viernes, 20 de abril de 2012

Eicar para hacer jailbreak en Terminal Services o Citrix

0:05 seccion9-seguridad No comments


El equipo de seccion9 de seguridad a visto esta inforación interesante.http://www.seccion9.com/seguridad.html


Terminal Hackplications, fue el de conseguir hacer el jailbreak de la aplicación mediante un viejo amigo del mundo del malware Eicar.

Eicar es un virus de prueba, es decir, no es un virus, es simplemente un fichero firmado como malware por todas las compañías antimalware que se usa para testear canales sin que se te escape un virus por la red. Con esto, cuando se quiere probar si un antimalware está escaneando los ficheros que se suben por Ftp o que se descargan por Http, se pasa un Eicar y se espera la reacción. Si no hay ninguna reacción, es que el antimalware no está protegiendo ese punto del sistema.

Conocido esto, se me ocurrió que una buena forma de salir de la aplicación sería pasar a la consola de monitorización del antivirus y, desde allí, buscar acceso a la ayuda, al panel de control de la impresora, etc...

Para llegar a la consola de monitorización del antivirus lo que necesitamos es un virus y que mejor que Eicar. Además, este fichero se sirve desde Internet con conexiones Http-s lo que permite que, salvo que tenga un servicio de Http-s Inspection como tiene Forefront TMG 2010 y algunos firewalls de gama alta configurado, llegue hasta el servidor Citrix o Terminal Services sin levantar sospechas.

Figura 1: Eicar servido por https

Como podéis suponer, para meter Eicar en la aplicación lo único que necesitamos es una aplicación como Excel o Word, que permita navegar sin navegador. Es decir, que la aplicación haya hecho uso de los controles de Windows para la gestión de ficheros.

Figura 2: Descargando Eicar desde un servidor https

Así que el resto es esperar a ver qué antimalware tienen configurados y qué opciones nos ofrecen para hacer el jailbreak.

Figura 3: Servidores demo de Citrix protegidos

Por supuesto, esto no es solo útil para hacer el jailbreak, ya que conocer el antimalware puede ser muy útil para preparar un malware a medida con técnicas de morphing - incluso de Superman - o mutación que se salte esa solución de seguridad.

Figura 4: Symantec EndPoint Protection vigila este Citrix

Aunque a veces hay sorpresas y te encuentras que hay que preocuparse bastante poco por el antivirus.


Figura 5: Servidor Citrix sin antimalware alguno

Posted in:

0 comentarios:

Publicar un comentario

 
Design by Free Wordpress Themes | Bloggerized by Free Blogger Templates | Walgreens Printable Coupons