Seguridad en Sistema Operativo de

Red Microsof GNU/Linux

Msc. Andre Mitsutake Cueto

Universidad Siglo XX - 2018

Seguridad - Windows

> 90% de todas las computadoras ejecutan Windows

[+] Cuando se trata de problemas de seguridad, es importante tener (algún)
conocimiento de Windows
[+] Sistema de código no abierto y problemas de seguridad
[+] Comenzó en 1985
> Dos familias principales
- Construyendo sobre el legado de DOS (Microsof Disk Operating System)
[+] Windows 3.11, Windows 95, Windows ME
- Línea NT - Windows New Technology (32 bits, sistema operativo multiusuario)
[+] Comenzó con NT 3.1 NT 4.0, Windows 2K, XP, Vista, Windows 7, etc..

2
Windows 3.11 Windows ME

[+] Concebido como un solo usuario OS

[+] Básicamente no hay seguridad
- Modo protegido introducido con Windows 95
- Acceso completo a objetos de registro y sistema de archivos.
- Proceso de autenticación solo para seleccionar perfiles.
[+] Perfiles
- Acceso a la contraseña guardada (almacenada en un archivo .pwl)
- La contraseña del usuario desbloquea el archivo de lista de
contraseñas

3
Windows 3.11 Windows ME

[+] Archivos de lista de contraseñas

- Windows 95 (muy fácil de romper algoritmo)
- Windows 98 (mejor protección) - pero los archivos son legibles
en todo el mundo
- Posibles ataques de adivinanzas (también, las contraseñas se
convierten en mayúsculas)
[+] Se han encontrado muchas vulnerabilidades
- Ya no se emiten parches.

4
Windows - NT

[+] Competidor a UNIX

- Verdadero multiusuario.
- Énfasis en portabilidad y diseño orientado a objetos.
- Aislamiento para aplicaciones y control de acceso a recursos.
- Similar a Unix, Kernel y modo usuario.

5
Windows - NT

6
Windows NT

•Componentes de seguridad:
[+] Monitor de referencia de seguridad (SRM)
• Proceso del kernel
• Realiza decisiones de control de acceso.
• Genera contexto de seguridad.
[+] Autenticación de seguridad local (LSA)
• Proceso de usuario
• Gestiona las políticas de seguridad (configuración de permisos)
• Autenticacion de usuario
[+] Inicio de sesión de Windows
• Proceso de usuario
• Recopilar información de inicio de sesión

7
Decisión de Control de Acceso

Windows está orientado a objetos, todo es un objeto.

Cada objeto tiene configuraciones de seguridad (descriptor de seguridad)
Hilos(pequeños procesos) / procesos
Contexto de seguridad.
[+] Operación
Determina el acceso deseado (leer, escribir, borrar ...)
[+] Decisión de control de acceso
- Determina si el objeto permite ciertas operaciones para el contexto de seguridad.
- Implementado por la funcionalidad SRM (SeAccessCheck)
- Si se permite el acceso, normalmente se devuelve un identificador de objeto.

8
Security Context

Almacenado en (acceso) tokens

Asociados con cada pequeño proceso/proceso.
[+] Token de acceso
Estructura de datos del kernel que determina los derechos de un sujeto.
Campos importantes:
• SID de usuario
• Grupo SIDs
• Privilegios
• Permisos predeterminados (utilizados para los archivos que se crean)
• Información de gestión

9
Security Identifiers SID

[+] Identificadores de seguridad

- Se utiliza para identificar de forma única las entidades (usuarios, grupos ...)
- Es inmutable
- Concepto similar a UID / GID en Unix, pero unificado
[+] Longitud variable, valores numéricos
[+] Estructura
- Estructura SID - Valor de autoridad de 48 bits - número variable de sub-autoridad
de 32 bits
- El administrador tiene S-1-5-21-XXX-XXX-XXX-500
[+] Administrador
- Cuenta similar al “root” en Unix.

10
Access Token

• Se crea en el momento de la autenticación.

• Define el contexto de seguridad de la aplicación.
• Winlogon asigna el token al usuario
• Por defecto, cada aplicación hereda el token de la aplicación
que lo crea.

11
Security Descriptors

Información de seguridad asociada a objetos.

