Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
junio
(Total:
9
)
- Utilizan 25.000 cámaras de videovigilancia para la...
- El Exploit Kit Angler desaparece después de la det...
- BadTunnel podría ser el fallo con más impacto en t...
- Finaliza el programa de recompensas "Hackea el Pen...
- Alertan de nuevos ataques de Phishing a Paypal usa...
- Un hacker y una madre delataron al bloguero acusad...
- "State of Surveillance" con Edward Snowden
- Una mujer rusa hacker detrás de la filtración de l...
- ¿TeamViewer podría haber sido hackeado?
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
BadTunnel podría ser el fallo con más impacto en toda la historia de Microsoft Windows
martes, 21 de junio de 2016
|
Publicado por
el-brujo
|
Editar entrada
Un investigador de seguridad chino llamado Yang Yu ha descubierto un fallo de diseño de
Windows bautizado como BadTunnel (de momento sin logo) que afecta a todas las versiones de
Windows (incluído Windows 10). La vulnerabilidad podría permitir a un atacante secuestrar el tráfico de la red de toda una empresa y puede ser explotada en silencio a través de muchos vectores de ataques diferentes como Microsoft Office,
Edge, Internet Explorer, y también a través de IIS y los servidores Web
Apache, o a través de una unidad de disco USB. Tan sólo se necesita que la víctima abra un documento de Office desde el navegador Internet Explorer
El investigador chino Yang Yu, director del Laboratorio de Xuanwu de Tencent ha descubierto un fallo de diseño en Microsoft Windows que afecta a todas las versiones del popular sistema operativo.
Yang Yu dará más detalles sobre el fallo BadTunnel en la próxima conferencia Black Hat USA, que tendrá lugar en Las Vegas enagosto, "BadTunnel: How Do I Get Big Brother Power?”" es el título de la presentación anunciada.
El pasado martes entre todas las actualizaciones y parches que publicó Microsoft se corregía por fin una que ha estado oculta y latente en las últimas décadas y que afecta a todos los sistemas operativos Microsoft Windows, desde Windows 95 hasta Windows 10. Concretamente el boletín MS16-077 que incluye el parche para la vulnerabilidad bautizada como BadTunnel que, básicamente, puede permitir a un atacante redireccionar todo el tráfico de la víctima mediante un NetBIOS-spoofing a través de red.
WPAD son las siglas en inglés de (Web Proxy Auto-Discovery Protocol) y ISATAP corresponde a (Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).
Microsoft ya ha parcheado el fallo BadTunnel que de acuerdo con Yang Yu tiene el impacto más amplio en la historia de Windows.
Yu dijo que el fallo afecta a todas las versiones de Microsoft Windows y podría ser explotada en silencio a través de muchos canales diferentes. BadTunnel puede ser activado a través de todas las versiones de Microsoft Office, Edge, Internet Explorer, y también a través de IIS y los servidores Web Apache, a través de una unidad de disco USB, y también a través de una serie de aplicaciones de terceros en Windows.
El BadTunnel resulta de una combinación de problemas que podrían permitir a atacantes para lanzar un exploit.
"Esta vulnerabilidad se debe a una serie de implementaciones aparentemente correctas, que incluye un protocolo de capa de transporte, un protocolo de capa de aplicación, un tema muy poco específico para explotar.", y varias implementaciones de protocolos utilizados por firewalls y dispositivos NAT, "
El experto clasificó el BadTunnel como una técnica para spoofing de NetBIOS a través de la red, esto significa que el atacante puede aprovechar en él para obtener acceso a tráfico de red sin estar en la misma red de la víctima. El ataque es muy difícil de detectar, ya que no se trata de un código malicioso tipo malware y además permite pasar por alto los dispositivos cortafuegos y direcciones de red (NAT).
Yu dice que su descubrimiento de BadTunnel comenzó durante un vuelo el año pasado. "Un día el año pasado, cuando yo estaba en un avión, me aburrí. Empecé a imaginar diferentes problemas de seguridad y de repente ocurrió una marca escenario nuevo ataque ", recuerda. "Después del viaje, inmediatamente empecé a prueba en diferentes configuraciones del sistema, y finalmente descubrí esta vulnerabilidad en el sistema operativo Windows.
