SAMBA: Lyre mutual authentication validation bypass

Buen día amigos

Hoy comentamos una vulnerabilidad recién salida del comal que se da desde la versión SAMBA v 4.0.0

 Nota: y yo sigo con las rayas, Up´s  este tipo de escritura la usan los que sacan exploits, digo por si no sabian.   ;p ahora ya lo saben ;P

==================================================================== 
== BUG: Orpheus' Lyre mutual authentication validation bypass 
== CVE ID#: CVE-2017-11103 (Heimdal) 
== Versiones: Todas las versiones de Samba desde 4.0.0 que usan Heimdal Kerberos. 
== Recordándoles que los binarios no son vulnerables == ====================================================================
==============
DESCRIPCIÓN DE LA VULNERABILIDAD
==============

Un atacante puede hacerse pasar por un servidor de confianza y así obtener privilegios en el dominio afectado  y esta catalogada como:  

Crítica.

En _krb5_extract_ticket () el nombre del servicio KDC-REP debe obtenerse por medio de la versión cifrada almacenada en 'enc_part' en lugar de la versión sin cifrar almacenada en el "ticket". El uso de la versión sin cifrar proporciona una oportunidad para la suplantación de servidor exitosa y otros ataques. 

El impacto para Samba es particularmente fuerte para los casos en los que el servicio de replicación de DRS contacta a otro DC que solicita la replicación de contraseñas de usuario, ya que éstas podrían ser controladas por el atacante.

 

==================
Disponibilidad del parche 
==================

Se ha puesto a disposición un parche de actualización de este sistema, recuerden actualizarlo.

LINK DE ARTÍCULO ORIGINAL:  https://www.samba.org/samba/security/CVE-2017-11103.html 

Saludos 

Li. Rodolfo H. Baz

www.x25.org.mx 

Como evitar ataques por el protocolo SMB - sabias esto?

El protocolo SMB1 original tiene casi 30 años de antigüedad, y como gran parte del software hecho en los años 80, fue diseñado para un mundo que en esos tiempos funcionaba bien pero ya paso eso.

SMB1 no es seguro mejor usar SMB3

Cuando utiliza SMB1, pierde las protecciones de claves ofrecidas por las versiones posteriores del protocolo SMB:

    Integridad de Pre-Autenticación (SMB 3.1.1+).  

Protege contra ataques de degradación de seguridad.

    Negociación de Dialecto Seguro (SMB 3.0, 3.02).  

Protege contra ataques de degradación de seguridad.

    Encriptación (SMB 3.0+). 

 Previene la inspección de datos, ataques MiTM y en rendimiento en cuanto a encriptación,  SMB 3.1.1 es incluso mejor que firmar!


Cabe señalar y que mucha gente no toma en cuenta es que  (SMB 3.0+ Windows 10+). Protege contra ataques MiTM.


----> LO SABIAS?

O aun mejor si firmas mensajes (SMB 2.02+). HMAC SHA-256 podrias sustituir  a MD5 como el algoritmo de hashing en SMB 2.02, SMB 2.1 y AES-CMAC y ademas el rendimiento de la firma aumenta en SMB2 y 3.Lo único desagradable de esto en que aunque asegures todos tus datos y transferencias, si tus otras computadoras utilizan SMB1, entonces un man-in-the-middle puede hacerse y vale para una sombrilla haber configurado tu máquina principal con SMB3.

Para hacer el ataque MITM solo lo que se necesitaría es bloquear las peticiones SMB2 y de ahí empezar el ataque.

PD: Cabe señalar que esto no es la panacea en seguridad, como sabemos siempre hay cosas con las cuales podemos vulnerar un sistema.


saludos 

Li. Rodolfo H. Baz
www.rodolfohbaz.net

Llamadas de mi otro yo del futuro desde mi mismo número telefonico? FRAUDE? o VOLVER AL FUTURO

Buenos días amigos    

TODO LO QUE RELATO AQUÍ ES VERDAD OK.. pondré fotos de referencia

Hoy toda la noche tuve un sueño muy extraño, soné que estaba en el futuro y que las maquinas tomaron el control del mundo y habían esclavizado a la raza humana, pero me di cuenta que yo no estaba esclavizado, si no que era el jefe de un grupo de hackers que lucha en la fracción de la resistencia contra ellos, en mi sueño vi  una maquina que nos permitía mandar llamadas telefónicas  al pasado para poder avisarle a los humanos que tuvieran cuidado con las maquinas que estaban construyendo, esto con el fin de tener la esperanza de que el futuro fuera diferente, pero cuando estaba  a punto de comunicarme conmigo mismo en el pasado desperté ya que sonó mi celular ........ mmmmmmm que mal y yo que quería seguir peleando contra las maquinas.

