This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Artículo, bug de Microsoft ¿Si o No?. Por favor dejar opinion.

  • 2 Replies
  • 601 Views

0 Members and 1 Guest are viewing this topic.

Offline Fraile

  • *
  • Underc0der
  • Posts: 30
  • Actividad:
    6.67%
  • Country: es
  • Reputación 5
    • View Profile
    • Email
Aclaración: Agradecer la atención recibida tanto por Microsoft como por INCIBE, sus respuestas han sido muy similares, dando como no vulnerable el siguiente artículo que ahora expongo. Mi opinión es algo personal mío, que expreso con todos mis respetos y sin intención de molestar o agraviar a nadie, todo lo contrario, para mí ha sido una gran experiencia de la cual he aprendido mucho.

Por parte de Microsoft tengo la autorización para publicar este artículo.

Agradecimientos a: Microsoft, INCIBE, Gabriel Arcos, Guillermo Ezguerra, Nicolás Santamaría, Jorge Palma, David Gaona, Luis Uribe. Muchísimas gracias por vuestros consejos.

1 de Junio de 2022, el comienzo.

Fue todo, pura casualidad, esa es la verdad. Pero que subidon de adrenalina!!!, cuando enviando un enlace de un programa de monitorización (este programa tiene la posibilidad de capturar escritorios, abrir puertas traseras…..), vía email , veo que mi programa, empieza a capturar fotos de un escritorio. El subidon viene cuando le pregunto al destinatario del email si ya había probado el programa de captura de escritorio y me dice que no, que no lo ha ejecutado…. - ¿Pero cómo es posible que este recibiendo capturas de un escritorio?, ¿seguro que no lo has ejectuado?, su respuesta fue decisiva, YO NO HE SIDO.

No me lo puedo creer!!!, me están entrando en mi cuenta de Mega o me tienen pinchado el email!!!. La verdad que fue lo primero que pensé……

Mi decisión fue volver a enviar el email, con el mismo enlace del monitorizador que estaba en mega, de nuevo al destinatario o mejor dicho, destinatarios, me confirman que ellos no han ejecutado el programa….. Menuda tarde pase!!!!! hablando con ellos, intentado aclarar el motivo… Solución, ir quitando destinatarios, hasta que solo quedó uno, y en su caso el problema volvía a reproducirse, sin que el ejecutara el monitorizador, el programa me devolvía fotos de un escritorio, que evidentemente no era suyo.

Video original, de las capturas de escritorio: You are not allowed to view links. Register or Login

En una de mis llamadas de esa tarde, éste ya, ultimo destinatario, me dice…… - Ey!!!, es que mi cuenta de email, es una cuenta de Microsoft Outlook Office 365 y tengo marcado que analice todos los enlaces y programas adjuntos que lleve el email.

Ahora empezaba a tener sentido todo, podría ser Microsoft?......

1 de Junio de 2022, unas horas después del comienzo.

El último destinatario y yo, llegamos a la conclusión de cómo funciona Microsoft de Outlook Office 365 (Defender), cuando analiza un email con un enlace o fichero adjunto:
-         Microsoft, levanta una máquina virtual, donde ejecuta el enlace o archivo adjunto y mira si ese enlace puede ser un programa malicioso o no.

Enlace de documentación del sistema de Microsoft: You are not allowed to view links. Register or Login

Ya todo empezaba a tener sentido, ¿podría ser Microsoft que estuviera chequeando el enlace enviado desde la página de mega?. Pero mi pregunta era… ¿Esta máquina virtual que Microsoft levanta para testear el archivo, es normal que se conecte a internet?, mi siguiente pregunta fue… ¿Y si en vez de capturar el escritorio le digo que me habrá una puerta trasera en dicha máquina para cogerla por medio de una Shell inversa?.

Video primero de POC, abrir Shell inversa en Maquina virtual de análisis para Outlook 365: You are not allowed to view links. Register or Login

Video segundo de POC, abrir Shell inversa en Maquina virtual de análisis para Outlook 365:

Primera respuesta por parte de Microsoft a mi rápido y pequeño estudio del incidente:



Segunda respuesta por parte de Microsoft.



Bueno, pues parece que no tiene mucha importancia. Así que me dedique hacer más pruebas, vi que dependiendo de la dirección de email, de Outlook a la que enviara el enlace, el comportamiento era el mismo, llegue a probar a enviar ese mismo email a una dirección de soporte de Microsoft, con el mismo resultado, pero en este caso el ISP ya no era Europeo, era Americano.

Vi que mis permisos en esa máquina virtual eran de administrador, podía hacer y deshacer lo que quisiera en esa máquina. El tiempo como podéis ver en el video era de unos 4 o 5 minutos, la conexión se terminaba cuando la maquina virtual terminaba de analizar el proceso, ver el video: You are not allowed to view links. Register or Login

Vale, pensé, todo está encapsulado en una maquina virtual, saltar de esa máquina virtual hacia el servidor podía ser complicado, o quizás imposible… No es por buscar excusas, pero creo que me precipite al reportar esto a Microsoft, ahora después de casi un mes largo que ha pasado, me arrepiento un poco, el no haber estudiado con más detenimiento mis posibilidades. Si os puedo decir que llegue a retener el proceso un poco más, ganando casi unos 8 minutos. Si os puedo decir, que podía matar todos los servicios de Hyper-V, puesto que tenia derechos de administrador, que modifique mi programa “monitorizador”, para que desde su ISP me enviara email, quedando reflejada la IP de Microsoft como podéis ver en uno de los videos.