Yu informó por primera vez su hallazgo a Microsoft en enero Su consejo para los usuarios de Windows: "Para el usuario medio, siempre asegúrese de que tiene los últimos parches disponibles. Si por alguna razón no se puede instalar el parche, le sugiero que deshabilite el NetBIOS sobre TCP / IP para evitar el ataque BadTunnel.
La posibilidad de un ataque es muy simple, el atacante sólo tiene que engañar a las víctimas en la visita una página web maliciosa a través de navegador Internet Explorer o de Edge, o para abrir un documento de Office especialmente diseñado. El sitio web utilizado por los atacantes aparecerá como un servidor de archivos o un servidor de impresión local, mientras tanto, permitirá el secuestro del tráfico de la red de la víctima.
A continuación, el secuestro de todo el tráfico de la víctima, incluyendo las actualizaciones de Windows Update y lista de certificados de revocación
Usar BadTunnel para secuestrar WPAD es posiblemente la vulnerabilidad de Windows que tiene el impacto más amplio de epxlotación en toda la historia. También es la única vulnerabilidad que puede apuntar a todas las versiones de Windows con un exploit.
Pero podría haber sido incluso más interesante, ya que Mac OS de Apple también implementó NetBIOS, y es compatible con la ruta UNC en algunos casos. WPAD también se puede activar manualmente.. Sin embargo, debido a la diferencia en los detalles de implementación del protocolo NetBIOS, este ataque no afecta a la Mac OS.
Si no es posible aplicar los parches de seguridad que solucionan la vulnerabiliad.
Una posible solución para empresas:
Por un impacto mínimo de compatibilidad, la dirección WPAD (Web Proxy Auto-Discovery Protocol) o se puede fijar a 127.0.0.1 o 255.255.255.255 en
o se puede desactivar el descubrimiento de proxy automático para evitar el secuestro:
Fuentes:
http://www.hackplayers.com/2016/06/badtunnel-o-netbios-spoofing-con-udp-tunnel.html
http://blog.segu-info.com.ar/2016/06/badtunnel-bug-que-permite-secuestrar-el.html
http://securityaffairs.co/wordpress/48585/hacking/badtunnel-attack.html
http://xlab.tencent.com/en/2016/06/17/BadTunnel-A-New-Hope/
Su descubridor, el chino Yang Yu del lab Xuanwu de Tencent en Pekín que recibió 50.000$ de Microsoft
El investigador chino Yang Yu, director del Laboratorio de Xuanwu de Tencent ha descubierto un fallo de diseño en Microsoft Windows que afecta a todas las versiones del popular sistema operativo.
Yang Yu dará más detalles sobre el fallo BadTunnel en la próxima conferencia Black Hat USA, que tendrá lugar en Las Vegas enagosto, "BadTunnel: How Do I Get Big Brother Power?”" es el título de la presentación anunciada.
El pasado martes entre todas las actualizaciones y parches que publicó Microsoft se corregía por fin una que ha estado oculta y latente en las últimas décadas y que afecta a todos los sistemas operativos Microsoft Windows, desde Windows 95 hasta Windows 10. Concretamente el boletín MS16-077 que incluye el parche para la vulnerabilidad bautizada como BadTunnel que, básicamente, puede permitir a un atacante redireccionar todo el tráfico de la víctima mediante un NetBIOS-spoofing a través de red.
- CVE-2016-3213 - Windows WPAD Elevation of Privilege Vulnerability
-
CVE-2016-3236 - Windows WPAD Proxy Discovery Elevation of Privilege Vulnerability
WPAD son las siglas en inglés de (Web Proxy Auto-Discovery Protocol) y ISATAP corresponde a (Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).
Microsoft ya ha parcheado el fallo BadTunnel que de acuerdo con Yang Yu tiene el impacto más amplio en la historia de Windows.
