Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
enero
(Total:
12
)
- Servidores de la ONU fueron hackeados el verano pa...
- Expuestos registros de 250 millones de clientes de...
- RCE y PoC (Denial-of-Service) para vulnerabilidad ...
- Rui Pinto, el responsable de Football Leaks es tam...
- Antivirus Avast vende los datos de millones de usu...
- Cable Haunt: vulnerabilidad crítica afecta a varia...
- 50 organizaciones firman una carta abierta contra ...
- Final de soporte para Windows 7 y "crypto" parche ...
- Twitter bloquea temporalmente la cuenta de Vox por...
- Hopistal Torrejón infectado por ransomware
- Apple canceló el cifrado de extremo a extremo de i...
- El príncipe heredero saudí espió el móvil del dueñ...
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
RCE y PoC (Denial-of-Service) para vulnerabilidad crítica en Windows RDP Gateway
jueves, 30 de enero de 2020
|
Publicado por
el-brujo
|
Editar entrada
El investigador de seguridad danés Ollypwn ha publicado un exploit de denegación de servicio de prueba de concepto (PoC) para las fallas CVE-2020-0609 y CVE-2020-0610 que afectan el componente Remote Desktop Gateway (RD Gateway) en Windows Server (2012, 2012 R2, 2016, y 2019). Una vulnerabilidad (CVE-2020-0601) crítica en el proceso de validación de certificados que realiza Windows 10 y Windows Server 2016/2019. Luca Marcelli también descubrió un exploit de ejecución remota de código (RCE) para Windows Remote Desktop Gateway (RD Gateway), todavía no publicado.
Se ha revelado una nueva vulnerabilidad relacionada con Remote Desktop Gatewat (RD Gateway, piense en RDP)
Servidores afectados: 2012, 2012 R2, 2016 y 2019.
U nueva vulnerabilidad lanzada hace 13 días por Microsoft, CVE-2020-0609 y 0610. La vulnerabilidad hace que un usuario no autenticado tenga la capacidad de ejecutar código en un sistema remoto. Ya se han lanzado dos pruebas de conceptos (un ataque de DOS) a Github, con un video de explotación funcional en Twitter. El exploit ha sido apodado "BlueGate", una obra de BlueKeep, una vulnerabilidad en el PDR que también permitió RCE.
El exploit se basa en un mal manejo en la sección de código que maneja UDP para RDG. HTTP y HTTPS (que también son compatibles con RD) parecen estar a salvo de exploit.
Según advierte el Centro de Respuesta de Seguridad de Microsoft, la explotación de estos fallos (CVE-2020-0609 y CVE-2020-0610) posibilitarían a un actor malicioso instalar programas, ver, modificar o incluso eliminar información o hasta crear nuevas cuentas con permisos completos. De acuerdo a la valoración que hace Microsoft, estos fallos son aún más severos que la vulnerabilidad CVE-2020-0601
RDP, abreviatura de Remote Desktop Protocol, en español Protocolo de
Escritorio Remoto, permite que una computadora se conecte a otra
computadora a través de una red para usarla de forma remota. En un
dominio, las computadoras que ejecutan un sistema operativo Windows
Client, como Windows XP o Windows 10, vienen con un software cliente RDP
preinstalado como parte del sistema operativo, que les permite
conectarse a otras computadoras en la red, incluidos los servidores de
la organización. Una conexión a un servidor en este caso significa que
podría ser directamente al sistema operativo del servidor, o podría ser a
un sistema operativo que esté corriendo dentro de una máquina virtual
en ese servidor. Desde esa conexión, una persona puede abrir
directorios, descargar y cargar archivos y ejecutar programas, como si
estuviera usando el teclado y el monitor conectados a ese servidor.
Si se explotan con éxito, las dos vulnerabilidades podrían permitir a los atacantes no autenticados ejecutar código arbitrario en un sistema vulnerable.
RD Gateway se usa para proteger servidores de escritorio remoto en redes internas desde conexiones de Internet y solo para permitir que los que se autentican con éxito en la puerta de enlace lleguen al servidor. Las dos vulnerabilidades, denominadas colectivamente BlueGate por Ollypwn, fueron parcheadas por Microsoft el pasado 14 de enero, y ambas fueron calificadas como críticas.
Además de la capacidad de activar un estado de denegación de servicio en sistemas no parcheados, la PoC del investigador también viene con un escáner incorporado para verificar si un host es vulnerable a los intentos de explotación CVE-2020-0609 y CVE-2020-0610. Otro investigador de seguridad, Marcus Hutchins, también compartió un escáner para verificar las mismas fallas.
Aunque todavía no hay signos de que los atacantes escaneen activamente en busca de servidores de Gateway RDP vulnerables, se puede acceder a más de 15.500 de ellos a través de Internet de acuerdo con un escaneo de Shodan dirigido a servidores con el puerto UDP 3391 abierto. Esto significa que hay miles de objetivos potenciales para un atacante que logra crear un exploit de RCE que funcione.