¿Qué hubiera pasado si hubiera modificado mi programa, para que una vez dentro de la maquina virtual de Microsoft, se hubiera dedicado a enviar email a esa misma cuenta de Outlook 365, con la cual yo hacia las POC (ver video)?. Desde mi parecer se hubiera comportado como un gusano, abriendo maquinas virtuales sin parar…… ¿Y si hubiera intentado, puesto que tenia derechos de administrador, cambiar permisos o bloquear las entradas del registro con objeto de congelar el sistema operativo?, ¿estás maquinas virtuales, están programadas desde el servidor para apagarse solas, o estas maquinas virtuales se apagan una vez termina el proceso de chequeo??????.

En el video podéis ver que la maquina virtual que usan es un Windows 7, lastima no haber podido dedicar más tiempo para ver si existe alguna vulnerabilidad para Hyper-v y saltar de una maquina a otra….. Ey!!! Que tal haber realizado un programa donde cree un archivo o varios, solo con texto sin sentido para dejar si espacio el disco duro, donde se levanta la maquina virtual????.

Y claro está, el “y si”, “y si” un ciberdelincuente aprovecha esto para con ese mismo bucle repetitivo, lanzar ataques contra una página web para hacer denegación de servicios???.

Y mi última pregunta, ¿Por qué, si esto no tiene importancia y no es una vulnerabilidad, se ha parcheado el diseño, para que la maquina virtual ya no tenga esa salida libre a internet?

Yo, entiendo que no sea una CVE, entiendo que no entre dentro de su sistema de recompensas (tampoco la buscaba), pero desde mi humilde opinión, era una vulnerabilidad, y digo era, porque al quitar ese acceso a internet, mi estudio se fue al traste…..

07 de Agosto de 2022.

¿Qué he aprendido?.
-         He aprendido que ha día de hoy hay mucho que  explotar.
-         He aprendido, a tener más paciencia a la hora de reportar este tipo de vulnerabilidades y asegurarte que lo que entregas no sean especulaciones, si no realidades.  Y llevar hasta las últimas consecuencias tus estudios.
-         He aprendido, a escuchar los consejos de otros compañeros que han pasado por algo similar.

Gracias Microsoft, por haber retocado vuestro diseño en el testeo de los mensajes destinados a cuentas de Outlook, siento que no coincidamos en el potencial peligro que yo he creído ver y vosotros no. Pero cierto es que en la guerra de ciberdelincuentes y los que nos dedicamos hacer de internet una red más segura, cualquier pequeño detalle ayuda. Tenéis y tendréis siempre todo mi respeto y seguiré investigado.

Gracias a todos por vuestro tiempo, espero que este artículo, por lo menos os haya entretenido.

Original, por favor si os ha gustado, dejar vuestro comentario o dar me gusta, muchas gracias.
You are not allowed to view links. Register or Login
« Last Edit: August 12, 2022, 01:38:22 pm by Fraile »

Offline AXCESS

  • *
  • Moderador Global
  • Posts: 1982
  • Actividad:
    100%
  • Country: 00
  • Reputación 24
    • View Profile
    • Email
Hola @Fraile.

Me ha gustado muchísimo leer su experiencia.

Pienso que se topó en efecto con un bug de Windows (y grave).

Y como bien analiza, se apresuró un tanto.

Yo le reprocho el no pensar primero en sus intereses y su persona. Sean cuales fueran. Si algo aprendí hace muchísimo tiempo es el pensar primero en mis intereses que si no lo hago… quién lo hará. Tal vez sean influencias de mi gato… quién sabe…

Volviendo a su caso. Sin fin de oportunidades y más de acceso a información.

Me parece haber leído en las noticias algo sobre Office 365 y que se le colaban los chinos a Microsoft, haciendo estragos en el sector empresarial. También Outlook recibió un parche, pues en la actualización de Office 2021 lo dice.

La enseñanza que le ha dejado le será valiosa.

Siempre sea paciente y reservado. Informarse mucho. Y piense en Ud. pues nadie más importante que el que trabaje para Ud. y no para nadie que ya tiene éxito y reputación de ingratitudes. Los criterios opuestos son idealismos de aquellos que no aprecian la ocasión y oportunidad, que siempre son únicas e irrepetibles.

Es un pensamiento, que cada cual tiene el suyo.

Me tomé mi tiempo para leerle y ver los vídeos.
Muy buena su investigación. De lo mejorcito que he visto.

Gracias 
« Last Edit: August 13, 2022, 10:28:31 pm by AXCESS »
You are not allowed to view links. Register or Login

Offline Fraile

  • *
  • Underc0der
  • Posts: 30
  • Actividad:
    6.67%
  • Country: es
  • Reputación 5
    • View Profile
    • Email
Gracias a ti, por tomarte tu tiempo en leerlo/verlo y por tu opinion, pienso como tu, me precipite. Sigo mirando nuevas vias de ataque, porque, ahora se como trabajan, han cortado en su analisis de malware la salida a internet..... pero voy a seguir probando cosas. Un abrazo AXCESS, muchas gracias por tus palabras.