Ataques contra Azure: Tu programador: Robo de tokens

 Estimados amigos de Inseguros !!!

Cuando hablamos de la seguridad empresarial, son muchos los frentes que se nos presentan. El conocido perímetro, el endpoint, el no-perimetro, la cadena de suministros, los ataques de día cero, el correo, etc etc etc.

Muchas veces el enemigo lo tenemos en casa, y no me refiero a Juan que lo acepta todo, o a Pepa que es experta en descubrir como romper el ERP. No, me refiero incluso a nosotros mismos. 

En este caso voy a hablar del "programador". Ese enemigo del administrador de sistemas 😉😉😉 que quiere tener Root en todos los servers. Noooo, eso ya paso verdad? xD ahora tenemos DEVOPS !!! somos Trending !!! tenemos un repo. de versiones y Jenkins !!! bien, vale. Pero no me refiero a esto. 

Estoy poniendo el caso del programador, pero podría ser otro, permitirme la broma.

A lo que voy, programador que tiene en su portátil acceso a Azure, a "equis" cosas. Puede ser acceso a máquinas virtuales, al key vault de secretos, a una aplicación en concretro, al repositorio de código, a lo que sea, pero tiene algo. Ese algo puede ser la "cocina de la empresa", es decir, acceder a todos los datos, o hacerme con el dominio, o puede ser un paso intermedio hacia otro objetivo que si que me de el ansiado Administrador...

Bien, una vez tenemos el peligro, vamos a pensar. Sabemos que es un modelo de TIERS, es decir, tenemos varias zonas en nuestra empresa, y no usamos el portátil que usamos para navegar, para conectarnos al DC, TAMPOCO usamos el mismo equipo, usamos un host bastion. Bien, y el PC del programador donde lo ponemos? es un Tier 0 ? Es un Tier intermedio con procesos de desarrollo, o es un Tier 2 de un usuario?

Tenemos MFA local al equipo? tenemos cifrado de disco? no lo se cari, dímelo tu !!! este equipo, es portátil? se lo lleva de finde.?

Se está mascando la tragedia. Tenemos un usario con privilegios en nuestra infraestructura, quizás no en el dominio, pero si en Azure, y no lo estamos protegiendo como un servidor "delicado de la muerte" con mil políticas de hardening. 

Ahora que sabemos que es un objetivo goloso, y parece que es fáci, vamos a imaginar un ataque complicado, rebuscado !!!Hazlo tu mismo, entre en C:\Users\kinomakino\  y busca la carpeta .Azure hazlo con el tuyo !!!

Ahora copia esta carpeta y pégasela a otro usuario. Entra en Azure y "voila" has usado el token del compañero para autenticarse. MIRA QUE COMPLEJO !!! 

Claro !!! para que pase esto, hay que hacerse con el admin. local de la máquina, o con el admin del dominio, o con acceso físico, SIIIIIII, si aquí nadie regala nada. Pero igual que protegemos a los servers en profundidad, con las medidas que he comentado antes, este equipo debería tener esa protección extra.

En este caso, partimos de un entorno en el que hemos hackeado el Active Directory, pero queremos saltar al cloud. En otras ocasiones, es al revés, hemos accediro a Azure y tal...

Estas cosas no se arreglan haciendo "clicks" en uno o dos sitios, se arreglan arquitectando bien los servicios, conociendo como funcionan, qué posibilidades nos dan de fortificación, y sobre todo, sabiendo qué hacen los malos, para ir poniendo medidas.

Estas cosas no salen en la web de Microsoft. Si buscas libros, certificaciones y demás, veras los "sc-100, 200" y cosas así, que te enseñan a hacer configuraciones de seguridad, pero si quieres aprender CIberseguridad Azure y O365, tienes que hacer mi curso. Así, directo, sin vaselina. Estas formaciones o las obtienes así, o cuesta MUCHO que tus chicos las aprendan.

formacion.seguridadsi.com

No esperes más. No te quedes atrás y da el salto hacia la seguridad Cloud.

Seas sysadmin, administrador de red, blue team,  pentester, sea lo que sea, piensa en hacia donde quieres llegar, y confía en Seguridadsi.

Si tienes alguna duda, y quieres saber más de los cursos, tienes la web. Puedes contactar conmigo para una charla de 15 minutos y resolver todas las dudas.

Ah, se me olvida, si trabajas en España se puede bonificar.

