Anlisis de Vulnerabilidades interno a infraestructura de prueba

Especializacin en Seguridad de Redes de Computadores

Fecha: 27/09/2017 SENA

Versin: 1.0 Especializacin en Seguridad de

Redes de Computadores

Contenido
Anlisis de Vulnerabilidades interno a infraestructura de prueba ..................................................... 2
Introduccin .................................................................................................................................... 2
Alcance del Proyecto ....................................................................................................................... 2
Duracin del proyecto: .................................................................................................................... 2
Grupo de Trabajo: ........................................................................................................................... 2
Resumen Ejecutivo .......................................................................................................................... 3
Metodologa del Anlisis de Vulnerabilidades ................................................................................ 3
Hallazgos Crticos del Anlisis de Vulnerabilidades......................................................................... 4
Resultados ....................................................................................................................................... 4
Resumen de Vulnerabilidades......................................................................................................... 4
Detalles de las Vulnerabilidades Crticas encontradas.................................................................... 5
Microsoft Windows Server 2003 Unsupported Installation Detection ....................................... 5
Unix Operating System Unsupported Version Detection ........................................................... 5
MS17-010: Security Update for Microsoft Windows SMB Server .............................................. 5
Microsoft Windows SMBv1 Multiple Vulnerabilities .................................................................. 7
Conclusiones ................................................................................................................................... 8

Copyright 2017 SERVINET All rights reserved. 1

 Anlisis de Vulnerabilidades interno a infraestructura de prueba
Especializacin en Seguridad de Redes de Computadores

Fecha: 27/09/2017 SENA

Versin: 1.0 Especializacin en Seguridad de

Redes de Computadores

Anlisis de Vulnerabilidades interno a infraestructura de prueba

Introduccin
En el presente informe se encuentran documentados los resultados del anlisis de vulnerabilidades
realizado a la infraestructura de prueba definida por el Profesor Carlos Andres Fernandez Bedoy.

El anlisis de Vulnerabilidades se realiz desde el interior de las instalaciones, conectados a una red
WiFi abierta llamada :p, sin conocimiento de lo que se analizara, en un tipo de anlisis de
vulnerabilidades de caja negra, en donde el objetivo de este, es identificar posibles vulnerabilidades
descubiertas sobre los nodos identificados dentro de la infraestructura.

Durante el anlisis de vulnerabilidades no se realizaron ataques contra elementos que pudieran

causar daos a la infraestructura.

Alcance del Proyecto

Objetivos:
Los objetivos definidos para realizar el anlisis de vulnerabilidades son los siguientes:
Equipos de rango 10.1.1.0/24

Duracin del proyecto:

Fase 1: 3 horas Ejecucin del anlisis de Vulnerabilidades de 2pm a 5pm (24/09/2017)
Fase 2: 5 das Desarrollo del Reporte y Anlisis de los resultados.

Grupo de Trabajo:
Luis Serna
Wilson
Freddy
John Freddy
Steve Gonzlez Ramrez

Copyright 2017 SERVINET All rights reserved. 2

 Anlisis de Vulnerabilidades interno a infraestructura de prueba
Especializacin en Seguridad de Redes de Computadores

Fecha: 27/09/2017 SENA

Versin: 1.0 Especializacin en Seguridad de

Redes de Computadores

Resumen Ejecutivo
Los resultados del proceso de ejecucin del Anlisis de Vulnerabilidades realizadas por SERVINET
hacia la infraestructura evaluada, permiten concluir que la infraestructura se encuentra en un nivel
ALTO de Riesgo, todo acuerdo a los hallazgos y vulnerabilidades identificados en el proceso.

Se recomienda validar de manera inmediata los hallazgos considerados crticos y aplicar los
respectivos controles para mitigar el riesgo latente.

En total se identificaron vulnerabilidades de nivel Crtico, que en la actualidad representan un riesgo

importante para la infraestructura evaluada.