 

Pero ahí no termina toda esta historia que les estoy relatando aun hay mas como dijo Raúl Velasco.

DESPERTANDO DE MI SUEÑO

Si amigos sonó mi celular, lo agarro veo de quien es la llamada y OH SORPRESA  ES DE MI MISMO NÚMERO TELEFÓNICO QUEEEEEEEE?   no me creen? vean la foto:

SI amigos ya vieron?  entonces me dije " woooow  es verdad mi sueño mi otro yo se estaba comunicando conmigo desde el futuro"  la verdad me dio miedo  perooooo me dije: 

--Calma Rodolfo calma  no pierdas los estribos, que no cunda el panico como dice el chapulin colorado y razona que puede ser ---

Para eso recordé mis enseñanzas de hacking e ingeniería social y lo que hice fue no contestar ya que mi cerebro reacciono en milisegundo y dijo:

  NO CONTESTES MEJOR DEJA QUE LLEGUE LA LLAMADA Y DESPUÉS LA ANALISAS

Ya que terminó la llamada me puse a analizar si realmente era una llamada del futuro o era un mamoncito que estaba queriendo hacer fraude conmigo y para no hacerles el relato mas largo, esto fue lo que encontré al hacer el análisis básico:

PRIMER ANÁLISIS: VERIFICAR SI ES TU MISMO NUMERO DE TELÉFONO REALMENTE

El primer análisis que hice como lo digo en el titulo fue ver si es el mismo número de teléfono y me di cuenta que entre el mio y el que me llamo hay una pequeñisima diferencia pero a la vez la mas grande diferencia que hace que los defraudadores tengan éxito  ya que se basan en que las personas no ven esos pequeños detalles:

Los que conocen mi numero de celular se darán cuenta de la pequeña pero gran diferencia entre mi numero y el FAKE.

SEGUNDO ANÁLISIS: VERIFICAR DE QUE COMPAÑÍA, CIUDAD, ESTADO, POBLACIÓN, TIPO DE LLAMADA Y EMPRESA DUEÑA DEL NUMERO DEL CELULAR

Una vez que me di cuenta que el número era realmente PARECIDO PERO NO IGUAL hice el segundo análisis básico  y que fue ver todos los datos que el titulo de este apartado comenta y vean lo que encontré:

Como pueden darse cuenta es casi lo mismo vean:

ESTADO: VERACRUZ

MUNICIPIO:  XALAPA 

POBLACIÓN:  XALAPA-ENRIQUEZ

TIPO:  CELULAR

EMPRESA:  MOVISTAR

A jijo MOVISTAR?    si el mio es TELCEL.... jajajajjajaja 

YA SE DIERON CUENTA QUE SON MUY PEQUEÑAS LAS DIFERENCIAS PERO A LA VEZ GRANDES DETALLES QUE LA GENTE NO VE.

Ahora si como dice el dicho:

 

QUIEREN ENSEÑARLE A HACER CHILES A HERDEZ

MORALEJA AMIGOS,

SIEMPRE FIJENSE EN LOS pequeños DETALLES QUE SON LOS GRANDES PROBLEMAS POR LOS CUALES NOS DEFRAUDAN  Y NUNCA CONTESTEN ESAS Llamadas DE LOS MISMO NÚMEROS QUE SU TELÉFONO, POR QUE DE SEGURO ES FRAUDE.

Y EXITO PARA LOS QUE QUISIERON HACER ESTE FRAUDE, SUERTE PARA LA PRÓXIMA

:  EXITOOOOOO

en proximo artículo explicaré como encontramos hasta quien hiso la llamada y su geolocalización 

ATENTAMENTE

Li. Rodolfo H. Baz

www.ccat.edu.mx