Yu dijo que el fallo afecta a todas las versiones de Microsoft Windows y podría ser explotada en silencio a través de muchos canales diferentes. BadTunnel puede ser activado a través de todas las versiones de Microsoft Office, Edge, Internet Explorer, y también a través de IIS y los servidores Web Apache, a través de una unidad de disco USB, y también a través de una serie de aplicaciones de terceros en Windows.
El BadTunnel resulta de una combinación de problemas que podrían permitir a atacantes para lanzar un exploit.
"Esta vulnerabilidad se debe a una serie de implementaciones aparentemente correctas, que incluye un protocolo de capa de transporte, un protocolo de capa de aplicación, un tema muy poco específico para explotar.", y varias implementaciones de protocolos utilizados por firewalls y dispositivos NAT, "
El experto clasificó el BadTunnel como una técnica para spoofing de NetBIOS a través de la red, esto significa que el atacante puede aprovechar en él para obtener acceso a tráfico de red sin estar en la misma red de la víctima. El ataque es muy difícil de detectar, ya que no se trata de un código malicioso tipo malware y además permite pasar por alto los dispositivos cortafuegos y direcciones de red (NAT).
Yu dice que su descubrimiento de BadTunnel comenzó durante un vuelo el año pasado. "Un día el año pasado, cuando yo estaba en un avión, me aburrí. Empecé a imaginar diferentes problemas de seguridad y de repente ocurrió una marca escenario nuevo ataque ", recuerda. "Después del viaje, inmediatamente empecé a prueba en diferentes configuraciones del sistema, y finalmente descubrí esta vulnerabilidad en el sistema operativo Windows.
Yu informó por primera vez su hallazgo a Microsoft en enero Su consejo para los usuarios de Windows: "Para el usuario medio, siempre asegúrese de que tiene los últimos parches disponibles. Si por alguna razón no se puede instalar el parche, le sugiero que deshabilite el NetBIOS sobre TCP / IP para evitar el ataque BadTunnel.
Vectores de ataque de BadTunnel
La posibilidad de un ataque es muy simple, el atacante sólo tiene que engañar a las víctimas en la visita una página web maliciosa a través de navegador Internet Explorer o de Edge, o para abrir un documento de Office especialmente diseñado. El sitio web utilizado por los atacantes aparecerá como un servidor de archivos o un servidor de impresión local, mientras tanto, permitirá el secuestro del tráfico de la red de la víctima.
A continuación, el secuestro de todo el tráfico de la víctima, incluyendo las actualizaciones de Windows Update y lista de certificados de revocación
Usar BadTunnel para secuestrar WPAD es posiblemente la vulnerabilidad de Windows que tiene el impacto más amplio de epxlotación en toda la historia. También es la única vulnerabilidad que puede apuntar a todas las versiones de Windows con un exploit.
Pero podría haber sido incluso más interesante, ya que Mac OS de Apple también implementó NetBIOS, y es compatible con la ruta UNC en algunos casos. WPAD también se puede activar manualmente.. Sin embargo, debido a la diferencia en los detalles de implementación del protocolo NetBIOS, este ataque no afecta a la Mac OS.
Mitigaciones recomendadas
Aplicar los parches:Si no es posible aplicar los parches de seguridad que solucionan la vulnerabiliad.
Una posible solución para empresas:
- Bloquear el tráfico 137/UDP externo (hacía internet)
Por un impacto mínimo de compatibilidad, la dirección WPAD (Web Proxy Auto-Discovery Protocol) o se puede fijar a 127.0.0.1 o 255.255.255.255 en
%SystemRoot%\System32\drivers\etc\hosts
%systemdrive%\Windows\System32\Drivers\etc\hostsAñadir la línea:
wpad 255.255.255.255
o se puede desactivar el descubrimiento de proxy automático para evitar el secuestro:
Fuentes:
http://www.hackplayers.com/2016/06/badtunnel-o-netbios-spoofing-con-udp-tunnel.html
http://blog.segu-info.com.ar/2016/06/badtunnel-bug-que-permite-secuestrar-el.html
http://securityaffairs.co/wordpress/48585/hacking/badtunnel-attack.html
http://xlab.tencent.com/en/2016/06/17/BadTunnel-A-New-Hope/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.