackplayers.com/2016/06/badtunnel-o-netbios-spoofing-con-udp-tunnel.html
http://blog.segu-info.com.ar/2016/06/badtunnel-bug-que-permite-secuestrar-el.html
http://securityaffairs.co/wordpress/48585/hacking/badtunnel-attack.html
http://xlab.tencent.com/en/2016/06/17/BadTunnel-A-New-Hope/ 

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.