UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

FACULTAD DE INGENIERÍA

DIVISIÓN DE ESTUDIOS PROFESIONALES PARA EJECUTIVOS

CARRERA DE <<INGENIERÍA REDES Y COMUNICACIONES. >>

TÍTULO DEL TRABAJO

CVE-2017-7269

TRABAJO FINAL PRESENTADO POR:

ARTURO CIRO PALGA NORIEGA

PROFESOR:

Flores Solís, Fernando Rolyn

LIMA, NOVIEMBRE 2018

 INDICE

1. INTRODUCCION ................................................................................................................ 3
2. ENTORNO ........................................................................................................................... 4
2.1 Arquitectura de red lógica ..................................................................................... 5
2.2 Plataforma utilizada ................................................................................................. 6
3. VULNERABILIDAD ........................................................................................................... 7
4. CONCLUSIONES............................................................................................................... 9
5. RECOMENDACIONES ..................................................................................................... 9
1. INTRODUCCION

Las computadoras de cualquier sistema informático son vulnerables a ataques

de Crackers o hackers que son capaces de ingresar al sistema borrando
información, modificándola o robándola poniendo en peligro su integridad y
haciendo perder a las organizaciones la confianza dentro y fuera de ella. Es por
eso que se hace imprescindible saber si estos sistemas y redes de datos están
protegidos contra intrusiones.

El Ethical Hacking presenta herramientas para hacer hackeo ético explotando

las vulnerabilidades existentes en el sistema haciendo test de intrusión
evaluando así la seguridad para nuestro caso a las bases de datos.

La seguridad informática dentro de una organización requiere de metodologías

y procedimientos que garanticen la integridad, confidencialidad y disponibilidad
de la información, es ahí donde los servicios de Ethical Hacking entran a
evidenciar que vulnerabilidades tienen los sistemas y así ayudar a las
organizaciones a tomar correctivos necesarios tendientes a cerrar las puertas,
donde los hackers pueden hacer daño. Dentro de las tácticas que utiliza se
encuentran la ingeniería social, herramientas de hacking y uso de Metasploit
(para vulnerar y entrar a las áreas críticas de los sistemas de la organización).
Las pruebas de penetración hacen parte del proceso de gestión de riesgos
organizacionales, mediante el cual se identifican y se abordan
sistemáticamente los riesgos; es ahí donde las organizaciones se dan
realmente cuenta de que tanto pueden llegar a ser vulneradas y qué acciones
tomar ante una intrusión no autorizada. Un activo es algo que usted valora; Una
amenaza es algo que puede afectar su activo; Una vulnerabilidad es algo que
aumenta la probabilidad de que ocurra la amenaza; Y un control es algo que
mejorará la situación, al prevenir, detectar o de otra manera reducir el impacto
de una amenaza.

Por ejemplo: un activo podría ser un archivo de gestión documental; Una

amenaza, podría ser un incendio; Una vulnerabilidad, sería almacenar que un
corto circuito por tomas eléctricos cercanos al archivo; Y un control, podría ser
la instalación de un extintor de incendios.

En este trabajo analizaremos la vulnerabilidad de un servicio web que no fue

mapeado correctamente debido a la poca importantancia que los
administradores de TI le dieron. Asimismo, se analizará la importancia de
mantener actualizados nuestros servicios de red constantemente
2. ENTORNO

Hoy en día, aún existen entidades, tanto estatales como privadas, que
presentan un alto índice de vulnerabilidades en cuanto a seguridad informática
en sus infraestructuras tecnológicas internas, redes, bases de datos,
aplicativos, teniendo en cuenta la información como principal activo y el insumo
para cumplir la misión de servir a la comunidad y efectuar las metas en sus
planes de desarrollo, caso puntual el de las bases de datos donde se ven
vulneradas por intrusiones no autorizadas produciendo perdida de datos,
integridad de la información y confianza al interior y exterior de la entidad, esto
también se ocasiona por factores como:
- Deficiencias de conocimiento técnico en materia de seguridad
informática, por parte de los líderes de TI de la organización.
- Falta de liderazgo por parte del grupo TI de la entidad.
- Falta de apropiación de técnicas encaminadas a la detección y
corrección de intrusiones a los sistemas de la organización.
- Asignación de Presupuestos insuficientes para la implementación de
medidas que protejan el entorno digital de la organización y asignación
de presupuesto para actualización de licenciamiento a nivel de software
de bases de datos en los servidores de aplicaciones.
- Falta de controles en la implementación, divulgación y actualización de
las políticas de seguridad.
- Falta de log de auditoria en los diversos servicios de red.
La empresa “Servicios Call Center del Peru” es una entidad que se dedica a
brindar el servicio de centro de contacto a diversas empresas, principalmente
de los rubros financiero, telecomunicaciones, restaurante, etc. Posee una
infraestructura tecnológica a nivel de servidores físicos y virtuales. Los agentes
telefónicos, para su gestión, utilizan thin clients que se conectan a una
plataforma VDI Citrix Xendesktop & XenApp.
Dentro de la infraestructura virtual existe un servicio de reportes (Citrix Director)
que brinda información sobre las conexiones de los escritorios virtuales, este
servicio se ejecuta sobre un servidor Windows server 2003 R2 y utiliza el
servicio IIS 6.0. Este servicio aún no ha sido migrado, ya que sobre el mismo
servidor se viene ejecutando otro servicio que brinda la entrega de escritorios.
Asimismo, este servicio de reportaría es publicado en la red DMZ para facilitar
el acceso al personal que brinda soporte a esta plataforma.
Actualmente se viene trabajando en un plan para migrar toda la plataforma,
pero se encuentra en standby
2.1 Arquitectura de red lógica

