Articulo de Hacking, que bonito es compartir, SMB

Ciertamente, compartir en nuestra vida cotidiana es un ejercicio muy bonito y noble, poder ayudar a personas que tienen necesidad es una gran satisfacción personal.

Pero realmente este artículo, va de "compartir" recursos de nuestros ordenadores.

En 1985 más o menos, IBM saca un protocolo "PC Netword Program 1.0"  que podía hacer entre otras cosas lo siguiente:

-         Abrir y cerrar archivos.

-         Compartir Directorios.

-         Leer y Escribir

Este protocolo es el pionero de lo que tenía que llegar, que sería el protocolo SMB (Server Message Block). Es un protocolo abierto que ocupa las capas de presentación y aplicación del modelo OSI y que permite compartir recursos entre diferentes ordenadores de una red, como Archivos, Impresoras, Puertos E/S...

Sobre este mismo tema, podéis encontrar en internet millones de artículos, yo quisiera con el mío, hablaros del peligro REAL, que hoy sigue operativo, del mal uso o configuración por parte de los administradores de sistema del uso de este protocolo, tan fundamental para nuestras redes de ordenadores.

A día de hoy, 06 de Noviembre 2021, con un ordenador personal, con sistema operativo Windows  y conexión a internet y con un poco de curiosidad, podemos ver ordenadores y recursos de otras personas.

Si, has leído bien, de otras personas, ¿Cómo es esto posible?, pues como he comentado anteriormente, por dos motivos básicos, Internet o Red De Redes y una mala configuración por parte de alguien que expone su ordenador y los recursos del mismo. 

En este artículo no voy a entrar en detalles o definiciones de lo que es Internet, solo deciros que al ser una RED, estamos todos conectados con todos. Bien, pues con simples comandos del sistema operativo Windows, podemos ver ordenadores de otras personas y en ciertos casos sus recursos compartidos.

Ya sobre el año 1995 mas o menos, recuerdo quedar con mis amigos (recuerdos para Terri) para probar esta técnica que me gustaría presentaros, que tiempos aquellos, donde de cada 10 traceos de IP al azar, salían unas 3 IP o más, de ordenadores que tenían sus recursos compartidos.

Para esta técnica, solo se necesitaban dos comandos propios del sistema Windows como he comentado, los comandos son:

-         Nbtstat

-         Net

El primer comando, nos permite buscar el nombre de un ordenador por su IP. Así que sabiendo esto, uno se podía pasar la tarde entera buscando ordenadores en casa, como IP base se podía usar la IP propia y solo ir cambiando los grupos de la misma que correspondan. También por aquellos entonces, podía usar programas de Chat, como IRC, que en aquel momento, te daba la IP de la persona con la que hablabas.......

Bien, pues esto ha día de hoy sigue funcionando igual, quizás salen menos ordenadores y recursos, pero doy fe de que sigue siendo posible.

Para usar esta técnica, sobre todo con Windows 10, tendréis que "tocar" un poco la configuración del mismo, pero no voy a entrar en cómo hacer esto. Si por un casual tenéis en casa un Windows 7 o Windows 8 (con este último, realmente también se tendría que ajustar un poco), sí que podréis seguir la prueba de concepto que os dejo en este articulo, de todos modos podéis probarlo indiferentemente del sistema operativo Windows que tengáis ahora.

Voy abrir una venta de consola o Shell, desde mi sistema operativo Windows, en modo administrador si es posible.


Y a continuación voy a buscar IP que puedan ser susceptibles al puerto 445, que es el puerto por el que se mueve el protocolo SMB.


Fijaros, al poner el comando nbtstat –a <IP>, obtengo información de un ordenador que está en internet, está claro, que no lo conozco de nada. Y me da cierta información del mismo.


Si os fijáis, el nombre del ordenador es "SERVER1" y a su derecha tiene unos números <00>, <03>, <20>.

<00> nos indicaría el nombre del ordenador.

<03> indica, servicio de mensajería.

<20> indica, servicio de servidor activo.

