Hacking Remote Apps: Jailbreaking (1 de 3)

Caminos al servidor Una vez que se conocen todas las aplicaciones publicadas en un servidor Citrix o Terminal Services, cada una de ellas se convierte en un posible camino para llegar al sistema operativo del servidor en el que estn ejecutndose lo que las convierte en un camino que permita acceder a informacin sensible. Cuando el administrador del sistema decide publicar Excel, o una aplicacin a medida en un servidor Citrix o Terminal Services, est dejando que un usuario remoto ejecute cdigo dentro de su servidor. Ese cdigo que forma una aplicacin en Windows est haciendo uso de las API y los componentes del sistema operativo, y por tanto est ntimamente ligado al sistema operativo del servidor. Cualquier conexin que la aplicacin realiza con el sistema operativo que no est controlada por el administrador puede suponer un serio dolor de cabeza para la seguridad del sistema. Un simple cuadro de dilogo de abrir archivo se puede convertir en el punto por el que un atacante consigue un explorador de archivos para ver los datos de otros usuarios, o la forma de ejecutar una consola PowerShell en el equipo que le permita vagabundear por los archivos de configuracin de otras aplicaciones que se sirvan desde ese equipo, o incluso de los recursos compartidos de red accesibles desde esa mquina.

Figura 1: Creacin de un shortcut a CMD.EXE desde el cuadro de dilogo de Abrir fichero en una aplicacin Citrix. Con la opcin del botn derecho "Abrir" sobre el shortcut se puede conseguir luego el acceso a la consola.

Es por eso que, antes de ponerse una aplicacin en un Citrix o un Terminal Services debera pasar por una auditora de seguridad, algo que, por desgracia, todava no ha sido tomado en serio por muchas empresas. As, mientras realizan test de intrusin peridicos a aplicaciones web, las herramientas publicadas por servicios de terminal quedan al margen de estos, lo que hace fcil que queden caminos por los que se pueda producir una fuga. La jaula y el jailbreak

La misin del administrador, por tanto, es conseguir construir una jaula para la aplicacin. Una configuracin de seguridad de la aplicacin que corte todas las conexiones no autorizadas, como hipervnculos que puedan ser utilizados para abrir el navegador, cuadros de dialogo con opcin de llamar a los mens del botn derecho que permitan llamar a una consola WMI, etc... Cada punto se debe cortar de manera diferente. Unas veces usando ACLs, otras Software Restriction Policies, otras renombrando ficheros de ayuda o haciendo autnticos desaguisados que, una nueva actualizacin de un Service Pack obliga a revisar. El problema principal es que en un sistema operativo como Windows Server 2000/2003/2008 existen muchos posibles caminos para poder saltar de la aplicacin al sistema operativo. Algunos de ellos creados por el programador de la aplicacin que hace uso de un determinado componente del sistema, otros simplemente porque el sistema es as. Adems, para ms complicacin, un nuevo Service Pack, un nuevo update de un componente por medio de la instalacin de algn sofware o una versin diferente del sistema operativo, hacen que cambien las conexiones, y que aparezca una nueva combinacin de teclas, o un nuevo enlace en la ayuda de un componente que abra la puerta al navegador. Playing the Piano El atacante, por su parte, realizar el proceso contrario, es decir, revisar en busca de todos los paneles buscando por hipervnculos para invocar al navegador, como por ejemplo llamando a la ayuda con F1, o en Windows Server 2008 llamando a una aplicacin que no exista, para recibir un cuadro de dilogo que ofrece un bonito botn de "Ayuda".

Figura 2: Ayuda de Terminal Services cuando no se encuentra la aplicacin invocada.

En Windows Server 2008, otra de las posibilidades es llamar a las sticky keys, mediante la pulsacin continuada de las teclas de maysculas, lo que abre otro cuadro de dilogo con un enlace al Centro de Accesibilidad, que est dentro del panel de control.

Figura 3: Sticky Keys en Windows 7 y Windows Server 2008

Pero el nmero de posibilidades que hay que capar es infinito. El atacante podr utilziar todas las variables de entorno conocidas del sistema como %systemdrive%, %systempath%, %userprofile%, llamar a todos los accesos directos conocidos y por conocer, como CTL+Alt+Supr, Ctrl+f1, Ctrl+F3, etc... es lo que nosotros llamamos"Tocar el piano".

Hacking Remote Apps: Jailbreaking (2 de 3)

Dame mi perfil En el caso de Terminal Services, cuando un usuario se conecta remotamente a una aplicacin, es comn que se solicite la contrasea antes de acceder al sistema, aunque tambin es posible que sea un usuario genrico con pocos permisos al que luego se autentica en la aplicacin. En el caso de Citrix, por el contrario, es mucho ms habitual que sea Citrix quin autentique al usuario, y este, cuando est viendo la autenticacin de la aplicacin, ya est dentro del sistema. Esto lo vimos en la primera parte de la serie cuando analizbamos la informacin del os archivos de configuracin ica y rdp, donde se encuentra la contrasea del usuario que incia sesin. Es por tanto muy comn que el objetivo del atacante sea conseguir el escritorio o el explorador de archivos o el cmd.exe que se encuentran por debajo. Estn accesibles, solo hay que romper el jailbreak que ha creado el administrador e intentar llegar a ellos. La meloda del desktop La primera idea es intentar ejecutar Ctrl+ALT+Supr para conseguir acceso al administrador de tareas y obtener la posibilidad de ejecutar explorer.exe para conseguir el escritorio completo del usuario sobre el que se ejecuta la aplicacin Citrix o RDP. Las melodas del piano son fciles:

Figura 4: Ctrl+F3 y ejecutar explorer.

