Muchos años con la informática, muchos años aprendiendo, muchos años escuchando tontos...
Como todos sabéis, imagináis, me gustan los sistemas Windows. Me gusta que las cosas funcionen y sean simples. Si puedo hacer algo en 10 minutos, no tengo por qué hacerlo en 100. A veces un pequeño cambio en los requisitos puede que no sea posible hacerlo en un Windows, y que tengas que hacerlo con el también querido Linux, pero prefiero lo SENCILLO.
En los puestos en los que suelo trabajar, me ha tocado siempre lidiar con todo tipo de sistemas operativos, por lo que a lo largo de los años he tenido que desarrollar mi "kung-fu" en casi todos. Cerrarte en uno solo es poco inteligente. Investigar en uno más que otro es respetable elijas el lado que elijas.
Dicho esto, voy a comentar algunas cosas interesantes que veo que la gente no sabe o no mucha gente.
El detonante ha sido la salida al mercado de un USB mágico que roba las credenciales en estaciones Windows. Un amiguete comentaba la jugada pues imagina, argumentando la seguridad de Windows blalbabla.
Voy a intentar diseccionar el escenario. No el ataque, ya que ha sido explicado en muchos blogs y mejor de lo que yo lo hubiera hecho :-)
ACCESO FíSICO
Para perpetrar el ataque, tienes que tener acceso físico a un equipo. Con un acceso físico a un sistema linux, y un cd/usb de arranque, eres capaz también de saltarte TODAS las medidas de seguridad de usuario y contraseña. Seguro que el equipo linux está cifrado? seguro que tiene el boot de la bios correctamente?
Por otro lado, hace muchos años que venimos hablando de la necesidad de bloquear el acceso a los USB en la empresa. Ya no por la entrada de malware o ataques, sino por la exfiltración de datos, el famoso Data Lost Prevention. Un puesto monitorizado para sacar información por USB y el resto BLOQUEADOS, con una sencilla GPO.
Si usas un producto antivirus como Eset seguro que podrás realizarlo también así.
SISTEMAS IDS/IPS
Snort? Suricata? te suenan? llevamos AÑOS con este tipo de softwares y ahora UTM de bajo coste que nos permiten tener detección de intrusos en nuestras redes de manera sencilla. La gente del SANS en su artículo nos muestran una sencilla regla para bloquear las peticiones de WPAD.
alert udp any 67 -> any 68 (msg:"ET INFO Web Proxy Auto Discovery Protocol WPAD DHCP 252 option Possible BadTunnel"; content:"|02|"; depth:1; content:"|fc|"; byte_jump:1,
SISTEMAS HIDS
En este mismo blog hemos hablado muchas veces de OSSEC, un HIDS (Host intrusion detect system) para detectar anomalías a nivel de equipo, y no a nivel de red como los clásicos IDS.
Podemos usar la capacidad para detectar cambios en el registro para monitorizar la clave como se explica en este artículo. Con esta alerta podemos configurar una acción que sea apagar el equipo por ejemplo.
PASS THE HASH
En caso de que el ataque se efectué, las contraseñas obtenidas estarán en formato NTLM.
Como todos sabemos, los Windows han sufrido durante muchos años los ataques de PtH. En vez de descifrar la clave, usamos el propio hash como clave, y el Windows se lo come con patatas.
Hace poco lo publico el señor Alonso, aunque es una tecnología que se implementó en la versión pro de Windows 10 hace unos años. Credential Guard. Si tenemos nuestros equipos actualizados a Windows 10 y configuramos esta opción, haremos casi imposible el uso del hash para ataques PtH..
ESCUCHA TU RED
Uno de los servicios que ofrezco a mis clientes es la monitorización de red, o mejor dicho, un análisis inicial de la red.
No consiste en un auditoria al uso, sino más bien un trabajo de Wireshark y ver/escuchar la red para detectar comportamientos anómalos, crear reglas de firewall, detectar cuellos de botella, equipos comprometidos, etc.
Cuando realizas este tipo de trabajos, detectas muchas cosas. Siempre recomiendo a los clientes quitarse de encima todo lo que sea Broadcast, y sobre todo lo udp. También recomiendo deshabilitar ipv6 si no se usa...
Una de las cosas que siempre documento es el uso de LLMNR (Multicast name resolution) igual que deshabilitar Netbios sobre TCP/IP.
Aparte de pare impedir el ataque comentado, y el rendimiento de red, podemos evitar otro tipo de ataques algo más viejos pero conocidos, también basados en el Responder, y que hacen un MiTm a las peticiones UDP y obtienen los hashes. El ataque se documentó perfectamente aquí.
También recordarás el revuelo que se montó con Hot Potato y wpad, netbios y LLMNR. Que bien explicado aquí.
NTLM
Como todos sabeis, los equipos del dominio usarán el protocolo Kerberos en vez de NTLM, salvo en algunos casos. Debemos usar las directivas GPO para deshabilitar el uso de NTLM siempre y cuando sea posible. Si no es el caso, debemos añadir en la política una lista de servidores a los que permitimos el protocolo NTLM y no a cualquier equipo que nos los pida, y así evitar ataques de MiTm o SMB Relay.
VLANS
¿Has escuchado alguna vez esto? ¿Aún no tienes vlans? Si limitas el tráfico entre zonas, y cortas el tráfico UDP 5355 aumentas la seguridad considerablemente. Es más, hazlo al revés, no dejes pasar nada que no necesites. Si necesitas tráfico contra tu servidor DHCP legítimo, habilita el puerto udp 68 pero SOLO para la ip del servidor DHCP. Me refiero en los firewalls del propio cliente, porque.... usas firewall en el cliente verdad?
Si lo puedes hacer a nivel de switch también, mejor !!!
DESACTIVAR WPAD
No es el primer ataque que nos vienen por el WPAD. Mira el CVE de hace 2 meses con módulo Metasploit. Has actualizado el Windows y deshablitado la opción de WPAD si no se usa?
CONCLUSIONES
Como has podido leer, existen MIL cosas que podemos hacer para proteger nuestros sistemas, en este caso Windows, pero siempre suele haber una solución para nuestros problemas.
Otra cosa es que me digas: es que no tengo win10, es que necesito el USB, es que no tengo presupuesto para un IDS, es que... ESTA CLARO !!! No siempre contamos con todas las medidas, pero hay que tener en cuenta una cosa. Cuando hablamos de seguridad, debemos de estar a la última.
Office 97 era perfecto para mi, pero en seguridad no. Ahora necesito Office 365 para estar lo más seguro posible, por mucho que me fastidie pagar la actualización, si con mi negrita y cursiva de 97 me valía.
Con los Windows pasa lo mismo. Para el trabajo diario nos vale cualquier Windows > 2000, pero por temas de seguridad estamos obligados a actualizar. Microsoft lo puso fácil y gratis de Windows 7 a 8 y 10.
En unos días saldrá Windows 2016 con unas cuentas funciones nuevas, pero una seria de mejoras de las existentes muy interesantes. Actualizarás a Windows 2016? pues muchos no lo hacen, pero eso es INSEGURO.
Para un ataque en un entorno Linux, podemos usar las mismas recomendaciones practicamente que hemos dicho aquí arriba: control de acceso fisico, firewall local, vlans, IDS/IPS/HIDS, actualizaciones, etc.
¿Entonces, es más seguro Windows que linux?
En la MAYORIA de casos los sistemas son tan seguros como lo bien configurados que están.
Gracias por leerme !!!