Con respecto a las vulnerabilidades encontradas en el anlisis de vulnerabilidades, se observa sobre

todo obsolescencia en todos los nodos identificados (Windows y Unix-Like), esto implica la no
existencia de soporte ni de la liberacin de parches de seguridad por parte del Vendor.

Todos los nodos Windows identificados (12) son vulnerables a WannaCry, Petya, Eternal Rocks y
dems malware que abusan de la vulnerabilidad existente en el protocolo Microsoft Server Message
Block 1.0 (SMBv1), debido al mal manejo de algunas solicitudes. Un atacante remoto y sin la
necesidad de autenticarse puede explotar dichas vulnerabilidades. (CVE-2017-0143, CVE-2017-
0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148).

En conclusin, las vulnerabilidades encontradas permiten la conexin remota de un atacante,

teniendo el control total del nodo y existe un alto riesgo del cifrado de la informacin.

Metodologa del Anlisis de Vulnerabilidades

El enfoque del anlisis de vulnerabilidades fue interno y caja negra, el objetivo fue identificar lo que
podra realizar un atacante con el acceso va WiFi, pero sin mayor conocimiento de la
infraestructura.

Copyright 2017 SERVINET All rights reserved. 3

 Anlisis de Vulnerabilidades interno a infraestructura de prueba
Especializacin en Seguridad de Redes de Computadores

Fecha: 27/09/2017 SENA

Versin: 1.0 Especializacin en Seguridad de

Redes de Computadores

Hallazgos Crticos del Anlisis de Vulnerabilidades

Se realiz un escaneo masivo de todo el pool de direcciones del prefijo definido (10.1.1.0/24)
comprobando que existen 37 nodos.

Durante las 3 horas definidas para realizar el anlisis de vulnerabilidades se realizaron las
siguientes acciones:

Identificacin de nodos dentro del prefijo definido, intento de establecer conexiones con
diferentes clientes por puertos TCP estndar (1-1024), identificacin del versionamiento
de los servicios.

Identificacin de Servicios vulnerables sin llegar a explotar dicha(s) vulnerabilidad(es).

Resultados
Tras el anlisis de vulnerabilidades se lograron identificar un total de 268 vulnerabilidades de nivel
bajo, medio y alto (39 alto) y 935 recomendaciones.

Resumen de Vulnerabilidades
Ttulo
Microsoft Windows Server
2003 Unsupported
Installation Detection
Unix Operating System
Unsupported Version
Detection
Descripcin Riesgo
El sistema operativo no tiene ALTO
soporte por parte del vendor.
El sistema operativo no tiene ALTO
soporte por parte del vendor

MS17-010: Security Update Vulnerable a ejecucin ALTO

for Microsoft Windows SMB
Server
Microsoft Windows SMBv1
Multiple Vulnerabilities
remota de cdigo
Vulnerabilidad que permite al ALTO
atacante armar un paquete
SMBv1 para el robo de
informacin sensible

Copyright 2017 SERVINET All rights reserved. 4

 Anlisis de Vulnerabilidades interno a infraestructura de prueba
Especializacin en Seguridad de Redes de Computadores

Fecha: 27/09/2017 SENA

Versin: 1.0 Especializacin en Seguridad de

Redes de Computadores

Detalles de las Vulnerabilidades Crticas encontradas

Microsoft Windows Server 2003 Unsupported Installation Detection
El sistema operativo no tiene ms soporte por parte del vendor.
El soporte para este sistema operativo finaliz el 14 de Julio de 2015.
La falta de soporte implica que no habr ms liberacin de parches de seguridad por parte del
vendor, adems es poco probable que Microsoft investigue o realice reportes de vulnerabilidades.

Solucin:
Actualice a una versin de Windows que este soportada actualmente.