Gracias como siempre !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

¿Cómo auditar tu entorno Active Directory tu mismo? Prepárate que vienen curvas

 Estimados amigos de Inseguros !!!

Seguramente si me sigues, habrás estudiado bastante ciberseguridad, Windows, Azure, y cosas por el estilo.

En este humilde blog he ido escribiendo, y sigo haciéndolo, consejos, procesos, herramientas, ideas, tutoriales, opiniones, sobre la ciberseguridad, y muchas veces, desde la perspectiva Microsoft.

Muchos de vosotros habéis asistido a algún Webinar gratuito, o habés descargado alguno de los ebooks, como Buscadores, laboratorios o controles recomendables. *sabes que si haces los webinars grabados en la academia te llevas tu diploma acreditativo gratis?*

El otro día sacamos una auto-evaluación de 5 preguntas, para que reflexiones sobre varios aspectos de salud de tu AD, que te invito a que hagas.

Pero, muchos de vosotos me habéis transmitido de que os falta quizás el hilo conductor.

Que hemos aprendido muchas cosas, una cosita de aquí, otra de allá, pero os falta esa visión global de cómo acometer un plan de ciberseguridad para vuestras redes.

Creo que tiene todo el sentido del mundo. Yo mismo soy de los que opinan que no es tan necesario conocer la herramienta Equis o Zeta, sino conocer los procesos, los Attack Path que emplean los malos.

Academia SeguridadSI

Como todos sabéis, hace unos meses que llevo el proyecto de la academia. Si no la conoces, te invito a que te bajes el Dossier de presentación !!!!

Para el entorno Cloud, tenemos un curso MUY potente de ataque y defensa a Azure y O365, disponible para que lo hagas con nosotros. *SEPTIEMBRE*

Para el entorno Microsoft en general, tenemos el "Master". El curso Especialista en entornos Microsoft de 3 meses. En el no solo aprendes teoría y práctica, defensiva, sino ofensiva, aprenderás a atacarte, a defenderte, a usar el cloud ( incluye el contenido del curso de Azure y O365) pero desde el punto de vista de las trincheras, del sysadmin real, del CIO que debe tomar las mejores decisiones conociendo las amenazas. NO desde el punto de vista de "haz click aquí" haz "click allá" y compra "esto" o "lo otro".

Próximamente

PERO, aún así, creemos que muchos de vosotros os gusta la sangre !!! que si, que conocer Kerberos está muy bien, pero los ataques que enseñamos están ya más visto que el TBO. SI !!!! que veamos un Kerberoasting o un "Responder" no es tanto para conocer el ataque en sí, sino para conocer a bajo nivel como funciona Kerberos por un lado, y SMB/NTLM por el otro.

PERO como digo, para todos vosotros que os dedicais día a día al hacking ético, al pentesting. O para los sysadmin que queréis comenzar en ciberseguridad ofensiva, vamos a sacar el curso, el Mega curso, EL MEJOR CURSO DE HACKING orientado a Microsoft del mercado.

Está a punto de salir. Será un curso, que siguiendo las distintas fases de un ataque: Acceso inicial, movimientos laterales, evasión de defensas, etc Aprenderemos numerosas herramientas y procesos.

Seremos capaces de auditar nuestra organización, o la de cualquier cliente.

NO SERÁ el típico curso de Hacking Ético desactualizado que veo, por ejemplo:

• Mitad del temario, manejo de linux.
• Temar concretos de "elevación de privilegios" en Linux, al estilo OSCP.
• Top Ten Owasp.
• Un curso para aprender "fase de descubrimiento" con Nmap.
• Que aparezca la palabra OSINT
• Bash Scripting...
• Docker...

HUYE DE ESTOS "creadores de contenido". NO TRABAJAN EN ESTO

NO, ese curso está CADUCADO. Esos cursos están bien para dedicarse al hacking en general, pero el curso que vamos a sacar es un curso para usar en EMPRESAS REALES. 

Muchos de vosotros seguramente no hagáis nunca un CTF, ni tan siquiera os dediquéis a la ciberseguridad, estos cursos suelen ser de poco nivel técnico, muchas teclas que caducan enseguida, y que no aportan NADA a tu empresa.

Las empresas reales tienen ACTIVE DIRECTORY y O365. No todas... ya lo se, pero SI la mayoría.

