Ing.

Vctor David Casares [CCNA-C|EH]

vcasares@cybsec.com

CYBSEC S.A. www.cybsec.com

Obteniendo credenciales en redes internas sin

despeinarse
1. Introduccin:

En algunas ocasiones al momento de llevar a cabo un test
de intrusin interno, nos encontramos con que los equipos
analizados se encuentran con sus correspondientes
actualizaciones al da. Esto es porque la Seguridad de
los Sistemas fue tomando poco a poco un alto lugar sobre
las prioridades al momento de llevar a cabo las tareas en
una empresa. Hoy queremos un sistema que funcione
correctamente y que adems sea seguro afirman en los
altos mandos.

Si bien tener los equipos, tanto servidores como
estaciones de trabajo, actualizados es un gran paso para
protegerse de los atacantes, todava se notan ciertas
configuraciones dbiles que permitiran a un atacante
obtener credenciales de acceso y/o hashes de autenticacin
para ingresar en los sistemas de manera no autorizada.
Entonces, Es posible que a pesar de tener las ltimas
actualizaciones instaladas en los equipos, un atacante
pueda lograr el acceso sin explotar un 0 day? Es posible
que un atacante con acceso a la red interna pueda quedarse
a la escucha de conexiones y obtener credenciales de
acceso?

Pues si, y en esta oportunidad hablaremos de ataques a
configuraciones dbiles que pueden realizarse, sin que sea
necesario realizar un envenenamiento de las tablas ARP
(generalmente usado para el ataque de hombre en el medio)
y sin realizar un envenenamiento DNS (generalmente usado
para phishing interno) cuando el atacante tiene acceso a
la red interna.


Ing. Vctor David Casares [CCNA-C|EH]
vcasares@cybsec.com
CYBSEC S.A. www.cybsec.com

2. Descripcin de los ataques:

El primer ataque que vamos a describir se denomina WPAD
(Web Proxy Authentication Discovery). El mismo aprovecha
un conjunto de configuraciones dbiles y un error del
usuario para obtener credenciales. Todos alguna vez hemos
tipeado mal una direccin Web, o el acceso a un recurso en
la red interna. Al escribir mal una direccin Web, la
consulta al DNS fallar por lo que, si el navegador Web
est configurado para Detectar la configuracin
automticamente (tal como se muestra en la figura a
continuacin),

Ejemplo Internet Explorer

la consulta fallida tratar de resolverse a travs de WINS
(Windows Internet Name Service) y si falla, finalmente se
emite un broadcast en la red para tratar de encontrar un
host llamado WPAD al cual le solicitar el archivo
WPAD.dat con los datos de configuracin automtica del
proxy. Esto se realiza utilizando el protocolo LLMNR
(Link-Local Multicast Name Resolution) a travs de UDP
puerto 5355 en sistemas Windows Vista en adelante o el


Ing. Vctor David Casares [CCNA-C|EH]
vcasares@cybsec.com
CYBSEC S.A. www.cybsec.com

protocolo NetBios a travs de UPD puerto 137 para

versiones de Windows anteriores a Vista.

Solicitud del host WPAD.

Un atacante que est a la escucha en la misma red, puede

responder ante esta solicitud, y brindar a la victima una
ventana de autenticacin similar a la que se muestra a
continuacin:

Ventana de autenticacin de Internet Explorer.

El ataque lo realizamos utilizando una herramienta
denominada Responder que fue creada por Trustwave
SpiderLabs https://www.trustwave.com


Ing. Vctor David Casares [CCNA-C|EH]
vcasares@cybsec.com

CYBSEC S.A. www.cybsec.com

Al momento de enviar las credenciales, las mimas son

capturadas por el atacante en texto plano y podran
utilizarse para acceder al equipo de la vctima.

SMB Relay es otro tipo de ataque que podemos utilizar para
tratar de ganar acceso a los equipos. En muchas redes
existen sistemas automatizados que se conectan a todos los
equipos para realizar ciertas tareas como por ejemplo:
realizar un inventario del software instalado, actualizar
antivirus, realizar backups, etc. Dichos sistemas para
conectarse con los equipos necesitan proveer a los mismos
las credenciales vlidas para llevar a cabo la
autenticacin. Es por ello que un atacante podra quedar a
la escucha esperando que algunos de estos sistemas
automatizados establezcan una conexin con l (con su
direccin IP interna). La autenticacin se realiza
utilizando NTLM (NT LAN Manager). NTLM es un protocolo de


Ing. Vctor David Casares [CCNA-C|EH]
vcasares@cybsec.com
CYBSEC S.A. www.cybsec.com

desafo/respuesta y el proceso de autenticacin es el

siguiente:

1.- Soy "admin" quiero autenticarme.