Factor de Riesgo:
Critical / CVSS Base Score : 10.0
(CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)
Exploit pblico disponible: S

Unix Operating System Unsupported Version Detection

El sistema operativo no tiene ms soporte por parte del vendor.
La falta de soporte implica que no habr ms liberacin de parches de seguridad por parte del
vendor, como resultado, es ms probable que contenga vulnerabilidades.

Solucin:
Actualice a una versin de Unix-Like que este soportada actualmente.

Factor de Riesgo:
Critical / CVSS Base Score : 10.0
(CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)

MS17-010: Security Update for Microsoft Windows SMB Server

El nodo Windows puede est afectado por las siguientes vulnerabilidades:
Existen mltiples vulnerabilidades de ejecucin remota de cdigo en Microsoft Server Message
Block 1.0 (SMBv1) debido a manejo inadecuado de ciertas solicitudes. Un atacante remoto puede
explotar estas vulnerabilidades, sin estar autenticado, a travs de un paquete especialmente hecho
para ejecutar cdigo arbitrario.

ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE y ETERNALSYNERGY son cuatro

vulnerabilidades de un mltiple Grupo de ecuaciones reveladas en 2017/04/14 por un grupo

Copyright 2017 SERVINET All rights reserved. 5

 Anlisis de Vulnerabilidades interno a infraestructura de prueba
Especializacin en Seguridad de Redes de Computadores

Fecha: 27/09/2017 SENA

Versin: 1.0 Especializacin en Seguridad de

Redes de Computadores

conocido como los Shadowbrokers. WannaCry/WannaCrypt es un ransomware que utiliza el exploit

ETERNALBLUE y EternalRocks es un gusano que utiliza siete grupos de ecuaciones de
vulnerabilidades. Petya es un programa de ransomware que utiliza primero CVE-2017-0199, una
vulnerabilidad en Microsoft Office y, a continuacin, se propaga va ETERNALBLUE.

Para mayor informacin:

https://technet.microsoft.com/library/security/MS17-01 http://www.nessus.org/u?321523eb
http://www.nessus.org/u?7bec1941
http://www.nessus.org/u?d9f569cf
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
https://support.microsoft.com/en-us/kb/2696547
http://www.nessus.org/u?8dcab5e4
http://www.nessus.org/u?36fd3072
http://www.nessus.org/u?4c7e0cf3
https://github.com/stamparm/EternalRocks/
http://www.nessus.org/u?59db5b5b

Solucin:
Microsoft ha lanzado un conjunto de parches para Windows Vista, 2008, 7, 2008 R2, 2012, 8.1, RT
8.1, 2012 R2, 10 y 2016. Microsoft tambin ha parches de emergencia para los sistemas operativos
Windows que no tienen soporte, incluyendo Windows XP, 2003 y 8.

Para sistemas operativos Windows no compatibles, p. Windows XP, Microsoft recomienda que los
usuarios interrumpan el uso de SMBv1. SMBv1 carece de caractersticas de seguridad que se
incluyeron en versiones posteriores de SMB. SMBv1 puede deshabilitado siguiendo las instrucciones
del proveedor proporcionadas en Microsoft KB2696547. Adems, US-CERT recomienda que los
usuarios bloqueen SMB directamente bloqueando el puerto TCP 445 en todos los dispositivos de
frontera de la red. Por SMB sobre la API de NetBIOS, bloquea puertos TCP 137/139 y puertos UDP
137/138 en todos los dispositivos de frontera de red.

