lunes, 22 de abril de 2013

Craso error en las altas de nuevos usuarios.

Todas las medidas de seguridad que se deben de tomar en una empresa siempre son pocas para evitar que un Hacker encuentre una puerta por la que acceder a sus sistemas.
En cualquier Libro de seguridad, de hacker, de pentesting, o en cualquier Security Baseline encontraremos con que sus autores hacen mucho inca pié en securizar un sistema por innecesario que parezca.
El más mínimo detalle puede ocasionar una brecha de seguridad.
Cuando una persona entra a formar parte de una empresa es habitual encontrar que los administradores de sistemas faciliten una primera contraseña al usuario, siendo ésta genérica, para poder acceder por primera vez a su Windows. Posteriormente el propio sistema le pudrirá que cambie su contraseña de manera obligatoria.

Los administradores de sistemas suelen pensar que esto es una buena medida de seguridad, ya que alguien solo podrá utilizar esa cuenta nueva sabiendo la contraseña que ellos facilitan y accediendo en el trascurso en el que ellos mismo le mandan la contraseña al usuario, y el usuario accede a su ordenador.
Para ellos es casi impensable que alguien pueda utilizar esto para entrar en sus sistemas.

Sin embargo llevado a la práctica es mucho más peligroso. Sabiendo la contraseña inicial que se asigna por defecto, utilizando como ejemplo la ingeniería social, se podría preparar una ataque por fuerza bruta.

Veamos una prueba de concepto (PoC):
Se han omitido algunos detalles para evitar su reproducción total.

Como primer paso buscamos los posibles  puertos que tenga abierto.

Nmap
Img 1: Puerto 25 (SMTP) localizado con nmap.
Como ya tenemos la contraseña que previamente hemos obtenido mediante ingeniería social. Solo nos faltaría los nombres de usuario para preparar la herramienta que se encargará de hacer el trabajo por nosotros.

Para ello podemos utilizar varias formar de encontrar el nombre de usuario. La más rápida suele ser utilizando fuerza bruta mediante un diccionario.

Esto puede ser tan fácil como descargarse un buen diccionario de SkullSecurity
y cargarlo en la herramienta que hemos comentado antes.

Como norma general los nombres de usuario de una empresa suelen componerse de la siguiente manera:

  • inicial del nombre + primer apellido
  • Inicial del nombre + primer apellido + inicial del segundo apellido
  • nombre + inicial de primer y segundo apellido
  • nombre + "punto" + primer apellido
Img 2: Obtención de usuario y password válidos con xHydra.
 Al final obtenemos un gran numero de usuarios con esa contraseña por defecto. Estos usuarios pueden ser nuevas incorporaciones o simplemente incorporaciones que en su día se dieron de baja, el usuario no cambio las password, y como descuido final el administrador no lo dio de baja.
Al final esto provoca un enorme agujero de seguridad.