“Back to the Basis”Explotando debilidades del lado del cliente

Santiago de Chile

Septiembre 2010

Ezequiel M. Sallis

CISSP-CEH-MBCI

Index. Of

• Evolución de una Tendencia Predecible

• Client Side Exploitation

� Practica

• Client Side Exploit via EXE

• Client Side Exploit via PDF

• Client Side Exploit via MS WORD

• Client Side Exploit via SET

� Conclusión Final

� Teoria

A medida que los controles de seguridad asociados a determinadas

tecnologías van madurando, los atacantes dirigen su mirada hacia aquellos

que aun no son lo suficientemente efectivos.

La evolución de los ataques externos a través del tiempo, indica que los

atacantes explotaban debilidades por lo menos en dos niveles bien definidos:

Nivel de Infraestructura

Nivel de Aplicación

Evolución Predecible

La consecuencia de esta evolución, trae aparejado un profundo cambio en los

niveles de control, evidenciando así una mayor madurez en los controles

relacionados al nivel de infraestructura y una tendencia a lograr el mismo

efecto en un corto plazo, a nivel de aplicación.

Evolución Predecible

Independientemente de lo anterior… conocen

algún control de seguridad técnico, en el que la

colaboración del factor humano no sea necesaria

para un funcionamiento efectivo?

Evolución Predecible

Todo indica que el actual objetivo de los ataques, no apunta únicamente

a vulnerabilidades de infraestructura o aplicación, sino que suman al que

siempre conocimos como el eslabón mas débil de la cadena de la

seguridad.

La explotación del usuario final y la interacción regular de este con

aplicativos de uso diario vulnerables y muchas veces olvidados, es la que

hoy podría permitirle a un atacante, acceder a los sistemas de

información de su empresa desde el exterior.

Es por eso que debemos prestar atención a un nuevo nivel:

Nivel de Cliente

Client Side ExploitFocalizado en aprovechar vulnerabilidades en el usuario de los sistemas

de información, como así también en los programas cliente que este

utiliza en el día a día de su labor:

•Navegador de Internet

•Suite de Ofimática

•Visor de archivos PDF

•Clientes de reproducción multimedia

•Otros

Client Side Exploit

Estado de Situación Actual vs Controles de Seguridad

• Protección Perimetral (From Outside to Inside)

• Detección y Prevención de Intrusos

• Endpoint Security (AV , HIPS y Personal FW)

• Parches de Seguridad de Sistema Operativo

Client Side Exploit

Estado de Situación Actual vs Técnicas de Ataque

• Protección Perimetral (From Outside to Inside vs. Inside to Outside)

• Detección y Prevención de Intrusos vs. Cifrado y Ofuscación

• Endpoint Security vs. Ofuscación e Inyección de Procesos

• Parches de Seguridad de SO vs. Parches de Seguridad Aplicativos

Live Demo

Client Side Exploit EXE

Live Demo

Client Side Exploit via MS Word

Live Demo

Client Side Exploit via PDF

Live Demo

Client Side Exploit via SET

Lo anteriormente expuesto, no es más que una descripción

acotada de prácticas habituales utilizadas hoy en día para el

acceso no autorizado a información sensible. Como habrán

podido observar, explotan tanto aspectos técnicos cómo

características predecibles del comportamiento humano asociado

al uso de las tecnologías.

Es importante entender que las debilidades explotadas no son

nuevas, sino que lo nuevo es la manera de llevarlas a la practica

de una forma creativa.

Conclusión

MUCHAS GRACIAS

esallis(at)root-secure(dot)com