GRANJA XENDESKTOP 8 IP VIRTUAL (SERVICIO

GRANJA PROVISIONING
STOREFRONT)
5

NETSCALER
XENSERVER XENDESKTOP 1 XENDESKTOP 2
(HOST FISICO)

NETSCALER
IP VIRTUAL STOREFRONT 1 STOREFRONT 2
5 PROVISIONING

3
1 VDISK

DHCP SERVER
(SCCP)
2

6, 7

VM

VIRTUAL 10
DESKTOP

USUARIO internet
FINAL
2.2 Plataforma utilizada

La plataforma utilizada es un servidor con sistema operativo Windows

server 2003 R2 y el servicio IIS 6.0.
Windows Server 2003 es un sistema operativo de la familia Windows de la
marca Microsoft para servidores que salió al mercado en el año 2003. Está
basada en tecnología NT y la versión del núcleo NT es la 5.2.
En términos generales, Windows Server 2003 se podría considerar como un
Windows XP modificado para labores empresariales, no con menos
funciones, sino que estas están deshabilitadas por defecto para obtener un
mejor rendimiento y para centrar el uso de procesador en las características
de servidor; por ejemplo, la interfaz gráfica denominada Luna de Windows
XP viene desactivada por lo que sólo se utiliza la interfaz clásica de
Windows.
Internet Information Services o IIS1 es un servidor web y un conjunto de
servicios para el sistema operativo Microsoft Windows. Originalmente era
parte del Option Pack para Windows NT. Luego fue integrado en otros
sistemas operativos de Microsoft destinados a ofrecer servicios, como
Windows 2000 o Windows Server 2003. Windows XP Profesional incluye
una versión limitada de IIS. Los servicios que ofrece son: FTP, SMTP,
NNTP y HTTP/HTTPS.2.
Este servicio convierte a un PC en un servidor web para Internet o una
intranet, es decir que en los ordenadores que tienen este servicio instalado
se pueden publicar páginas web tanto local como remotamente.
Actualmente la versión más estable es el IIS 10.0
El servicio IIS es usado para Citrix Director, que es un dashboard para
administrar los escritorios virtuales y el servicio ftp para publicar las
configuraciones predeterminadas de los thin clients.
3. VULNERABILIDAD

CVE-2017-7269
Desbordamiento de búfer en la función ScStoragePathFromUrl en el servicio
WebDAV en Internet Information Services (IIS) 6.0 en Microsoft Windows
Server 2003 R2 permite a atacantes remotos ejecutar código arbitrario a través
de un encabezado largo que comienza con "If: <http: //" en una solicitud
PROPFIND, según lo explotado en estado salvaje en julio o agosto de 2016.
La creación y control de versiones distribuidas en la web (WebDAV) es una
extensión del protocolo HTTP que permite a los clientes realizar operaciones
de creación de contenido web a distancia. WebDAV amplía el conjunto de
métodos y encabezados HTTP estándar permitidos para la solicitud
HTTP. Algunos ejemplos de métodos de WebDAV son COPY, LOCK, MKCOL,
PROPFIND, UNLOCK, etc.
Cuando WebDAV maneja incorrectamente los objetos en la memoria, lo que
podría permitir que un atacante ejecute código arbitrario en el sistema del
usuario. Un atacante que aprovechó esta vulnerabilidad podría obtener los
mismos derechos de usuario que el usuario actual.
Para aprovechar esta vulnerabilidad, un atacante tendría que enviar una
solicitud HTTP especialmente diseñada al sistema afectado.
Esta vulnerabilidad se explota utilizando el método PROPFIND y el
encabezado IF. El método PROPFIND recupera las propiedades definidas en el
recurso identificado por el URI de solicitud. Todos los recursos compatibles con
WebDAV deben ser compatibles con el método PROPFIND.
La vulnerabilidad podría explotarse con un encabezado 'IF' demasiado grande
en la solicitud 'PROPFIND' con al menos dos recursos http en el encabezado
IF. Si se explota con éxito, esta vulnerabilidad podría llevar a la ejecución
remota de código. A veces, un ataque fallido podría llevar a condiciones de
denegación de servicio.
Se realizó el análisis de vulnerabilidades utilizando el Common Vulnerability
Scoring System Calculator version 3
Referencias
1- Documentación del proveedor : https://support.microsoft.com/en-
us/help/3197835/description-of-the-security-update-for-windows-xp-and-
windows-server
2- Exploit: https://www.exploit-db.com/exploits/41738/
3- Procedimiento para explotar la vulnerabilidad:
https://www.youtube.com/watch?v=X5w2HIlFYn0

4. CONCLUSIONES

1- Se puede evidenciar que dentro de una plataforma de servicio existen

múltiples servicios que pueden ser posibles puntos de falla y de ataque
2- El servicio está publicado hacia internet por lo que es altamente
vulnerable
3- La vulnerabilidad mencionada solo se presenta en la versión 6.0 del IIS

5. RECOMENDACIONES

1- Es necesario poner en ejecución cuanto antes el plan para actualizar

toda la plataforma de virtualización.

2- Se recomienda retirar la publicación hacia internet del servicio de

reporteria, hasta realizar la upgrade de la plataforma.