MS RDP vulnerability MS12-020

PATCH AND PROTECT ASAP!!!

External RDP connection to Non-NLA RDP Windows Enabled NOT ADVISED

http://technet.microsoft.com/en-us/security/bulletin/ms12-020

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0002

Overview

The Remote Desktop Protocol (RDP) implementation in Microsoft Windows XP SP2 and SP3, Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2, R2, and R2 SP1, and Windows 7 Gold and SP1 does not properly process packets in memory, which allows remote attackers to execute arbitrary code by sending crafted RDP packets triggering access to an object that (1) was not properly initialized or (2) is deleted, aka "Remote Desktop Protocol Vulnerability."

Impact

CVSS Severity (version 2.0):

CVSS v2 Base Score:9.3 (HIGH) (AV:N/AC:M/Au:N/C:C/I:C/A:C) (legend)

Impact Subscore: 10.0

Exploitability Subscore: 8.6

CVSS Version 2 Metrics:

Access Vector: Network exploitable

Access Complexity: Medium

Authentication: Not required to exploit

Impact Type:Allows unauthorized disclosure of information; Allows unauthorized modification; Allows disruption of service

http://blogs.technet.com/b/srd/archive/2012/03/13/cve-2012-0002-a-closer-look-at-ms12-020-s-critical-issue.aspx

Pre-auth, network accessible, service running as SYSTEM

This issue is potentially reachable over the network by an attacker before authentication is required. RDP is commonly allowed through firewalls due to its utility. The service runs in kernel-mode as SYSTEM by default on nearly all platforms (except for one exception described below). During our investigation, we determined that this vulnerability is directly exploitable for code execution. Developing a working exploit will not be trivial – we would be surprised to see one developed in the next few days. However, we expect to see working exploit code developed within the next 30 days.

The good news is that the Remote Desktop Protocol is disabled by default, so a majority of workstations are unaffected by this issue. However, we highly encourage you to apply the update right away on any systems where you have enabled Remote Desktop.

Workaround option: Enable Network Level Authentication (NLA) on Windows Vista and later platforms

There is something you can do to substantially reduce the risk on Windows Vista and later systems where RDP is enabled: You can enable Remote Desktop’s Network Level Authentication (NLA) to require authentication before a remote desktop session is established to the remote desktop server. On systems with NLA enabled, the vulnerable code is still present and could potentially be exploited for code execution. However, NLA would require an attacker to first authenticate to the server before attempting to exploit the vulnerability.

A Closer Look: MS12-020 Remote Desktop Vulnerability

Useful reference information about McAfee products

In the March Patch Tuesday release, Microsoft issued MS12-020, which addressed a critical vulnerability in Microsoft Remote Desktop, which has all the right characteristics needed for a self-propagating worm The SANS Internet Story Center went so far as to raise their Infocon level to ‘Yellow’ for the first time since 2010, as a direct result of the potential risk associated with this vulnerability. Though McAfee has not yet seen widespread attacks or malware in the wild, a few preliminary proof-of-concept exploits have surfaced, including a module for the popular Metasploit penetration testing framework. While we wait for more data, RDP merits additional attention over the coming weeks. Scott Taschler, McAfee Solutions Architect, examined the RDP events in more detail.

“I took a look at my own small lab network and what I saw was eye opening. Below is a chart from my Nitro SIEM, showing a pretty dramatic spike in inbound RDP events over the last two weeks. Note that there was almost NONE prior.

“Most of these are blocked firewall connections, with a smattering of other things:

“While this isn’t cause for alarm, it could indicate a potential surge on the horizon. Customers are advised to (1) use network-based access controls to block RDP access where it’s not needed; (2) use network IPS to watch for emerging threats and block them proactively; and (3) deploy the patch!”

McAfee Labs is performing additional research. When details are available, you’ll find them on the McAfee Threat Center.

Technorati Tags: Security,MS Patch,RDP Vulnerability

A internet, os eCoisos e os seus Ácaros, será que por cá estaremos o tempo suficiente?

Tínhamos a internet, as flores, os cofres, a nuvem, mas será que ainda ficará por cá alguém para usar isso tudo?

http://gizmodo.com/5863078/engineered-avian-flu-could-kill-half-the-worlds-humans?popular=true

Os artigos originais ;)

http://news.sciencemag.org/scienceinsider/2011/11/scientists-brace-for-media-storm.html

http://rt.com/news/bird-flu-killer-strain-119/

Afinal que somos nós?

VIRUS

Technorati Tags: Society Bio-Terrorism

A internet, os eCoisos e os seus Ácaros

Ao fim de algum tempo apareceu a internet “uma” consciência partilhada de verdades e mentiras todas misturadas numa grande salganhada.

