Microsoft Azure Free Trial service is under Phishing target

Microsoft Azure is now on the target of fraudsters. Microsoft Azure is giving 30 days free trial, but attackers have found several loopholes in Microsoft Azure, and use its domains for phishing sites like:

• Can steal the credentials of Microsoft account.
• Can exploit machine working on Azure.
• Use of the free trial that gives $200 of credit for spending on all Azure services.

Below is an image of the phishing Apple site run on domain itune-billing2update-ssl-apple.azurewebsites.net

Microsoft has two free sub domains like azurewebsites.net for its Azure Web Sites service and cloudapp.net for Cloud Apps and virtual machines. It is believed that many cyber criminals are exploiting customer’s virtual machine and use azurewebsites.net for phishing targets due to its easy to use its feature. You can see the below sub domains that are registered with the purpose of phishing.

The other shocking fact is Microsoft Azure offers SSL certificate run on *.azurewebsites.net, which allows a hacker to use an SSL certificate, and all sub domains are accessible via HTTPS.

Phishers use the wildcard certificate to encourage users and ensure that they are visiting a legitimate website. However, below is an image of the Apple phishing site that shows an error of mixed content on its sub domains itune-billing2update-ssl-apple.

SSL Certificate Guidelines:

However, as per Mozilla CA guidelines, if the wildcard certificate is used for a fraudulent purpose, CA should revoke a certificate within 24 hours. Here, Microsoft has itself issued the SSL certificate from its subordinate CA of Verizon business and has not revoked yet. Even the certificate also does not include an OCSP responder URL, and as a result, the SSL certificate is irreversible in many browsers, for example, Mozilla Firefox.

Cyber criminals also use free email addresses like hotmail.com, outlook.com to obtain and store stolen user credentials. Phishers have incorporated their phishing kit with an email address. If the users provide credentials, they will be redirected to the phishers’ email address.

Previously, one cyber culprit was accused of using azure to proxy web traffic while accessing a phishing site. This cyber culprit has allowed log file that keeps visits of a phishing site. All these visits entries were from Microsoft Azure IP addresses.

However, customers must have to provide a phone number and credit card details to register for the free trial, so that Microsoft can ensure that the real people are accessing the Microsoft Azure service. Such information gathered from cyber culprit’s mobile phone could be utilized as a proof by taking help from local police and the mobile company.

Un Minuto sin 010101 con Pedro Candel

Pedro a la derecha de la imagen

Hola a tod@s

Estamos de vuelta con Un minuto sin 010101, para esta nueva entrevista teníamos que hacerlo a lo grande y es por eso que tenemos el placer de tener hoy en Estación Informática a Pedro Candel, más conocido como s4ur0n, maestro de maestros.

Pedro lleva toda una vida dedicada a la seguridad informática y hacking ético, organizador del congreso de seguridad Navaja Negra y un largo etcétera.

1º ¿Quién es s4ur0n?

Pedro Candel es un apasionado de la seguridad informática, docente e investigador de seguridad. También soy cofundador del Congreso de Seguridad Informática “Navaja Negra”.

2º ¿Que sueles hacer cuando tienes tiempo libre?

Ufff… estás de broma, ¿no? Cuando tengo algo de tiempo libre, lo dedico a mis otras pasiones como son esquiar y navegar. Me encanta también viajar. Y por supuesto, quedar con los amigos para tomar unas cervezas y hablar de seguridad informática.

3º Si no hubieras sido informático, ¿A qué te hubieras dedicado?

No me veo trabajando de otra cosa… Creo que no sabría desempeñar otra profesión. Pero lo mismo me hubiera gustado ser alpinista o guía de montaña.

4º El último libro que has leído.

Si se considera “libro”, acabo de leer la Tesis Doctoral de Jorge Ramió, donde hace un repaso de los últimos 25 años en la enseñanza y la difusión de la seguridad de la información en España. Suelo devorar documentación, de hecho, mi gente cercana dicen que estoy siempre leyendo.

5º Tu plato favorito.

Una buena barbacoa con productos manchegos entre los que no puede faltar el “forro”.

6º El último sueño raro que tuviste.

No suelo soñar. Acabo tan agotado que cuando duermo no recuerdo los sueños que he tenido.

7º ¿Qué música sueles escuchar?

Rock, heavy y cualquier cosa de los 80’s…

8º Lo último que piensas antes de dormirte.

¿Por qué no aguantaremos más horas sin dormir? Me he dejado algo por hacer y me toca dormir porque estoy agotado… Vaya tela!

9º Lo primero que piensas cuando te levantas por la mañana.

Doy las gracias por tener otro día más por delante y poder aprovecharlo.

