Hoy a las 19:30 tendremos un Webcast más de ITPro.es sobre auditoría y análisis forense en Exchange 2010 de la mano de Joshua Sáenz, un crack de Exchange y del análisis forense, además de MVP durante 4 años seguidos.

image

En este Webcast se verán las principales características que se han incluido en Exchange Server 2010 con el objetivo de facilitar las tareas de control y auditoría ante hechos sospechosos como accesos no autorizados a buzones, acciones administrativas o eliminación de evidencias. El Webcast está destinado a auditores, consultores, responsables de seguridad y administradores de Exchange.

Contenido:

  • Introducción
  • Retos y escenarios de auditoría y análisis forense de mensajería
  • Novedades de auditoría en Exchange Server 2010 SP1
  • Auditoría y logging en Exchange Server 2010
  • Configuración y Análisis de registros de Exchange Ser ver 2010
  • Informes de auditoría
  • Journaling
  • eDiscovery

Apuntaros aquí:

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032497996&Culture=es-ES

No os lo perdáis, os esperamos!!!

Desde Quest Software nos ofrecen un conjunto de CMDLETs para PowerShell que nos ayudarán a gestionar AD tanto desde Windows 2008, 2008R2 como Windows 2003. Se puede bajar de forma gratuita desde aquí:

http://www.quest.com/powershell/activeroles-server.aspx

Para utilizar esta herramienta hay que ejecutar el nuevo programa instalado:

image

También podremos trabajar desde la Powershell añadiendo el Snap-in de Quest de la siguiente forma:

Add-PSSnapin Quest.ActiveRoles.ADManagement

Para listar los usuarios que tenemos en un dominio con el perfil móvil activado tenemos que ejecutar el siguiente comando:

Get-QADUser -sizelimit 0 | where {$_.profilepath -ne $NULL} | Select-object SamAccountName,profilepath | export-csv c:\PerfilMovil.csv

Get-QADUser es el comando del ActiveRoles Management Shell for Active Directory de Quest para obtener datos de las cuentas de usuario de AD

-sizelimit 0 indica que no hay límite en la cantidad de objetos que devuelve el script, podríamos poner un límite (-sizelimit 1000) para que sólo nos devuelva los x primeros objetos

A continuación seleccionamos los usuarios cuyo “profilepath” (ruta del perfil) no sea nula y mostramos las propiedades “SamAccountName” (usuario) y “profilepath” (ruta del perfil).

Por último podemos exportarlo a un fichero separado por comas CSV

El tipo de resultado que obtenemos será como este:

[PS] Z:\>Get-QADUser -sizelimit 0 | where {$_.profilepath -ne $NULL} | Select-object SamAccountName,profilepath

SamAccountName                                              ProfilePath
————–                                              ———–
user                                                    \\server\profiles\user

El 24 de noviembre a las 19:30 tendremos un Webcast más de ITPro.es sobre auditoría y análisis forense en Exchange 2010 de la mano de Joshua Sáenz, un crack de Exchange y del análisis forense, además de MVP durante 4 años seguidos.

image

 

En este Webcast se verán las principales características que se han incluido en Exchange Server 2010 con el objetivo de facilitar las tareas de control y auditoría ante hechos sospechosos como accesos no autorizados a buzones, acciones administrativas o eliminación de evidencias. El Webcast está destinado a auditores, consultores, responsables de seguridad y administradores de Exchange.

Contenido:

  • Introducción
  • Retos y escenarios de auditoría y análisis forense de mensajería
  • Novedades de auditoría en Exchange Server 2010 SP1
  • Auditoría y logging en Exchange Server 2010
  • Configuración y Análisis de registros de Exchange Ser ver 2010
  • Informes de auditoría
  • Journaling
  • eDiscovery

Apuntaros aquí:

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032497996&Culture=es-ES

No os lo perdáis, os esperamos!!!

Por si todavía no os habéis enterado, esta semana han dado comienzo los 2 cursos que ofrece la universidad de Stanford a través de Internet exclusivamente y de forma totalmente gratuita, uno de ellos va sobre Inteligencia Artificial y el otro sobre cómo hacer que las máquinas aprendan.

Artificial Intelligencehttp://www.ai-class.com

Machine Learninghttp://www.ml-class.org

Por lo que he ido viendo en las lecciones y el temario ambos tienen muy buena pinta.

Al finalizar el curso obtendremos un diploma con la nota obtenida.

Si alguno os animáis a apuntaros a alguno de los cursos decidme algo y así podemos compartir información o resolver dudas.

Desde ITpro.es vamos a lanzar una serie de 3 webcast sobre SCVMM 2012, en este caso hemos conseguido captar a los 3 megracracks por excelencia en tecnologías de nubre privada, seguro que os suenan, son Miguel Hernández, David Cervigon y Dani Matey.
A continuación podéis encontrar toda la infor sobre estos 3 webcast de obligada asitencia para todos los que trabajamos gestionando nubes privadas.