Com a internet desenvolveram-se os ácaros, bons, maus, pretos, brancos, cinzentos, cor-de-rosa ás bolinhas…
http://www.publico.pt/Tecnologia/hackers-do-lulzsec-despedemse-anonymous-ficam-ao-leme-1500673?all=1

Mas a internet continua a ser um bom local para por jarros de flores por isso…
http://www.publico.pt/Pol%C3%ADtica/hackers--tentam-entrar-nos-sites-das-financas-administracao-interna-e-psp-1522548

Oops alguém levou as flores!!?!
http://www.publico.pt/Sociedade/hackers-divulgam-dados-pessoais-de-107-policias-de-lisboa-e-ameacam-toda-a-psp-1523008?all=1

Eu não fui…
http://www.publico.pt/Sociedade/sindicato-de-chefes-da-psp-tenciona-apresentar-queixa-crime-contra-hackers-1523022

E agora apareceu a nuvem, “uns” quantos cofres para encher de objectos bons e apetecíveis de modo a que todos possam ter acesso ao que lá puseram onde quer que estejam…

E o Arquitecto achou isso bom

Claro que onde há cofres de tesouro, temos também piratas e estes não precisam de ir aos confins do mundo  para encontrar o X que marca o lugar
http://gizmodo.com/5812545/find-out-if-your-passwords-were-leaked-by-lulzsec-right-here

Technorati Tags: Hacking Internet

User Account Control (UAC) and PsExec

From http://riosec.com/Windows-UAC-PsExec

Sat, 2010-12-11 23:57 — Christopher

Recently I ran across a scenario where the Microsoft Sysinternals tool PsExec would not work against a Windows 7 domain-joined computer. The command was failing with an "Access Denied" error. On Vista and newer, User Access Control (UAC) issues a restricted token to processes, but PsExec requires an elevated token. On the local system's Microsoft-Windows-UAC\Operational log the following event appeared: The process failed to handle ERROR_ELEVATION_REQUIRED during the creation of a child process.

Further research found that newer versions of PsExec have a command argument (-h) to specify elevated rights.

However, even with specifying -h PsExec was still failing with "Access Denied". After some digging, I discovered that it's all about how the authentication credentials are presented to the remote system. UAC has an exception for remote connections using domain credentials, so that machines can still be administrated remotely (otherwise, there would be no way to respond to UAC prompts). When connecting remotely and authenticating with NTLM using a domain account, Windows 7 issues an elevated token.

With PsExec when you specify the username on the command line it causes an explicit (local) authentication to occur on the remote system, and Windows issues a limited rights token, causing PsExec to fail. However, if you authenticate as the target user on the local computer (using RunAs or logging in directly), and then use PsExec with implicit (NTLM) authentication to the remote computer, the process gets the elevated token on the remote system and it works.

This behavior becomes more obvious when using telnet. The built-in Windows telnet client automatically authenticates using NTLM (top window in the screen shot below), and the user is given an elevated token. However, logging in with the same user from a third-party telnet client results in a restricted token (bottom window).

I hope this information is helpful to someone else wondering why their PsExec might be failing on Windows 7 due to UAC.

TECHNOTES:

Sysinternals: http://technet.microsoft.com/en-us/sysinternals

Technorati Tags: TECH PSEXEC UAC Elevation

MS Exchange 2010 e Consultas DNS IPv6 (culpado ou vitima? who cares)

Se não usa ou pretende usar o sistema de correio electrónico MS Exchange 2010 (não sei se noutros sistemas este erro também acontece), esta mensagem não é para si.

 

Para quem usa MS Exchange 2010 e/ou quem não sabe, existe um problema de envio de mensagens para o domínio de email @bportugal.pt (ou @*.bportugal.pt, mas também acontece com outros domínios como por ex: @parceiros.tranquilidade.pt, etc {se souberem de outros informem-me sff}) quando este está configurado para fazer entrega directa por consulta DNS.

 

O problema e o seu WORKAROUND são os seguintes:

1. O MS Exchange 2010, configurado conforme parágrafo anterior, quando recebe uma mensagem de correio electrónico para entregar:

a. Faz uma consulta DNS pelo MX Record do domínio destino da mensagem (neste caso por ex: @gmail.com)

b. Da resposta escolhe o registo que tiver menor preferência (neste caso será gmail-smtp-in.l.google.com )

c. Como neste caso não obtêm uma resposta IPv6, o MS Exchange 2010 volta a fazer a pergunta mas agora para IPv4

d. Sabendo o endereço IP onde se ligar, o sistema continua o processo ligando-se directamente ao IP em questão.

e. Podem perguntar, e se o MS Exchange 2010 estiver configurado apenas para ter IPv4 no seu sistema operativo? O procedimento é o mesmo a não ser que receba um MX com um registo que retorne um IPv6 que nesse caso tenta usar esse endereço (directo ou túnel IPv4 dependendo como está configurada a FW do sistema)

2. Até aqui tudo parece funcionar sem problemas, mas e se encontramos um domínio que não retorne esta informação correctamente (por ex: @bportugal.pt, @parceiros.tranquilidade.pt, etc…)?

a. Os resultados do mesmo processo é o seguinte:

b. O sistema MS Exchange 2010 ao receber um DNS “timed out” vai abortar o processo e informar o operador de sistemas (Logs & Queue Viewer) que não consegue entregar a mensagem por problemas de DNS.

c. Mesmo que o passo seguinte (que o sistema não vai fazer) de consulta IPv4 do registo associado ao MX mais baixo retorne com sucesso ( ):

3. WORKAROUND:

a. Criar conectores directos, para os domínios com este problema de DNS, por ex:

b. Este WORKAROUND têm o problema adicional que sendo uma configuração manual do lado da empresa responsável pela origem das mensagens, não reflecte futuras alterações DNS (MX) ao sistema destinatário de correio electrónico feito pelos administradores de sistemas do mesmo.

c. Se alguém tiver informação da causa técnica (Microsoft, DNS Servers por ex: bind, porque com o MS DNS 2003 ou superior não temos este problema (as únicas versões MS que testei)) por favor comentem, que eu não tive paciência para validar quem é o culpado.