Ctrl+Alt+Supr se puede sustituir por AltGR+Supr, pero tambin por Ctrl+F1 e incluso llamar directamente al Administrador de tareas con Ctrl+F3. Si alguna de estas combinaciones no est controlada de forma correcta. Se consigue fcilmente llegar al desktop completo del sistema... Y sin haber roto la media de seguridad de usuario y contrasea!, lo que hara que no fuera un delito, no? La meloda de la consola

Si el escritorio est difcil, y nos han cerrado el camino del administrador de tareas, no desesperes. Siempre queda la posibilidad de conseguir un explorador de archivos o una consola del sistema. Para ello, el objetivo es buscar cuadros de dilogo de Abrir/Guardar para intentar utilizar la opcin de Abrir del botn derecho sobre una consola (cmd.exe, explorer.exe, ps.exe, etc...). La partitura en esta ocasin consiste en buscar los mens de las aplicaciones y usar los atajos de teclados habituales para guardar o abrir con Ctl+O, Ctl+S, etc...

Figura 5: Un cuadro de dilogo de guardar

Si consigues uno de esos cuadros de dilogo, puedes probar a usar el botn derecho para crear un nuevo fichero acceso directo y la opcin de abrir. Para moverte por el sistema se puede hacer uso de las variables de entorno ya comentadas, %userprofile%, %systemdrive%, etc... lo que permitira cotillear los ficheros del sistema y descubrir siempre cosas interesantes. Pide ayuda Por supuesto, si faltan cuadros de dilogo, recurrir a la ayuda suele ser siempre interesante, ya que desde all se van a poder buscar enlaces que apunten a aplicaciones internas o a URLs de Internet, que abrirn el navegador por defecto del sistema permitiendo tener una consola del sistema.

Figura 6: Enlaces a URLs en la ayuda que abren navegadores

Si se consigue abrir el navegador, siempre se puede tener una consola en local del sistema que funcione como un explorador de archivos. En este caso, una con Netscape

Figura 7: Listado local de archivos a travs del navegador

Hacking Remote Apps: Jailbreaking (3 de 3)

Directo hasta el escritorio

Muchas veces los rboles no te dejan ver el bosque, y a veces la solucin es tan sencilla como directamente solicitar el desktop de la mquina. Para ello, en el archivo de configuracin de Citrix es suficiente con cambiar en el campo Innitial Program, aquel que haya por directamente explorer.exe. Puede que te sorprendan los resultados que se obtienen con este sencillo cambio.

Consulta el Active Directory

A veces, aunque tengamos capado un explorador de archivos, si la mquina est conectada a un Active Directory, siempre es posible buscar en algn lugar el sitio en el que hacer una consulta al rbol LDAP del Active Directory y sacar la lista de objetos all contenidos. En este ejemplo, con los servidores de demo de Citrix, se tiene acceso por Terminal Services a un escritorio capado que no permite ver nada del equipo local.

Figura 8: Explorador capado

Sin embargo, el explorador de archivos est dotado de las opciones de compartir que tienen todas las mquinas que estn en un Active Directory.

Figura 9: Compartir un documento con gente especfica

As que, con acceder al men de compartir, se puede acceder a la lista de usuarios que tiene este Active Directory, por ejemplo.

Figura 10: Objetos del Active Directory

Pide

ayuda

sobre

cmo

administrar

tu

sistema

Un sistema Windows tiene cientos de herramientas de administracin, y lo bueno de ellas es que estn muy bien documentadas. As que, si la ayuda no est capada, siempre puedes acceder a buscar una a una la lista de herramientas de administracin, como en este caso la herramienta de gestin de DSN (Data Source Name) que se usa para conectar fuentes de datos con aplicaciones.

Figura 11: Bsqueda de ayuda sobre herramientas de administracin

En Windows, estas herramientas estn tan bien documentadas que vienen hasta con la opcin de "Cmo se abre la herramienta".

Figura 12: Cmo abrir la herramienta de administracin

Y una vez all, pues nada, a buscar un panel de abrir que nos permita acceder a todo el sistema.

Figura 13: Explorador de ficheros en un componente de apertura de DSNs

Conclusiones Al final, las aplicaciones de sistemas Microsoft Windows que fueron creadas para trabajar sobre un Windows tienen infinidad de conexiones con el sistema, poque utilizan componentes y libreras del mismo. Estos componentes y libreras son cambiados en cada actualizacin, con lo que si un componente de abrir fichero cambia de Windows Server 2008 a Windows Server 2008 R2 o de Windows Server 2003 SP1 a Windows Server 2003 SP2, puede que la aplicacin que era "segura" en la versin previa se convierta en "insegura" tras la actualizacin, y alguien con ganas de "tocar el piano" o "aprender solfeo" puede pasarse horas vagabundeando por tus sistemas.