Webcast 1 de 3
Título: Conoce SCVMM 2012
Descripción: En este Webcast mostraremos el nuevo SCVMM 2012 y veremos cómo ha sido diseñado y desarrollado como consola de creación y administración de los servicios ofrecidos por nuestra nube privada, ayudándonos a dar forma a nuestro entorno de virtualización e incluyendo integración con App-V, red y almacenamiento.
Fecha: 13-10-2011 de 19:30 a 21:00
Url del Evento: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032495601&Culture=es-ES

Webcast 2 de 3
Titulo: Conectividad a dispositivos y entorno externo a SCVMM 2012
Descricpción: En la segunda sesión de esta serie de Webcasts sobre System Center Virtual Machinne Manager 2012, veremos como SCVMM 2012 se relaciona con los diferentes servidores y dispositivos, así como con Sytem Center Operations Manager, de cara a conseguir una administración, actualización, gestión y monitorización dinámica y proactiva.
Fecha: 20-10-2011 de 19:30 a 21:00
Url del evento: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032496453&Culture=es-ES

Webcast 3 de 3
Título: Gestión de un entorno de virtualización
Descripción: En la tercera y última sesión de esta serie de Webcasts sobre System Center Virtual Machinne Manager 2012, veremos cómo tras configurar en nuestra sesión anterior nuestro entorno de virtualización y monitorización, pasamos al modelado de servicios y dependencias con el fin de ofrecer estos desde nuestra nube privada.
Fecha: 27-10-2011 de 19:30 a 21:00
Url del evento: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032496457&Culture=es-ES

Os espereramos a todos.

Powerlink2 es un módulo para interconectar las alarmas de Visonic PowerMax a la red. Tenéis más info aquí: http://www.visonic-iberica.es/novedades.asp?seccion=&subseccion=&Id=76

Lo compré hace tiempo a Internet Ibiza. Unos máquinas, por cierto.

Hace poco que tengo uno, así que vamos a ir viendo si entre todos conseguimos hacernos con él.

Al configurarlo por DHCP siempre pone la IP .200 de la red que encuentre por DHCP y el resto de valores los rellena el sólo, y en principio sólo te da acceso vía Web (HTTP y HTTPS), con el usuario Admin y la contraeña Admin123 por defecto.

Lo primero vemos qué puertos abiertos tiene realmente:

nmap -p 1-65535 192.168.1.200

PORT     STATE SERVICE
22/tcp   open  ssh
23/tcp   open  telnet
80/tcp   open  http
443/tcp  open  https
2530/tcp open  unknown
2531/tcp open  ito-e-gui
2812/tcp open  atmtcp
6310/tcp open  unknown
7520/tcp open  unknown
8082/tcp open  blackice-alerts
8083/tcp open  us-srv
MAC Address: 00:12:6C:10:XX:XX (Visonic)

SSHd Puerto 22

Es un servidor SSHd Dropbear v0.52, que en principio no tiene ningún exploit remoto conocido para acceder al sistema.

Viendo otras fuentes de información como esta, esta o esta otra, al parecer, versiones antiguas (Powerlink1) tenían una contraseña por defecto relacionada con la versión de firmware del Powerlink y un usuario root2 con la contraseña visonic por defecto.

En mi caso la versión de firmware del Powerlink2 instalada es la 6.1.14 y la de Hardware la .123

Telnetd Puerto 23

Servidor telnet que el único dato que nos da es un prompt que dice BBA Login: pero que tampoco nos acepta ninguna contraseña por defecto, ni la genérica de acceso web ni las que aparecen en versiones anteriores de Powerlink

Accesos Web – Puerto 80/443

Es un servidor Apache con PHP:

Server: Apache/1.3.31 (Unix) PHP/4.3.9 mod_ssl/2.8.20 OpenSSL/0.9.7e
X-Powered-By: PHP/4.3.9
Set-Cookie: PowerLink=b4964df020eec507cf4e6de81f79251b; path=/

Además pone una Cookie PowerLink de 32 bytes.

Por otra parte, existe una web http://home.visonic.com que hace una especie de DNS dinámico y que añadiéndole detrás el ID o número de serie de un Powerlink registrado nos lleva al frontend web por HTTPS del módulo powerlink en cuestión, por ejemplo http://home.visonic.com/ID que es el identificador por defecto nos lleva al frontend de “alguien” que tiene un visonic. Uniendo esto al usuario/contraseña por defecto, nos da acceso a alguna que otra alarma perdida por el mundo. Ya no os cuento si os apetece hacer un script para verificar TODOS los números de serie de Powerlink que sólo tienen 6 cifras en hexadecimal, lo que viene a ser 16777216 combinaciones posibles, y probar los datos de acceso por defecto.

Seguimos con el resto de puertos:

Puerto 2530

Es el puerto que sirve el frontend por WAP, por tanto supondremos que hace lo mismo que el frontend HTTP.

Puerto 2531

Es el puerto que sirve el frontend Mobile para Smartphones

Puerto 2812

Aquí encontramos instalado el monit que sirve para gestionar y monitorizar procesos y programas, por lo que también sería una buena entrada. Vemos que la versión instalada es la 5.1.1 y aunque la actual es la 5.3 no vemos en el changelog ningún bug remoto interesante. Tampoco funciona ninguno de los usuarios por defecto.