Cansado de ver malas formaciones, estoy FOCALIZADO en esta tarea, en crear el MEJOR CURSO PRÁCTICO de Hacking Microsoft, y está a punto de salir.

He pensado subirlo grabado. Por cada Fase, equis procedimientos/herramientas. Así cada uno puede seguir el curso de la manera que más le convenga. Si quiere hacer un proceso de cada fase, o por si lo contrario quiere hacer todos los procesos de "Acceso Inicial".... como el alumno quiera.

Cuando se publique me temo que verás algo de publicidad :-) pero estate preparado, porque viene un final de año cargado de acciones, de pago y gratuitas para todos los amigos de la comunidad que tanto apoyo me regaláis. 

Por si acaso, si quieres estar al tanto de las novedades, descuentos y estas cosas, te invito a que te suscribas.

Gracias por todo !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

Permisos sobre aplicaciones de terceros en Azure: Cómo robar tu token con un phishing.365 Stealer

 Estimados amigos de Inseguros !!!

En el episodio de hoy, vamos a recrear un ataque muy habitual en configuraciones de Azure no bien hechas y es el robo de token mediante permisos a aplicaciones.

El concepto es muy sencillo. Un atacante registra una aplicación maliciosa en SU tenant. Nos invita a nosotros, pero nos pide permisos en NUESTRO tenant. Si no hemos configurado bien este aspecto en nuestro tenant, nuestros usuarios pueden caer facilmente. 

Vamos a utilizar la herramienta O365 Stealer.

El enlace del proyecto utilizado es el este y mejor que un texto, os paso el video de una de las clases donde se muestra por encima el proceso.

https://youtu.be/xyDeW9BSMH8

Y como siempre, si te gusta este contenido, puedes mirar los dos cursos que hemos sacado para Septiembre y final de año. Toda la información disponible en https://formacion.seguridadsi.com/

Gracias  !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

Devolver a la comunidad lo que nos da y cosas así: El camino del MVP...

 Estimados amigos de Inseguros !!!

Muchos de vosotros sabéis que desde hace unos años tengo la suerte de ser premiado por Microsoft como MVP de alguno de sus productos o servicios. Para mi es un orgullo, una fuente inmensa de satisfacción, un sueño hecho realidad.

Pero los sueños no se persiguen, aunque te digan eso en la tv. Tu puedes tener unas metas, y tienes que hacer acciones que te lleven a esas metas, pero un premio no es una meta. Un premio es algo que te viene extra, como recompensa, no se si me explico.

En el momento de salir este post, no se si estaré renovado para 2023-2024. Me lo dirán el 1 de Julio. 

El proceso de renovación de los MVP consiste en una evaluación de méritos que hacen desde el comite del premio, de tus últimos 12 meses de actividades en las comunidades.

En mi caso, me evaluan lo que he hecho de manera "comunitaria" desde el 1 abril de 2022 hasta el mismo día del 2023.

Sin saber si yo voy a ser renovado o no, yo ya llevo unos meses en los que mis contribuciones no "cuentan" para este año, esto ya está "vendido". Contarían para el siguiente año, si me renuevan. 

Pero a donde voy, yo no lo hago por eso. Yo lo hago por algo que aprendí de muchos, en concreto en las primeras Navaja Negra. Donde digamos conocí en persona a muchos de vosotros de la  nueva vieja escuela. DEVOLVER A LA COMUNIDAD lo que esta me da, lo escuché muchas veces.

No puede ser que seas amante del GNU, pero no publiques tus códigos, alguno de ellos, o tus descubrimientos o aventuras !!! osea, tu consumes pero no aportas? yo me siento en deuda con todos vosotros que ayudáis, por eso intento ayudar.

Recuerdas tu último año? has tenido días malos? semanas de no tener tiempo ni de ir al peluquero o afeitarte? entregas de proyectos atrasadas? noches de trabajar hasta tarde? fines de semana de decir en casa: este finde trabajo? has tenido vacaciones con la familia? puentes? yo también, igual que tu. No voy a decir ni más ni menos, como tu.

Y no se tu caso, pero yo he sacado tiempo para hacer 45 actividades fuera de mi trabajo, por la comunidad. 8 o 10 charlas en Conferencias. 8 o 10 visitas a institutos. unos 20 post...

Todo esto gratis, que tiene un coste, para mi alto, tiempo de familia, de sofa, de playa, de escribir, planificar, publicar, preparar, pero me siento en deuda con todos vosotros !!! tengo que hacerlo !!!

