FACULTAD DE INGENIERÍA
CVE-2017-7269
PROFESOR:
1. INTRODUCCION ................................................................................................................ 3
2. ENTORNO ........................................................................................................................... 4
2.1 Arquitectura de red lógica ..................................................................................... 5
2.2 Plataforma utilizada ................................................................................................. 6
3. VULNERABILIDAD ........................................................................................................... 7
4. CONCLUSIONES............................................................................................................... 9
5. RECOMENDACIONES ..................................................................................................... 9
1. INTRODUCCION
Hoy en día, aún existen entidades, tanto estatales como privadas, que
presentan un alto índice de vulnerabilidades en cuanto a seguridad informática
en sus infraestructuras tecnológicas internas, redes, bases de datos,
aplicativos, teniendo en cuenta la información como principal activo y el insumo
para cumplir la misión de servir a la comunidad y efectuar las metas en sus
planes de desarrollo, caso puntual el de las bases de datos donde se ven
vulneradas por intrusiones no autorizadas produciendo perdida de datos,
integridad de la información y confianza al interior y exterior de la entidad, esto
también se ocasiona por factores como:
- Deficiencias de conocimiento técnico en materia de seguridad
informática, por parte de los líderes de TI de la organización.
- Falta de liderazgo por parte del grupo TI de la entidad.
- Falta de apropiación de técnicas encaminadas a la detección y
corrección de intrusiones a los sistemas de la organización.
- Asignación de Presupuestos insuficientes para la implementación de
medidas que protejan el entorno digital de la organización y asignación
de presupuesto para actualización de licenciamiento a nivel de software
de bases de datos en los servidores de aplicaciones.
- Falta de controles en la implementación, divulgación y actualización de
las políticas de seguridad.
- Falta de log de auditoria en los diversos servicios de red.
La empresa “Servicios Call Center del Peru” es una entidad que se dedica a
brindar el servicio de centro de contacto a diversas empresas, principalmente
de los rubros financiero, telecomunicaciones, restaurante, etc. Posee una
infraestructura tecnológica a nivel de servidores físicos y virtuales. Los agentes
telefónicos, para su gestión, utilizan thin clients que se conectan a una
plataforma VDI Citrix Xendesktop & XenApp.
Dentro de la infraestructura virtual existe un servicio de reportes (Citrix Director)
que brinda información sobre las conexiones de los escritorios virtuales, este
servicio se ejecuta sobre un servidor Windows server 2003 R2 y utiliza el
servicio IIS 6.0. Este servicio aún no ha sido migrado, ya que sobre el mismo
servidor se viene ejecutando otro servicio que brinda la entrega de escritorios.
Asimismo, este servicio de reportaría es publicado en la red DMZ para facilitar
el acceso al personal que brinda soporte a esta plataforma.
Actualmente se viene trabajando en un plan para migrar toda la plataforma,
pero se encuentra en standby
2.1 Arquitectura de red lógica
NETSCALER
XENSERVER XENDESKTOP 1 XENDESKTOP 2
(HOST FISICO)
NETSCALER
IP VIRTUAL STOREFRONT 1 STOREFRONT 2
5 PROVISIONING
3
1 VDISK
DHCP SERVER
(SCCP)
2
6, 7
VM
VIRTUAL 10
DESKTOP
USUARIO internet
FINAL
2.2 Plataforma utilizada
CVE-2017-7269
Desbordamiento de búfer en la función ScStoragePathFromUrl en el servicio
WebDAV en Internet Information Services (IIS) 6.0 en Microsoft Windows
Server 2003 R2 permite a atacantes remotos ejecutar código arbitrario a través
de un encabezado largo que comienza con "If: <http: //" en una solicitud
PROPFIND, según lo explotado en estado salvaje en julio o agosto de 2016.
La creación y control de versiones distribuidas en la web (WebDAV) es una
extensión del protocolo HTTP que permite a los clientes realizar operaciones
de creación de contenido web a distancia. WebDAV amplía el conjunto de
métodos y encabezados HTTP estándar permitidos para la solicitud
HTTP. Algunos ejemplos de métodos de WebDAV son COPY, LOCK, MKCOL,
PROPFIND, UNLOCK, etc.
Cuando WebDAV maneja incorrectamente los objetos en la memoria, lo que
podría permitir que un atacante ejecute código arbitrario en el sistema del
usuario. Un atacante que aprovechó esta vulnerabilidad podría obtener los
mismos derechos de usuario que el usuario actual.
Para aprovechar esta vulnerabilidad, un atacante tendría que enviar una
solicitud HTTP especialmente diseñada al sistema afectado.
Esta vulnerabilidad se explota utilizando el método PROPFIND y el
encabezado IF. El método PROPFIND recupera las propiedades definidas en el
recurso identificado por el URI de solicitud. Todos los recursos compatibles con
WebDAV deben ser compatibles con el método PROPFIND.
La vulnerabilidad podría explotarse con un encabezado 'IF' demasiado grande
en la solicitud 'PROPFIND' con al menos dos recursos http en el encabezado
IF. Si se explota con éxito, esta vulnerabilidad podría llevar a la ejecución
remota de código. A veces, un ataque fallido podría llevar a condiciones de
denegación de servicio.
Se realizó el análisis de vulnerabilidades utilizando el Common Vulnerability
Scoring System Calculator version 3
Referencias
1- Documentación del proveedor : https://support.microsoft.com/en-
us/help/3197835/description-of-the-security-update-for-windows-xp-and-
windows-server
2- Exploit: https://www.exploit-db.com/exploits/41738/
3- Procedimiento para explotar la vulnerabilidad:
https://www.youtube.com/watch?v=X5w2HIlFYn0
4. CONCLUSIONES
5. RECOMENDACIONES