Factor de Riesgo:
Critical / CVSS Base Score : 10.0
(CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)
Exploit pblico disponible: S

Copyright 2017 SERVINET All rights reserved. 6

 Anlisis de Vulnerabilidades interno a infraestructura de prueba
Especializacin en Seguridad de Redes de Computadores

Fecha: 27/09/2017 SENA

Versin: 1.0 Especializacin en Seguridad de

Redes de Computadores

Microsoft Windows SMBv1 Multiple Vulnerabilities

El nodo Windows tiene Microsoft Server Message Block 1.0 (SMBv1) habilitado, por lo tanto, es
afectado por mltiples vulnerabilidades:

Existen mltiples vulnerabilidades de divulgacin de informacin en Microsoft Server Message Block

1.0 (SMBv1) debido a manipulacin incorrecta de paquetes SMBv1. Un autenticado, atacante
remoto puede explotar estas vulnerabilidades, a travs de paquete SMBv1 especialmente diseado
para divulgar informacin. (CVE-2017-0267, CVE-2017-0268,CVE-2017-0270, CVE-2017-0271, CVE-
2017-0274, CVE-2017-0275, CVE-2017-0276)

Varias vulnerabilidades de denegacin de servicio (DoS) existen en Microsoft Server Message Block
1.0 (SMBv1) debido a manejo inadecuado de las solicitudes. Un autenticado, atacante remoto puede
explotar estas vulnerabilidades, a travs de solicitud SMB especialmente diseada, para que el
sistema dejar de responder. (CVE-2017-0269, CVE-2017-0273, CVE-2017-0280).

Existen mltiples vulnerabilidades de ejecucin remota de cdigo en Microsoft Server Message

Block 1.0 (SMBv1) debido a manipulacin incorrecta de paquetes SMBv1. Un autenticado, atacante
remoto puede explotar estas vulnerabilidades, a travs de especialmente diseado paquete SMBv1,
para ejecutar arbitrario cdigo. (CVE-2017-0272, CVE-2017-0277, CVE-2017-0278, CVE-2017-0279).

Para mayor informacin:

http://www.nessus.org/u?c21268d4
http://www.nessus.org/u?b9253982
http://www.nessus.org/u?23802c83
http://www.nessus.org/u?8313bb60
http://www.nessus.org/u?7677c678
http://www.nessus.org/u?36da236c
http://www.nessus.org/u?0981b934
http://www.nessus.org/u?c88efefa
http://www.nessus.org/u?695bf5cc
http://www.nessus.org/u?459a1e8c
http://www.nessus.org/u?ea45bbc5
http://www.nessus.org/u?4195776a
http://www.nessus.org/u?fbf092cf
http://www.nessus.org/u?8c0cc566

Copyright 2017 SERVINET All rights reserved. 7

 Anlisis de Vulnerabilidades interno a infraestructura de prueba
Especializacin en Seguridad de Redes de Computadores

Fecha: 27/09/2017 SENA

Versin: 1.0 Especializacin en Seguridad de

Redes de Computadores

Solucin:
Aplica el siguiente parche de actualizacin segn la versin de Windows que maneje:
Windows Server 2008: KB4018466
Windows 7: KB4019264
Windows Server 2008 R2: KB4019264
Windows Server 2012: KB4019216
Windows 8.1 / RT 8.1.: KB4019215
Windows Server 2012 R2: KB4019215
Windows 10: KB4019474
Windows 10 Versin 1511: KB4019473
Windows 10 Versin 1607: KB4019472
Windows 10 Versin 1703: KB4016871
Windows Server 2016: KB4019472

Factor de Riesgo:
Critical / CVSS Base Score: 10.0
(CVSS2#AV: N/AC: L/Au: N/C:C/I:C/A:C)
Exploit pblico disponible: S

Conclusiones
En trminos generales la infraestructura de prueba se encuentra en un nivel BAJO de seguridad, en
lo que respecta al anlisis de vulnerabilidades ejecutado. Dado que ms del 70% de nodos
identificados contienen vulnerabilidades de Riesgo ALTO, por lo anterior se recomienda altamente
seguir las recomendaciones segn la vulnerabilidad y as mitigar el riesgo que en este momento est
corriendo la infraestructura, ya que si un atacante logra llegar a dicho segmento de red
(10.1.1.1/24), en especial a los nodos que exponen el protocolo SMB 137/TCP Y 138/TCP.

Copyright 2017 SERVINET All rights reserved. 8