Si Microsoft no me diera este año el puesto, crees que dejaría de hacerlo? si me conoces, sabes la respuesta.

No espero nada de nadie, porque la gente somos egoistas. Os voy a poner un ejemplo. Conoces los webinars gratuitos que hago? uno al mes. Te gustarán más, menos, no los verás, pero hay gente que si.

Pedí hace poco a unas 800 personas, que por favor, mandasen un pequeño review en video,un saludo, un texto, algo, para intentar hacer algo bonito de marketing. Sabes cuanta gente me "pago" el webinar con un comentario? 3. Lo entiendo, yo lo mismo no lo haría, pero a donde voy, no espero nada de nadie, así no me desilusiono.

Pero el propósito de este post, es el que es, que te quede claro que me siento en deuda con la comunidad, y que espero poder seguir muchos años devolviendo lo que puedo. Que todos tenemos pareja, hijos, trabajo, familias, épocas mejores y peores, pero es de biennacido ser agradecido, o algo así. xDDDD

Espero seguir muchos años aquí, y que sigas leyéndome !!!

Gracias por leerme uso al terminar siempre mis post...

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.

Monitoriza alertas en Azure sin SIEM con unos clicks...AzDetectSuite...ejemplo honeypot PasswordSpray

 Estimados amigos de Inseguros !!!

Una de las cuestiones que más preocupa a clientes es la cuestión de la detección de intentos de ataques en Azure AD, y por lo tanto en O365...

Al igual que en WIndows tenemos que generar eventos, que vemos en el Visor de Eventos, sino los "accionamos", si no le damos detrás un software para que "haga cosas", como el SIEM, en Azure pasa igual.

En este pequeño post os traigo un proyecto de Microsoft que me gusta, porque sirve muy bien para adentrarnos en la monitorización de eventos.

El concepto es muy sencillo. Nos vamos a nuestro Azure, creamos un espacio Log Analytics. Luego nos vamos a Azure AD, y configuramos la monitorización para que "vuelque" los logs en ese Log Analytics

Ahora nos toca esperar un poco. Yo me iría al Workspace y empezaría por generar una consulta KQL que me diga los SigningLogs. Una vez confirmemos que está recopilando logs de inicio de sesión, podemos seguir.

Bien, ya tenemos la "infra" montada. Ahora nos vamos al proyecto AzDetectSuite, y desplegamos las alertas de monitorización que los chicos de Redmon nos regalan. Estas reglas me valen para el Siem Sentinel o para Defender, al final es lenguaje KQL, pero hablamos de ahorrarnos unos eurillos prescindiendo de Sentinel...

Podríamos hacer "deploy to azure" que tanto me gusta, pero he encontrado fallos que imagino irán solventando.

Vamos a probar con la detección de Password Spraying, que es muy sencilla. 

Básicamente la plantilla nos crea una alerta, con una query, que busca signinlogs de un id usuario concreto.

Ahora podemos crearnos un usuario sin permisos, con una clave débil, relacionado con mi empresa, por ejemplo Miempresa2023. Apuntamos el ID del usuario.

Nos vamos al proyecto en github, copiamos el JSON. Nos vamos a Azure, buscamos Plantillas, y creamos una desde el principio.

Cuando la pegamos, debemos cambiar dos cosas, al menos, a fecha de hoy: la tabla se llama SigninLogs y no como va "de casa" y donde pone la KQL, cambiamos el id del usuario honeypot.

Desplegamos esto... y ya tenemos una alerta. Para comprobarlo todo, podemos buscar en azure: Alertas, entrar y ver Reglas de alerta.

En esta ventana veríamos las alertas, pero claro, nosotros queremos "engancharle" una acción, por ejemplo, que envíe un correo, o que ejecute algo, nos están atacando !!!

Nos vamos a la regla, y tenemos acciones.

Pero como tu ya sabes de esto, no hace falta que te lo diga... Aquí tienes la info de Microsoft...

Pero para los que quieren aprender, ya sabes que quedan plazas para el curso de Seguridad en Azure y Office 365 de este mes de Junio.

El MEJOR curso que puedes recibir ahora mismo, creeme, o pregunta a los alumnos pasados.

Volviendo al proyecto, me parece muy interesante AzDetectSuite ya que nos da una base para montar un buen sistema de detección low cost.

Como siempre, gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.