GOOD NEWS

1. O domínio de correio electrónico do Banco de Portugal já retorna a informação correcta e como tal já não necessita do WORKAROUND

ITBérius

del.icio.us Tags: IT Tech,Troubleshooting,DNS,Exchange,email

StoneGate SSL VPN and Microsoft ADFS 2.0: SAML is beautiful!

StoneGate SSL VPN and Microsoft ADFS 2.0: SAML is beautiful!

Windows Auth, Windows Auth, Windows Auth!!!

Caros amigos e leitores,

Sou especialista em sistemas Microsoft Server e segurança, como tal sempre fui um fervoroso da utilização de “Windows Integrated Authentication” no acesso a recursos Microsoft, porque só assim temos uma maneira fiável e segura de auditar, filtrar e nos ligar-mos a esses sistemas.

Sempre aconselhei (leia-se obriguei) o uso deste tipo de acesso a consultores externos de sistemas Microsoft que estão sobre a minha gestão quer directa quer indirectamente (infelizmente nem sempre com sucesso). E para tal eu usava e ensinava o procedimento de criar um utilizador local com o mesmo nome e credenciais que o utilizador a utilizar no domínio do recurso e depois abrir a aplicação pretendida em modo RunAS (a partir do Windows XP+) ou usando a extensão do explorer “Run as different user”, desse modo as credenciais impersonalizadas eram passadas para o sistema que estava nesse outro domínio e sem que o sistema de onde era feita essa chamada tivesse que estar no mesmo domínio do recurso a aceder.

Procedimento este que era, do meu ponto de vista, fulcral para tentar minimizar (por exemplo) o tão usado acesso SQL em “Mixed Mode“ que a Microsoft desde a versão SQL 2000 SP3 (+-) tão fervorosamente indica ser DESACONSELHADO e futuramente descontinuado.

No entanto a prática que eu pensava que funcionava (e que funcionou em acessos a recursos SQL 2000 com Windows 2003) não funcionou ao tentar configurar o acesso de um consultor externo a um SQL2005 com Windows 2008 R2, fui então validar esta questão.

“usar um utilizador e pwd local com as mesmas credenciais que o user de domínio funcionava (ex: aceder ao SQL 2000 usando um utilizador dominioA\userA onde depois poderia ser feito um runas /user:UserA que existia na máquina local fora do domínio)” mas neste caso não:

YEP no luck, e do lado do recurso tenho o evento 4625 que me reporta que o sistema está também a validar o domínio da conta de origem:

Comecei então na demanda de actualizar esta boa prática… tcham tcham tcham

A partir daqui é que isto fica realmente interessante :D

Connecting To A Database Using Windows Authentication With Different Credentials Using SQL Server Management Studio
Quantos de vocês lêem o manual de instruções / help? RTFM :D
AAAAAAaaahhhhhh, OOOOOoooooohhhhh, viram a luz? então considerem-se a partir deste momento iluminados :D

Esperem só um momento que eu estou em acto de auto-flagelação por não ter tomado atenção a tão simples procedimento…

Bom e melhor do que tudo isto, uma vez mais Mark Russinovich (um verdadeiro GURU desta era tecnológica) e seus colegas nos apresentam mais um maravilhoso utilitário que nos facilita a vida. Apresento-vos (para quem não conhece):

ShellRunas v1.01 By Mark Russinovich and Jon Schwartz

Agora  sim ficaram verdadeiramente ofuscados com tanta iluminação!!!! (ou será dos meus olhos?)

Para os incrédulos e agnósticos aqui vai um mero exercicio de POC :)

Nada na manga:

O mesmo se pode fazer com outros tipos de acessos, como gerir uma AD a partir de uma máquina que não está no domínio e sem recurso ao login interactivo no servidor usando Terminal Services / RDS (outra prática a evitar porque expõe um perfil com direitos elevados num servidor), etc…

E voilá, posto isto podem ter a certeza que o meu nível de “compliance” subiu consideravelmente :D

TECHNOTES:

Runas:
http://technet.microsoft.com/en-us/library/cc771525(WS.10).aspx

Connecting To A Database Using Windows Authentication With Different Credentials Using SQL Server Management Studio:
http://msmvps.com/blogs/paulomorgado/archive/2009/05/04/tip-connecting-to-a-database-using-windows-authentication-with-different-credentials-using-sql-server-management-studio.aspx

ShellRunas:
http://technet.microsoft.com/en-us/sysinternals/cc300361.aspx

 

Technorati Tags: TECH,Runas,SQL Authentication,Windows authentication