<01> Antiguamente aparecía el nombre del Usuario que ha iniciado sesión, esto por seguridad se ha quitado.

El <20>, en la mayoría de los casos, nos da indicios de que el ordenador puede tener recursos compartidos.

Bien una vez que tenemos una IP, que parece que puede tener recursos compartidos, vamos a usar el otro comando para verlos.


Pues efectivamente, tenemos un recurso de disco compartido que se llama "Facturas".

Un poco más arriba también me está diciendo que el sistema operativo de este ordenador es un Linux (Ubuntu).

Ahora vamos a probar a mirar dentro del recurso compartido "Facturas", siempre con comandos de la consola de Windows.


No tenemos acceso, tendríamos que identificarnos con un usuario y contraseña. ¿Y qué podemos hacer ahora?, pues se podría, intentar sacar el nombre del usuario, con la finalidad de luego intentar un ataque de fuerza bruta sobre el recurso compartido "Facturas".

Vamos a dejar la consola de Windows, y con el explorador, vamos a poner en su barra de direcciones la IP, de la siguiente forma \\xxx.xxx.xxx.xxx.


Nos aparece de nuevo el recurso!!!, y en entorno Windows!!!. Recordar que estamos en la RED De REDES y todos estamos conectados con todos.

Vamos a dar un solo clic, sobre el nombre del recurso y seguidamente botón derecho del ratón, vamos a seleccionar propiedades. Puede que la respuesta por parte de Windows tarde, pero al final saldrá la pantalla de propiedades, nos vamos a situar en la pestaña de seguridad.


Vamos a dar clic sobre "Opciones Avanzadas".


Ahora clic sobre "Cambiar".


Damos clic sobre "Opciones Avanzadas".


Si buscamos en el resultado obtenido, nos encontraremos con los usuarios que tienen derecho de acceso sobre este recurso.

Bueno el resto, lo dejo a vuestra imaginación........

Con esta prueba de concepto, quiero hacer reflexionar a las empresas sobre todo, de la importancia de tener un buen servicio por parte de empresas de administración de sistemas, muchas veces solicitamos cosas que pueden perjudicar a nuestros servidores o equipos, por ejemplo, "me gustaría poder conectar desde casa, con mi carpeta compartida de facturas", la empresa de sistemas (no generalizo), no se complica mucho la vida, y abre el puerto 445 y lo redirecciona hacia el servidor, dejando expuesto los recursos del mismo......

Nuestra labor en The Security Sentinel, es auditar entre otras muchas cosas, malas configuraciones de este tipo y proponer protocolos de acceso a recursos, tanto a nivel interno como externo, por medio de VPN, fijando que usuarios deben acceder a que carpetas y con qué derechos, creando claves robustas, en definitiva aplicando protocolos de seguridad que permita tener la plena confianza de que nuestros datos son vistos y usados por las personas adecuadas. 

Moraleja:

Si alguien desde su casa puede ver recursos de una red, por medio de internet, que no se podrá ver desde la red interna de esa empresa.

Hacer auditorias de seguridad, es algo que debería de realizarse como mínimo una vez al año. Donde profesionales, asesoren a la empresa de cómo utilizar sus recursos y que protocolos seguir a la hora de crear nuevos, con objeto de no tener fuga de información, ni por parte de empleados descontentos ni por parte de "alguien" que sentado cómodamente en su casa pueda intentar acceder a los mismos.

Un cordial saludo a todos.

Cayetano De Juan.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

MOD: Publicar un enlace sin contenido, sin explicaciones, y sin contexto, cuenta como SPAM.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola, por mi parte agradezco y entiendo las ganas de compartir material. Pero este post es solo un enlace a un articulo de un perfil de Linkin... podria tomarse como spam.

Por otro lado te invito a que tomes el tiempo de hacer un copy/paste del articulo que quieres compartir y debajo del mismo colocar la fuente (que en este caso seria el link que compartiste) asi no es tomado como Spam.

Gracias

Hola, te agradezco tu correccion. Lo voy hacer como dices. Muchas gracias, un cordial saludo.