2.- Si usted realmente es "admin", encripte (desafio x)
con el hash de su clave.
3.- Se enva el (desafio x) encriptado.
4.- Se proporciona el acceso / Se deniega el acceso.

La arquitectura que se tiene cuando se realiza el ataque
ser similar a la imagen a continuacin:

1a

2a

3 a

4a

Es importante destacar que no es necesario realizar

envenenamiento de tablas ARP y/o envenenamiento DNS. En
este caso tendramos que esperar que el sistema
automatizado realice una conexin con el equipo del
atacante. Los pasos que se dan son los siguientes:

1.- El sistema automatizado enva un mensaje de
autenticacin contra el equipo del atacante.

1a.- El atacante pasa el mensaje de autenticacin al
equipo vctima.


Ing. Vctor David Casares [CCNA-C|EH]
vcasares@cybsec.com

CYBSEC S.A. www.cybsec.com

2.- El equipo vctima enva al atacante un (desafo x)
para que sea encriptado con el hash de la clave del
sistema automatizado.

2a.- El atacante reenva el desafo al sistema
automatizado.

3.- El sistema automatizado devuelve el desafo encriptado
al atacante.

3a.- El atacante pasa el desafo al equipo vctima.

4.- El equipo vctima proporciona acceso al atacante.

4a.- El atacante retorna un mensaje de acceso denegado al
sistema automatizado.

Para llevar a cabo el ataque de manera prctica, en esta
ocasin utilizaremos una herramienta denominada
Smbrelayx que fue desarrollada por Core Security
http://www.coresecurity.com

El ataque SMB Relay permite al atacante grabar la

autenticacin cuando el sistema automatizado intenta
conectarse a su equipo, lo que se graba es el hash SMB,
que ser reutilizado para establecer conexin con un
equipo vctima, para luego subir al mismo un archivo
meterpreter.exe que establecer una conexin remota con
el equipo del atacante.


Ing. Vctor David Casares [CCNA-C|EH]
vcasares@cybsec.com

CYBSEC S.A. www.cybsec.com

3.- Videos Online:

Dejamos en un canal de Youtube llamado Test de

Intrusin Experiencias y Demostraciones Prcticas dos
videos que ilustran los ataques mencionados anteriormente.
WPAD:
https://www.youtube.com/watch?v=fHC7WxV_KCc

SMB Relay:
https://www.youtube.com/watch?v=dTit4KAwrcs

4.- Posibles Soluciones:
En el caso del ataque WPAD una de las soluciones sera
configurar el browser para NO Detectar automticamente la
configuracin. As mismo es recomendable deshabilitar el
protocolo LLMNR y NetBios en caso de que sus usos no sean
estrictamente necesarios.
Con lo que respecta al ataque SMB Relay lo recomendable
sera firmar el trfico SMB.

5.- Sobre el Autor:
Vctor David Casares es Ingeniero en Sistemas por la UNLAR
(Universidad de Nacional de La Rioja). Es autor del libro
Test de Intrusin - Experiencias y Demostraciones
Prcticas. Experto en administracin de redes y Seguridad
Informtica por UTNFRVM (Universidad Tecnolgica Nacional,


Ing. Vctor David Casares [CCNA-C|EH]
vcasares@cybsec.com

CYBSEC S.A. www.cybsec.com

Facultad Regional Villa Mara). Cuenta con certificaciones

internacionales tales como CCNA (CISCO CERTIFIED NETWORK
ASSOCIATE) y CEH (CERTIFIED ETHICAL HACKER).


Actualmente trabaja en el departamento de Ethical Hacking
de CYBSEC, es instructor de Seguridad Informtica en
EducacionIT, escribe artculos de seguridad informtica
para el Blog de EducacionIT y CYBSEC.

6.- Sobre CYBSEC S.A:
Desde 1996 se dedica exclusivamente a prestar servicios
profesionales especializados en Seguridad de la
Informacin. Su rea de servicios cubre Amrica y Europa y
ms de 400 clientes acreditan la trayectoria empresaria.
Para ms informacin: http://www.cybsec.com