Puerto 6310

No consigo averiguar para qué vale, te deja conectar, pero no devuelve ningún dato y tarda bastante en cerrar la conexión.

Puerto 7520

Este puerto sirve también el frontend vía SSL, parece que nos permite hacer lo mismo que por el puerto 80 o 443.

Puerto 8082 y 8083

Tienen un servidor ABYSS Web Server for XML-RPC For C/C++ version 1.21.0 que tiene un montón de bugs XSS, pero que no se por donde meterle mano. Voy a ver si me entero un poco de qué va este servidor.

NOTA: Si se os ocurre algo para ver por dónde meterle mano y acceder al sistema directamente enviarme un comentario.

Editado 26/09/2011

Rebuscando por ahí he encontrado un scanner de métodos de XML-RPC: http://code.google.com/p/intrinsec-xmlrpc-scanner/

Y aquí tenemos los métodos que soporta el servidor XML-RPC:

root@bt:/pentest/xmlrpc# ./Intrinsec-XMLRPC-Scanner.py -U http://192.168.1.200:8082 -v
Intrinsec – XML RPC Scanner – 0.4 – www.intrinsec.com
—————————————————–

[**] Server capabilities :
{‘introspect’: {‘specUrl’: ‘
http://xmlrpc-c.sourceforge.net/xmlrpc-c/introspection.html’, ‘specVersion’: 1}}

[**] 22 methods are enabled on ‘http://192.168.1.200:8082′ :

* system.listMethods ( [[‘array’]] )
* system.methodExist ( [[‘string’, ‘boolean’]] )
* system.methodHelp ( [[‘string’, ‘string’]] )
* system.methodSignature ( [[‘array’, ‘string’]] )
* system.multicall ( [[‘array’, ‘array’]] )
* system.shutdown ( [[‘int’, ‘string’]] )
* system.capabilities ( [[‘struct’]] )
* system.getCapabilities ( [[‘struct’]] )
* nmm.SetStatic ( undef )
* nmm.GetIp ( undef )
* nmm.SetIp ( undef )
* nmm.GetSubnet ( undef )
* nmm.SetSubnet ( undef )
* nmm.GetGateway ( undef )
* nmm.SetGateway ( undef )
* nmm.GetDns ( undef )
* nmm.SetDns ( undef )
* nmm.GetIsDynamicIpMode ( undef )
* nmm.SetIsDynamicIpMode ( undef )
* nmm.GetLinkStatus ( undef )
* nmm.GetDhcpStatus ( undef )
* nmm.GetArpStatus ( undef )
[**] Checking for XML RPC Log file (contains methods call log with parameters)
Testing
http://192.168.1.200:8082//xmlrpc.log
[**] No XML RPC log found.

[–] Tests finished.

Así que ya falta un poco menos. A ver si me animo y dejo un bruteforce sobre el servidor SSH o Telnet a ver si saca algo tranquilamente.

Ayer me pasó una cosa rara, me pasaron un servidor (un DC) con Windows 2008 que sólo iniciaba en modo seguro (safe boot o modo a prueba de fallos), reiniciabas y otra vez el modo seguro y reiniciabas, apretabas F8, seleccionabas el arranque normal y otra vez la mierda de modo seguro…

Resulta que debido a una mala actualización de Windows se había quedado en este estado.

Para salir de este bucle infinito es tan simple como ejecutar:

bcdedit /deletevalue safeboot

Y el próximo arranque ya es normal.

El problema era que se había forzado el arranque en modo seguro y simplemente quitándole dicho valor ya responde normalmente y arranca normal por defecto o en el método que selecciones con F8.

Para forzar a que arranque siempre en modo seguro se tendría que poner:

bcdedit /set safeboot minimal para que arranque en modo seguro

bcdedit /set safeboot network para que arranque en modo seguro con funciones de red

También se puede configurar con el comando msconfig, que saca un GUI para configurar varias opciones de arranque:

msconfig-boot

Se puede seleccionar que arranque siempre a prueba de fallos (Pestaña Arranque)

msconfig-general

Y luego volver a ponerle que arranque normalmente (Pestaña General)

Tenéis más info sobre BCDEdit aquí:

http://technet.microsoft.com/en-us/library/cc709667%28WS.10%29.aspx

http://msdn.microsoft.com/en-us/windows/hardware/gg463059.aspx

Pues parece que esta semana pasada han hackeado los servidores de BuyVIP. Me ha llegado el siguiente correo electrónico de BuyVIP informando del ataque:

 

BuyVIP-Hackeado

 

Por ahora no he conseguido encontrar más datos del ataque, pero al parecer han conseguido obtener la base de datos de contraseñas de usuarios, posiblemente las contraseñas estén cifradas con algún método tipo md5 o similar, por lo que es bastante probable que se puedan obtener por fuerza bruta la gran mayoría de contraseñas.

Es recomendable cambiar la contraseña del servicio y de todos los servicios que utilicen la misma contraseña.

Esperemos que cambien un poco sus políticas e informen a la gente de cuál ha sido el ataque, la gravedad que ha tenido y los métodos que utilizan para almacenar las contraseñas de usuarios.