Campos importantes:
- Propietario SID
- Grupo primario SID (solo utilizado por POSIX)
- Lista de control de acceso discrecional (DACL): relevante para el
control de acceso
- Lista de control de acceso al sistema (SACL): relevante para logearse
[+] Lista de control de acceso
- encabezado + lista de entradas de control de acceso (ACE)

12
Security Descriptors

[+] Entrada de control de acceso (ACE)

- Contiene un SID (por ejemplo, para el usuario b0b0)
- Operaciones correspondientes (por ejemplo, escribir, leer)
- Tipo (que especifica permitir o denegar)
[+] Asignación de acceso
Conjunto de complejas reglas:
- Ya sea directamente establecido
- o determinado a través de "herencia", por ejemplo, del directorio actual
- o predeterminado tomado del token de acceso

13
Security Descriptors

[+] Decisión de acceso

Atravesar el DACL hasta:
- Se otorgan todos los permisos solicitados o se deniega un
permiso solicitado
- Esto implica que el orden del ACE importa!!!!!
- Normalmente, las entradas de denegación aparecen primero.
[+] El propietario del recurso siempre tiene derecho a modificar
el DACL

14
Privilegios

[+] Recuerde que el token de acceso también almacena privilegios

[+] Privilegios
- No todas las operaciones (relevantes para la seguridad) están asociadas
con objetos, ejemplo: apagar la computadora, configurar la hora del
sistema, ..
- Otros privilegios pueden deshabilitarse u omitirse los controles de
acceso. Ejemplos de copia de seguridad, procesos de depuración, ...
[+] Super privilegios
- Algunos privilegios son tan poderosos que básicamente otorgan acceso
completo "Actuar como parte del sistema operativo", "Programa de
depuración", "Restaurar archivos" ...

15
Mimikatz

[+] Recuperar contraseñas de texto plano de Lsass

[+] Generalmente requiere una máquina de Windows comprometida
donde otro usuario (administrador) está conectado
- Abusa de la gestión de tickets de Kerberos en dominios de Windows
- Pasar la técnica Hash (PtH)
- Permite iniciar sesión en otra máquina.
[+] Generar tickets de oro.
- Necesita comprometer una cuenta de administrador
- Permite personificar a cualquiera.
- 10 años de validez, difícil de limpiar.

16
Autenticacion

[+] Almacena contraseñas con hash

- Similar a /etc/passwd y /etc/shadow
[+] Dos formatos
- LM (administrador de LAN) hash
- NTLM
[+] LM hash
- Utiliza DES para cifrar la cadena estática
- Sin embargo, algunas fallas:
Sin saltos, divide 14 caracteres en 2 bloques de 7 caracteres (hash por separado)
todos caracteres convertidos en mayúsculas (reduce aún más el espacio clave)

17
Autenticacion

• LM hash
- Puede ser roto trivialmente (ophcrack)
- Deshabilitado por defecto en Vista (o cuando la contraseña> 14
caracteres)
• NTLM
- Mejor seguridad (MD5)
- Todavía no hay salto, por lo tanto es posible realizar ataques
efectivos tales como “rainbow table”

18
Funciones de seguridad avanzadas

[+] Mitigación de explotaciones genéricas.

- Distribución del espacio de direcciones al azar (ALSR)
- Prevención de ejecución de datos (DEP)
- Gestor de almacenamiento seguro
[+] Integridad del núcleo
- Código de integridad y firma del conductor.
[+] Integridad del sistema y defensas en modo usuario.
- UAC - Control de cuenta de usuario.
- MIC - Control de integridad obligatorio.
- Windows Defender, actualizaciones, firewall.

19
Integridad del Sistema

[+] Control de integridad obligatorio (≥Vista)

Recoge la idea del control de acceso obligatorio.
Restringe la interacción entre procesos de diferentes niveles.
Internet Explorer en modo protegido
[+] Un tipo de interacción es el paso de mensajes.
- La característica se llama aislamiento de privilegios de la
interfaz de usuario, limita aquellos procesos que pueden enviar
mensajes a los procesos del sistema (privilegios más altos).

20
Integridad del Sistema

[+] Windows Defender

- Programa anti-malware integrado.
[+] Firewall de Windows
- Comprueba las conexiones salientes (detección de compromiso).
[+] Microsof Security Development Lifecycle
- Comenzó en 2002, como Trustworthy Computing
- Iniciativa de Microsof para mejorar la calidad del sofware.
- Auditorías de código, análisis estático, pruebas de fuzz, etc.
[+] Firmas del código del kernel, detección de modificaciones.

21
Integridad Kernel

[+] DSE Driver Signing Enforcement

- evita que se carguen módulos del kernel no firmados
[+] Muchos programas/malware parcha el DSE para que este sea desactivado
- Win7 simplemente cambiar un valor numerico, similar para Windows 8.1
[+] Patchguard:
- Windows kernel auto revisión
- Regular (cada +/- 10 min)
- Posible parchearlo en 8.1.
- Duro en 10 (sin desvío público)

22