Ha sido uno de los bugs que marcarán el 2012: El bug del protocolo RDP que permite comprometer remotamente cualquier sistema Windows. Esta vulnerabilidad, para la que hay varios exploits públicos y que está siendo activamente explotada, es sin duda una de las vulnerabilidades más crítica que ha sido publicada recientemente para sistemas Windows.
Dado que a día de hoy es uno de los bugs que más interés despierta (y una vez añadido el exploit a metasploit, con más razón) viene bien monitorizar quien está 'jugando' con el.
Para ello, vamos a usar Patriot NG y su característica de monitorización de intentos de conexión a puertos.
El primer paso es detener Patriot, para ello buscamos el tray
Con el botón derecho del ratón seleccionamos 'stop'
El siguiente paso es añadir el puerto del RDP (3389) a la lista de puertos calientes, para ello nos situamos en:
C:\Archivos de programa\Patriot NG
Donde podemos localizar un fichero llamado 'destports.ini'
Una vez ahí, editamos el fichero con notepad y vemos que la estructura del fichero es bastante sencilla: [puerto]
Por tanto, añadimos el puerto al final del fichero:
Salvamos y desde el tray, volvemos a arrancar Patriot:
Con esto ya tenemos configurado Patriot para detectar intentos de conexión a ese puerto, cada vez que alguien lo intente, podremos ver el intento y bloquear la IP
16 comments :
Muy bien. Me ha encantado
Existe exploit funcional para obtener shell?
Me interesa saber si bloquea el puerto llendo x el lado del firewall o aplicando politicas locales al equipo.
Nahuel
@jnahuelperez
Sólo te ha faltado poner cómo se instala Patriot ;)
Genial herramienta.
¡¡ Muchas gracias !!
En el enlace que puse sobre el bug del RDP, al final, hay muchas referencias a exploits http://windowstips.wordpress.com/2012/03/19/algunas-notas-sobre-el-exploit-ms12-020/
Tomo nota ! Aunque la herramienta está bastante bien documentada con el proceso de instalación también :P
Yago, ¿Es normal que la versión de 64 bits de Patriot NG se instale en Program Files (x86)?
Si, lo es. De hecho no es una versión compilada a 64bits, lo que pasa es que por la forma en la que windows 64 gestiona era necesario fixear el instalador.
A futuro, espero tener una versión totalmente 64 bits
Si mal no recuerdo el Escritorio Remoto viene desactivado por defecto en WIndows XP, ¿por que tanto lio si pocas personas lo activan?
muchisimas gracias, esto tambien se aplica cuando nos quieren robar wi-fi
Eduardo Ayaviri: Disculpa, esto como lo podrias usar para evitar las intrusiones en las redes Wi-Fi?
El programa esta genial!, solo una pregunta, en un Windows 2008 server he agregado el puerto 3389 al archivo destports.ini y he reiniciado el servicio, esta activado el NIDS en el panel de control de patriot pero aun asi, no me detecta conexiones fallidas al RDP. sera por que ya estoy en una sesion de rpd?
que habré hecho mal?
Saludos!
Saludos!!...
De hecho lo mio en el post mas que un comentario es una sugerencia, si entendemos la importancia en que la empresa considera el tener uno o varios servidores a nivel de infraestructura(producción) entonces entiende que tan critico es que su información viaje por la nuve.
Les comento ya que hace menos de 1 mes implemente una solución opensource en lo que refiere a un UTM en una empresa que tras la configuración adecuada controlaba todo trafico, asi mismo al revisar los log encontré que los servicios que tenia nateados a la nuve staban siendo testeadas de diferentes direcciones IPS a las que principalmente intentaban acceso al puerto de SQL (1433) y RDP(3389).
Tras investigar la mayoría de estas venían de Asia, que hacían inyección por sql.
Asi que si se toman el tiempo y levantan mstsc.exe y prueban con las siguientes direcciones entenderán que tan segura es su red.
210.211.117.81 60.191.153.156 182.84.98.2442.120.0.148 42.121.85.67122.227.144.10117.41.184.46222.240.235.7042.121.17.180124.163.243.45205.158.153.162199.180.102.642.121.18.84
24.230.196.16458.246.137.76202.103.178.84114.105.216.55112.123.169.42
Saludos!!
Les dejo otra herramienta opensource para windows: winfail2ban. Muy buena. http://winfail2ban.sourceforge.net/
nuve? jaja! limitate a quedarte callado si no sabes escribir!
Publicar un comentario