10º Lo primero que harías si fueras presidente.

Odio la política. No soporto a los políticos. Pero si llegase a ser el “presi” de un gobierno, intentaría hacer una reforma muy profunda del sistema educativo, acercando la realidad del mundo empresarial a la formación.

No seáis malos. 

Sevilla Santa TV

Para una gran mayoría de sevillanos, ya sean católicos, apostólicos y romanos o, ateos confesos que simplemente disfrutan del arte de las figuras, de la complejidad detrás de sacar una hermandad a la calle, del esfuerzo de costaleros y nazarenos o de la compañía de sus amigos y familiares (y por qué no decirlo, de la excusa de tomarnos una cervecita) la Semana Santa es algo muy esperado cada año de manera que cuando llega, todos de una manera u otra, nos ponemos nuestras mejores galas y salimos a la calle para compartir con propios y extraños nuestra cultura, ¿acaso hay algo más sevillano que hacer de anfitrión aún no siéndolo realmente?.

 En esta época en la que aprovechando el puente, nuestras calles se llenan de turistas, y nuestras casas de amigos de amigos que vienen de más allá de despeñaperros y de otros tantos que también nos visitan desde la provincia, nuestra obligación moral es llevarlos a la calle y enseñarles, aunque no tengamos ni idea de cofradías, por qué la Semana Santa de Sevilla fue declarada de Interés Turístico Internacional.

¿Cómo hacerlo si uno no es “capillita”? pues como se ha hecho siempre, a través de la radio, de buscar como locos un Llamador y preguntándole a ese amigo que todo lo sabe, qué ver y dónde, esperando que nos invite a salir con él y con su gente lo cual, nos convertirá a todos en el 6 recorriendo Sevilla entera recogiendo a multitud de personas y rezando por poder ver alguna cofradía entre parada y parada.

Por suerte, la llegada de las nuevas tecnologías a nuestras vidas y su facilidad de uso, ha hecho posible que tan sólo con escanear un código qr, cualquiera pueda descargarse una aplicación como SEVILLA SANTA TV donde uno puede tener de primera mano, toda la información e imágenes de lo que está ocurriendo por las calles de nuestra ciudad, ¡Y ENCIMA GRATIS!

Qué lástima que, mientras pensábamos en el bien que podríamos hacer con una aplicación de este tipo, una vocecilla nos decía al oído cual Pepito Grillo que, algo así no funcionaría porque la gente no iba a fiarse, al fin y al cabo, sería una aplicación desconocida de la cual tendrían sólo la información de un folleto en la calle sin ninguna seguridad de buen uso y, como nuestra experiencia en el ámbito de la seguridad nos ha enseñado que el mal puede venir de cualquier forma: Pendrive regalado (o supuestamente perdido), como correo electrónico, como aplicación movil… ¿qué éxito tendríamos?.

Pero claro, una idea nos llevo a otra y, ésa a hacernos una pregunta: ¿habremos conseguido realmente nuestro objetivo de concienciar a todo el mundo sobre la importancia de la seguridad? así que, decidimos emprender este maravilloso proyecto llamado SEVILLA SANTA TV pero no como una aplicación que nos ayudara a parecer más inteligentes sino, como un estudio para poder examinar si la gente le da la importancia que le debe dar a la Seguridad de la Información que todos tenemos en nuestros dispositivos o, si como dice el refrań, “a caballo regalado…”

Finalmente y después de semana santa, por fin podemos compartir con vosotros este proyecto y lo que hemos podido sacar en claro de todo ello:

Datos:

• 628 visitas a la web.
• 72 bots de google, twitter, etc.
• 200 realizadas desde Iphone IOS 5/6/7
• 128 desde internet explorer.
• 146 Android.

Pasos que hemos seguido:

• Creación de la web www.sevillasanta.net
• Creación del folleto (podemos verlo arriba)
• Impresión de los folletos y entrega a las personas que se encontraban viendo las cofradías.
• Publicarlo en la fanpage de QuantiKa14
• Registro de las visitas y el user-agent para hacer las estadísticas.

Artículo cortesía: Quantika14

Kevin Mitnick en España

El programa de televisión para los adictos de la seguridad informática, Mundo Hacker, está preparando un evento de seguridad informática con sus colaboradores habituales y algunos invitados más donde destaca la llegada a España de Kevin Mitnick, uno de los hackers más famoso e importantes de la historia. 

Como recordaremos, realizamos un pequeño repaso sobre la historia de Kevin, siendo el hacker más buscado de la historia de E.E.U.U

El evento está previsto para el próximo 29 de abril en el teatro Goya de Madrid. Sin duda una oportunidad única de conocer a este gran hacker, ¿quién no conoce su gran historia? 

