Seguridad Informática Parte IV

Mauricio Alfredo González Adonis

Seguridad Informática

Instituto IACC

03 Mayo 2021
 Desarrollo

Luego de leer el caso, prepare un informe para el Sr. González que contemple los siguientes

aspectos:

1. Documente dos principales amenazas que podrían estar en el sistema operativo

Windows server 2016, dos en su sitio web y dos en su futura base de datos SQLServer.

a) Como todo sistema operativo, sobre todo de Microsoft, tiene fallos que delicadamente los

atacantes buscan exhaustivamente para vulnerar la seguridad y así lograr el objetivo de hacer

un daño a todo sistema que esté instalado y burlar su seguridad a través de virus atacantes o

Malwares.

Lamentablemente los sistemas no son del todo perfectibles por lo tanto siempre quedará

expuesto a ataques ya que el encargado de la seguridad que podemos brindar a nuestros equipos

somos nosotros mismos con software de seguridad adquiridos comercialmente, y un programa

antispyware adicional para fortalecer la seguridad.

En la página de verificación de vulnerabilidad se pudo encontrar la tabla donde se detalla las

múltiples falencias.

http://cvedetails.com

o enlace

https://www.cvedetails.com/vulnerability-list.php?

vendor_id=26&product_id=34965&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov

=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&

opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0&order

=1&trc=889&sha=64feefda476353c176edd1b2bcd7a3bdc2eab939
 Fig.- 1 – Enlace donde se destaca con rojo la vulnerabilidad.

# 2
CVE ID CWE ID CVE-2019-1359
# of exploid 119
Vulnerability Type(s) Exec ever Overflow
Publish Date 10 - 10 - 2019
Update Date 15 - 10 - 2019
Score 9.3
Gained Access Level None
Access Remote
Complexy Medium
Authentication Not Required
Conf. Complete
Integr. Complete
Avail. Complete
Observations A remote code execution vulnerability exists when the Windows Jet

Database Engine improperly handles objects in memory, aka 'Jet Database

Engine Remote Code Execution Vulnerability'. This CVE ID is unique

 from CVE-2019-1146, CVE-2019-1147, CVE-2019-1155, CVE-2019-

1156.
Fig.- 2 – Tabla de referencia de falencia Windows 2016 Server.

Fig.- 3 – Fragmento de tabla de error publicada en internet.

Fig.- 4 – 2º Enlace donde se destaca con rojo la vulnerabilidad.

# 112
CVE ID CWE ID CVE-2019-1353
# of exploid 119
Vulnerability Type(s) Exec ever Overflow
Publish Date 14 - 08 - 2019
Update Date 14 - 08 - 2019
Score 9.3
Gained Access Level None
Access Remote
Complexy Medium
Authentication Not Required
Conf. Complete
Integr. Complete
Avail. Complete
Observations A remote code execution vulnerability exists when the Windows Jet

Database Engine improperly handles objects in memory, aka 'Jet Database

Engine Remote Code Execution Vulnerability'. This CVE ID is unique

from CVE-2019-1146, CVE-2019-1147, CVE-2019-1145, CVE-2019-

1152.
Fig.- 5 – Tabla segundo error de Windows 2016 Server.

Fig .- 6 – Fragmento de tabla de error Windows 2016 Server.

Por el destacado rojo de alerta de alarma se puede apreciar que corresponde a una conexión

remota al sistema operativo, y este error es garrafal que nuestro sistema sea controlado por

personal externo no autorizado, para nuestra empresa, que sea atacada por la puerta principal que

es un servidor, sus consecuencias directamente sería la pérdida importante de datos.

b) Sitio Web Vulnerabilidad

Como ocurre en muchos casos, los ataques de ciberdelincuencia son muy frecuentes y casi el

usuario no se entera ya que son silenciosos y muy complicado saber desde donde fuimos

atacados y quiénes. Le robo de información por robo de claves de usuarios se realizan a través de

Acciones Permitidas por entrar al llamado sitio cruzado que es la validación de un link falso, las

causas de estas son las siguientes:

Existen dos técnicas:

Cross Site Request Forgery (CSRF): Modifica parámetros HTTP, cayendo el usuario en un

sector donde por error ingresa sus datos a sitios falsos.

 Modificación de usuario.

 Crear nuevo usuario.

 Modificación de clave de acceso.

 Modificación de perfil de usuario.

Inyección de Comandos: al hacer una entrada de datos como usuario y contraseña se ejecutan

instrucciones en formularios que llevan archivos por lotes donde se ordena que los datos se

vayan a otros sitios o a un correo electrónico donde tendrá sus datos extraídos, y las acciones que

sea generan son las siguientes:

 Ejecutar comandos desde servidor infectado.