Para defenderse de posibles ataques futuros dirigidos a servidores RD Gateway sin parches, deben instalar las actualizaciones de seguridad que Microsoft emitió este mes, disponibles para descargar desde aquí and aquí.
En los sistemas donde el parche no se puede instalar, exiten medidas de mitigación para bloquear los intentos de explotación de BlueGate. "Simplemente se puede deshabilitar el transporte UDP, (generalmente en el puerto 3391) y eso ya es suficiente para evitar la explotación", dijo Hutchins en un análisis de las fallas publicado a principios de este mes. "Esto se debe a que, si bien RDG admite los protocolos HTTP, HTTPS y UDP [...] las vulnerabilidades solo existen en el código responsable de manejar UDP".
Fuentes:
https://blog.segu-info.com.ar/2020/01/exploit-dos-y-poc-para-vulnerabilidad.html
https://www.welivesecurity.com/la-es/2019/12/23/por-que-desconectar-rdp-internet-evitar-victima-ataque/
Se ha revelado una nueva vulnerabilidad relacionada con Remote Desktop Gatewat (RD Gateway, piense en RDP)
Servidores afectados: 2012, 2012 R2, 2016 y 2019.
U nueva vulnerabilidad lanzada hace 13 días por Microsoft, CVE-2020-0609 y 0610. La vulnerabilidad hace que un usuario no autenticado tenga la capacidad de ejecutar código en un sistema remoto. Ya se han lanzado dos pruebas de conceptos (un ataque de DOS) a Github, con un video de explotación funcional en Twitter. El exploit ha sido apodado "BlueGate", una obra de BlueKeep, una vulnerabilidad en el PDR que también permitió RCE.
El exploit se basa en un mal manejo en la sección de código que maneja UDP para RDG. HTTP y HTTPS (que también son compatibles con RD) parecen estar a salvo de exploit.
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0609
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-061
Según advierte el Centro de Respuesta de Seguridad de Microsoft, la explotación de estos fallos (CVE-2020-0609 y CVE-2020-0610) posibilitarían a un actor malicioso instalar programas, ver, modificar o incluso eliminar información o hasta crear nuevas cuentas con permisos completos. De acuerdo a la valoración que hace Microsoft, estos fallos son aún más severos que la vulnerabilidad CVE-2020-0601
Vulnerabilidad BlueGate Windows RDP
Si se explotan con éxito, las dos vulnerabilidades podrían permitir a los atacantes no autenticados ejecutar código arbitrario en un sistema vulnerable.
RD Gateway se usa para proteger servidores de escritorio remoto en redes internas desde conexiones de Internet y solo para permitir que los que se autentican con éxito en la puerta de enlace lleguen al servidor. Las dos vulnerabilidades, denominadas colectivamente BlueGate por Ollypwn, fueron parcheadas por Microsoft el pasado 14 de enero, y ambas fueron calificadas como críticas.
PoC
- https://github.com/ollypwn/BlueGate
- https://github.com/ioncodes/BlueGate
- https://github.com/MalwareTech/RDGScanner
Además de la capacidad de activar un estado de denegación de servicio en sistemas no parcheados, la PoC del investigador también viene con un escáner incorporado para verificar si un host es vulnerable a los intentos de explotación CVE-2020-0609 y CVE-2020-0610. Otro investigador de seguridad, Marcus Hutchins, también compartió un escáner para verificar las mismas fallas.
Aunque todavía no hay signos de que los atacantes escaneen activamente en busca de servidores de Gateway RDP vulnerables, se puede acceder a más de 15.500 de ellos a través de Internet de acuerdo con un escaneo de Shodan dirigido a servidores con el puerto UDP 3391 abierto. Esto significa que hay miles de objetivos potenciales para un atacante que logra crear un exploit de RCE que funcione.
Para defenderse de posibles ataques futuros dirigidos a servidores RD Gateway sin parches, deben instalar las actualizaciones de seguridad que Microsoft emitió este mes, disponibles para descargar desde aquí and aquí.
Mitigación
En los sistemas donde el parche no se puede instalar, exiten medidas de mitigación para bloquear los intentos de explotación de BlueGate. "Simplemente se puede deshabilitar el transporte UDP, (generalmente en el puerto 3391) y eso ya es suficiente para evitar la explotación", dijo Hutchins en un análisis de las fallas publicado a principios de este mes. "Esto se debe a que, si bien RDG admite los protocolos HTTP, HTTPS y UDP [...] las vulnerabilidades solo existen en el código responsable de manejar UDP".
Fuentes:
https://blog.segu-info.com.ar/2020/01/exploit-dos-y-poc-para-vulnerabilidad.html
https://www.welivesecurity.com/la-es/2019/12/23/por-que-desconectar-rdp-internet-evitar-victima-ataque/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.