Para más información: http://www.mundohackerday.com/

No seáis malos.  

Profundizando en sqlmap

Escribió Francisco Javier un artículo muy interesante llamado SQL Injection, ¿te han vacunado? donde veíamos la conocida herramienta sqlmap. Esta herramienta tiene muchas opciones y todas ellas muy interesantes, de modo que continuemos profundizando en ellas.

El escenario de pruebas

Para probar la herramienta he elegido el entorno de pruebas DVWA (Damn Vulnerable Web Application). 

La instalación del entorno es bastante sencilla y consiste en descargar el ZIP desde su página Web y requerirá que tengamos PHP y MySQL. Tenéis en este enlace un tutorial con el paso a paso de su instalación.

Esta aplicación Web permite seleccionar el nivel de dificultad al que nos queremos enfrentar desde su apartado DVWA Security, de este modo podemos ajustar el retor a un mayor o menor nivel y así ir afinando nuestras habilidades. En nuestro caso la definiremos en nivel medio para las pruebas que queremos realizar con sqlmap:

Reuniendo información antes de ejecutar la prueba

Una vez configurada la aplicación DVWA, veremos que para acceder es necesario rellenar un formulario, los credenciales de acceso son usuario admin y contraseña password:

Si utilizamos un componente como Web Developer Tools en Mozilla podremos ver las cookies que nos ha establecido el servidor Web al iniciar sesión:

Una vez dentro nos dirigiremos a la sección de SQL Injection y a nada que realicemos alguna prueba veremos que este nivel es fácilmente explotable:

Utilizando la técnica de identificación de columnas basada en ORDER BY veremos que la consulta que se está realizando internamente espera 2 columnas:

Ya con el conocimiento del número de columnas podemos intentar la explotación basada en UNION para obtener información por ejemplo del usuario que ejecuta las consultas y la base de datos a la que se conecta:

Continuando la explotación con sqlmap

Llegados a este punto hemos reunido la siguiente información:

• Tenemos un motor de base de datos MySQL
• Estamos almacenando las cookies
• PHPSESSID (gestiona la sesión que tenemos iniciada)
• security (gestiona el nivel de seguridad configurado en la aplicación)
• El parámetro id es vulnerable a SQL Injection y se puede explotar utilizando la técnica UNION query
• La base de datos a la que se conecta la aplicación se llama dvwa
• El usuario que realiza las consultas SQL es root@localhost

Con toda esta información podemos afinar la explotación utilizando sqlmap y obtener de forma muy rápida el listado de tablas:

Los detalles de este comando son los siguientes:

• --cookie permite establecer los parámetros y valores que queremos enviar en la cabecera HTTP Cookie
• -p permite indicar el parámetro sobre el que se quiere testear la inyección
• --dbms permite establecer el motor de base de datos para evitar pruebas sobre otros motores
• --technique permite indicar la técnica de explotación: Boolean-based, Error-based, Union, Stacked querys, Time-based. Tenéis más información en su página de man.
• -D indica la base de datos que queremos analizar
• --tables para enumerar las tablas

Nota: Como ya conoceréis la potencia de sqlmap imaginaréis que toda esta información que hemos obtenido de forma manual se podría haber conseguido directamente con la herramienta, sin embargo es importante que seamos cuidadosos y en todo momento controlemos las técnicas que empleamos ya que podríamos dejar la aplicación analizada en un estado inconsistente.

El resultado del comando anterior nos devolverá una enumeración de las tablas:

De modo que continuando con el ejercicio, podríamos realizar un dump de la tabla users utilizando el siguiente comando:

Y en este punto también veremos algo interesante de la herramienta, ya que detectará los hashes de las contraseñas que hay en la tabla y nos ofrecerá realizar un ataque basado en diccionario para romperlos:

Dándonos en este caso un resultado perfecto:

Otras pruebas más allá del escenario DVWA

La siguiente prueba de concepto la realizaré sobre una aplicación Web hecha a medida ya que DVWA no es vulnerable a la explotación que voy a mostrar sin embargo algún escenario al que nos enfrentemos sí podría serlo.

Una vez hayamos detectado un parámetro vulnerable a SQL injection y si los permisos del motor de base de datos y el sistema de ficheros no están bien configurados podríamos incluso llegar a conseguir una shell con el siguiente comando:

Nos solicitará algo de información adicional con el fin de crear la sentencia SQL que nos devolverá una shell:

Seguir este proceso nos devolverá la shell:

Y por ir finalizando la cantidad de posibilidades que nos ofrece la herramienta, no olvidemos que podemos integrarla con nuestra instalación de Tor utilizando el siguiente comando: