Hot Potato: Elevación de privilegios en Windows

El equipo de Foxglovesecurity.com hace pocos días ha publicado en su blog un exploit el cual desde un usuario de nivel bajo puede elevar sus privilegios dentro de un sistema hasta el nivel más alto. Haciendo uso de una pequeña herramientas de comandos que estos denominaron como "Hot Potato".

Esto es posible a unos fallos de diseño de Windows que no están bien gestionados en el que se realizan tres ataques en uno. NBNS Spoofing (NetBios sobre TCP/IP o NetBios Name Service), WPAP (Web Proxy Autodiscovery Protocol) y HTTP > SMB NTLM Relay (autenticación NTLM de HTTP a SMB). Siendo posible que un usuario sin privilegios consiga una escalada de privilegios y obtenga el nivel de acceso "NT AUTHORITY\SYSTEM".

Como ejemplo en una máquina virtual con Windows 7 PRO de 32bits el cual tiene las configuraciones por defecto. Haciendo uso de Potato intentaré escalar a un usuario raso y hacerlo formar parte del grupo Administradores del sistema en un Windows 7.

Nos descargamos a local Potato abrimos una consola de comandos y comprobamos la dirección IP local y el usuario local de esa instancia el cual no tiene privilegios y es el usuario el cual queremos elevar sus permisos.

potato.exe -ip <local_ip> -disable_exhaust true -cmd "C:\\Windows\\System32\\cmd.exe /K net localgroups administradores <local_user> /add"

Figura 1: Uso de Hot Potato en Windows 7.

El uso de Hot Potato en Windows 10 o Windows Server los parámetros serían distintos, en la web de los desarrolladores hay más información para estos casos.

¿Mitigación a estos tres ataques?

Lo que podemos hacer para solucionar esto sería revisar el tráfico NBNS de nuestra red, para WPAD detener el servicio de detección automática de proxy web WinHTTP, y para NTLM forzar la autenticación de Kerberos y NTLMv2, forzar la política para firmar siempre comunicaciones SMB.

https://docs.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/smbv1-microsoft-network-server-digitally-sign-communications-always

https://docs.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/microsoft-network-server-digitally-sign-communications-always

Saludos!

DeepSound: Ocultar información dentro de ficheros de audio

La práctica o técnica de ocultación de información de mensajes u objetos dentro de otros se conoce como Esteganografía. En este caso orientado al mundo te la tecnología de la información, existen diversos tipos de esteganografía, aunque fundamentalmente en este blog hablaré en la mayoría de los casos de esteganografía por técnicas de software.

Para aquellos que hayan visto la serie Mr. Robot, el protagonista Elliot hace uso de una herramienta para ocultar información de ficheros de imagen en ficheros de audios que posteriormente graba en CD, esta aplicación solo funciona bajo sistemas Windows, por en la escena de la serie que vemos esto Elliot arranca una máquina virtual de Windows bajo su Linux.

DeepSound es una herramienta que solo funciona bajo sistemas Windows y que nos permite ocultar información dentro de ficheros de audio y también convertir ficheros de audio a otros formatos.

Lo bueno de esto, es que conservamos el contenido original del fichero de audio, es decir, que no altermos el contenido de reproducción del mismo así quien abra este fichero de audio lo reproducirá correctamente sin saber que hay información oculta "dentro de el". Lo único que podemos notar es un ligero aumento de tamaño del fichero de audio lo cual en principio no llevará a mucha sospecha.

Será necesario tener instalado en nuestro equipo el paquete Microsoft .NET Framework 4.0.

Es sencilla de utilizar, simplemente seleccionamos los ficheros de audio en los que queremos ocultar otros ficheros de información y marcamos el tipo de comprensión (low, normal, high).

Figura 1: Añadiendo ficheros a ocultar dentro de un fichero de audio en DeepSound.

Una vez tenemos los ficheros que queremos ocultar encapsulados en los ficheros de audio correspondientes los encodeamos para unificarlo en un mismo fichero con formato de audio que escojamos, en mi caso hice referencia a dos fichero .pdf. Finalmente hacemos referencia a un directorio y tendremos la opción de establecer una password con un cifrado AES de 256bits.

Figura 2: Encapsulando ficheros dentro de un fichero de audio .wav con password AES-256.

Para poder extraer y ver el contenido encapsulado en los ficheros de audio, abrimos el fichero de audio que queramos extraer, introducimos la password (en caso de a ver establecido alguna) y lo extraemos, si nos vamos al directorio de salida por defecto establecido, veremos los fichero .pdf que se habían agregado al fichero .wav.

Figura 3: Extracción de información contenida en el fichero de audio original.

Un ejemplo en el que considero que tendríamos una ofuscación de información muy robusta, podría ser de la siguiente manera:

Comprimir un conjunto de ficheros, a este le establecemos una contraseña robusta a través de 7-zip y a su vez este fichero comprimido lo dividimos en varias partes (para que sea de un tamaño más ligero), cada parte separada de compresión las iremos encapsulando en distintos ficheros de audio con otro password a mayores establecida en Deepsound y a su vez después convertir también desde Deepsound un formato de fichero .wav a otro formato.

Descargar DeepSound

Saludos!