3. PoC: Denegación de servicio y las pérdidas
• En esta prueba de concepto no se realiza un proceso de intrusión,
pero sí se comprueba la seguridad de los servicios de los que
puede disponer una empresa, cuyas caídas pueden provocar
pérdidas a éstas, ya sea de forma privada o pública. En este
ejemplo se utilizará la vulnerabilidad MS12-020 de la que se puede
obtener mayor información en la siguiente URL:
https://technet.microsoft.com/en-us/library/security/ms12-020.aspx
.
5. PoC: Denegación de servicio y las pérdidas
• La maquina objetivo en el siguiente escenario será un
Windows 7 con SP1 de 64 bits. También son posibles
targets las siguientes versiones de los sistemas
operativos XP, 2003, 2008 ó 2008 R2.
6. PoC: Denegación de servicio y las pérdidas
• En primer lugar, la victima debe disponer de una
configuración concreta de su servicio de escritorio remoto.
7. PoC: Denegación de servicio y las pérdidas
• Como se puede visualizar en la imagen existen 3 opciones
en Windows 7, lógicamente, si no se permiten conexiones
no se podrá realizar la denegación de servicio, y por otro
lado, si se configura que solo se permitan las conexiones
desde equipos que ejecuten escritorio remoto con
autentificación a nivel de red tampoco.
8. PoC: Denegación de servicio y las
pérdidas Configuración escritorio
remoto en Windows 7
10. PoC: Denegación de servicio y las pérdidas
• Para obtener el modulo se puede descargar directamente en
la siguiente web
• https://www.rapid7.com/db/modules/auxiliary/dos/windows/rdp/
ms12_020_maxchannelids
• Teniendo en cuenta que es un modulo de tipo auxiliary.
12. PoC: Denegación de servicio y las pérdidas
• Para obtener el modulo se puede descargar directamente en
la siguiente web
• https://www.rapid7.com/db/modules/auxiliary/dos/windows/rdp/
ms12_020_maxchannelids
• Teniendo en cuenta que es un modulo de tipo auxiliary.
13. PoC: Denegación de servicio y las
pérdidas Denegación de servicio del escritorio remoto de una
maquina Windows 7
17. PoC: Denegación de servicio y las pérdidas
• Una vez que se dispone del modulo en el framewok se accede a él y
se configura, de manera sencilla, el quipo remoto al que se quiere
denegar el servicio. Si todo va bien, se obtendrá un mensaje que
enuncia seems down. Si la maquina a auditar dispusiera de un
servicio de escritorio remoto en otro puerto que no sea el de por
defecto, se puede utilizar la variable RPORT para indicar cual es el
puerto utilizado.
18. PoC: Denegación de servicio y las pérdidas
• Parece que ha funcionado correctamente y que la maquina ha
caído. En función de la configuración de la maquina esta se
reiniciara tras realizar un volcado de memoria. ¿Y si tras
volverse a levantar se le vuelve a realizar una denegación de
servicio? ¿Y si la maquina no está configurada para
reiniciarse y queda fuera de servicio hasta su reinicio manual?
19. PoC: Denegación de servicio y las pérdidas
• Estas preguntas son bastante lógicas, y la realidad es que si
las maquina es vulnerable la empresa tiene una gran
problema, el cual debería ser solucionado con la aplicación
del parche para evitar este agujero.
20. PoC: Denegación de servicio y las
pérdidas
Pantallazo azul de Windows 7 tras la
denegación de servicio