 Cambiar aplicaciones web.

 Información de aplicaciones web.

 Información del Sistema Operativo (para idear ataque).

c) Base de Datos SQL Server

Los ataques a bases de datos siempre se pueden realizar con usuarios ya conocidos o que tengan

mucho acceso a toda la información, por ejemplo, un interno que tenga accesos privilegiados

puede hacer un abuso o mal uso de la información hasta llegar por completamente a eliminarla.

Error de motor de base de datos, puede ser una base incompleta, no actualizada, la que lleva a un

error de información no completa y como consecuencia la pérdida de información, sobre todo si

no nos damos cuenta que las bases nunca han sido actualizadas.

En resumen, un Mal Uso y una Despreocupación.

2. Realice el análisis de seguridad para determinar los puertos abiertos del servidor

Windows server. Para ello utilice la dirección local (127.0.0.1) de su propio pc

(simulando que es el servidor del cliente) y desde la zenmap escanee los puertos de su

PC. Capture la pantalla con el resultado.

Se abre ZENMAP y se puede visualizar lo siguiente.

I .- Salida NMAP

Fig.- 7 – Resultados de análisis parte 1 de 2.

Fig.- 8 - Resultados de análisis parte 2 de 2.
 Fig.- 9 – Perfil de mi Equipo.

II.- Puertos y Servidores.

 Fig.- 10 – Resultado de Puertos.

III.- Topología.

Fig.- 11 – Topología con gráfico de leyenda.

IV.- Detalles del Servidor.

 Fig.- 12 – Detalles de Servidor.

IV.- Puertos y Servidores.

Fig.- 13 – Número de veces realizado el escaneo.

3. Realice el análisis de vulnerabilidad del sitio web, utilizando la herramienta vega. Para

ello simule la revisión utilizando la dirección http://testaspnet.vulnweb.com . Capture la

pantalla con el resultado.

 Fig.- 14 – Presentación de programa Vega.

Fig.- 15 – Resultados de escaneo a sitio virtual propuesto.

4. Explique las formas de mitigación para una de las amenazas encontradas en el sistema

operativo suponiendo que en el escaneo de puertos usted determinó que se encuentra

abierto el puerto 21, 1 en su sitio web y una recomendación para su futuro servidor de base

de datos (3 puntos).

El puerto 21 es el puerto FTP llamado File Transfer Protocol (Protocolo de Transferencia de

archivos) este es el puerto donde se puede obtener e insertar archivos en la página web, ya sea

eliminarlos todos e insertar un portal que no sea el de nuestra página. Además de eso se pueden

encontrar otras amenazas como:

Reconfigurar Sistema Operativo y modificar parámetros establecidos más un cambio más

permisos de usuarios y contraseñas.

Configurar cortafuegos para solamente asignar la apertura de puertos utilizados en

nuestro servidor.

Atributos a los usuarios y sus restricciones.

Mantener un registro de modificaciones y configuraciones a través de software donde se

activan las auditorías, verificar resultados y recomendaciones.

Utilizar respaldos y tiempos de recuperación como RPO (Recovery Point Object)y RTO

(Recovery Time Object) en caso de desastres para solucionar respectivos ataques.

Mantener la red vigilada en caso de que nuestra red esté monitoreada por entidades no

autorizadas.

No permitir que los usuarios inserten dispositivos personales a los equipos para evitar un

ataque interno por parte de personas con poco cuidado del sistema empresarial.
 Bibliografía

Vulnerabilidad en Windows Server 2016

https://www.redeszone.net/noticias/seguridad/vulnerabilidad-critica-windows-server-zerologon/

CVE Details Lista vulnerabilidad Windows 16 Server

https://www.cvedetails.com/vulnerability-list.php?
vendor_id=26&product_id=34965&version_id=&page=3&hasexp=0&opdos=0&opec=0&op
ov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp
=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0
&order=1&trc=889&sha=64feefda476353c176edd1b2bcd7a3bdc2eab939

¿En qué consiste la vulnerabilidad Cross Site Request Forgery (CSRF)?

https://www.welivesecurity.com/la-es/2015/04/21/vulnerabilidad-cross-site-request-forgery-csrf/

Puerto FTP
https://blog.infranetworking.com/puerto-ftp/#:~:text=Los%20puertos%20m%C3%A1s%20comunes
%20a,el%20cliente%20y%20el%20servidor.

RTO y RPO
https://www.itsafer.com/que-es-el-rto-y-el-rpo-en-un-plan-de-recuperacion-de-desastres-
drp/#:~:text=Mientras%20que%20un%20RPO%20se,sistemas%20se%20reanuden
%20con%20normalidad.