CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 TABLA DE CONTENIDO CONTENIDO CONTENIDO _________________________________________________________ INTRODUCCIÓN 1 ___________________________________________________2/3 RESEÑA DE INFORME ____________________________________________________ 4 DIAGRAMA DE FLUJO DE METODOLOGÍA ___________________________________ 5 DESCRIPCIÓN DE LAS HERRAMIENTAS USADAS ______________________________6/10 INTERPRETACIÓN DE MATRIZ DE RIESGOS __________________________________ 11 TABLA 1.-. -CLASIFICACIÓN Y VALORACIÓN DE “MAGNITUD DE DAÑO” DE LOS ELEMENTOS DE INFORMACIÓN _______________________________________12/13/14 TABLA 2.-VALORACIÓN DE PROBABILIDAD DE AMENZAS __________________15/16/17 HALLAZGOS ENCONTRADOS ______________________________________________ 18 GLOSARIO 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 INTRODUCCIÓN CIBER SEGURIDAD NO SE PUEDE CONSIDERAR QUE LA SEGURIDAD SEA CUESTIÓN DE UNA SOLA COSA, YA QUE HAY MUCHOS ELEMENTOS Y SOLUCIONES EN LA INFRAESTRUCTURA DE INFORMÁTICA DE UNA EMPRESA. ALGUNAS MEDIDAS PARA HACER FRENTE AL CRECIENTE PROBLEMA DE LA FALTA DE SEGURIDAD SON: ENTRE ELLAS LA IMPORTANCIA DE EVALUAR LA VULNERABILIDAD INTERNA Y DE ESTE MODO HACER CONCIENCIA DE QUE, SI BIEN EXISTEN MUCHAS VIOLACIONES EXTERNAS, EXISTEN DE IGUAL MODO MUCHAS SOLUCIONES TECNOLÓGICAS. ESTO ENMARCA LA IMPORTANCIA DE CONTAR CON POLÍTICAS INTERNAS ESPECÍFICAS QUE CUENTEN CON EL APOYO DE LOS ALTOS DIRECTIVOS, ASÍ COMO LA EXISTENCIA DE UN RESPONSABLE EN LA SEGURIDAD INTERNA CUYAS DECISIONES DE PROTECCIÓN SE REALICEN EN FUNCIÓN DE PROBLEMÁTICAS ESPECÍFICAS Y NO SUJETAS A AJUSTES ECONÓMICOS. TODA ORGANIZACIÓN DEBE ESTAR A LA VANGUARDIA DE LOS PROCESOS DE CAMBIO. DONDE DISPONER DE INFORMACIÓN CONTINUA, CONFIABLE Y EN TIEMPO, CONSTITUYE UNA VENTAJA FUNDAMENTAL. 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 INTRODUCCIÒN DATOS A TOMAR EN CUENTA SOBRE LA INFORMACIÒN. LA INFORMACIÓN SE RECONOCE COMO: CRÍTICA: INDISPENSABLE PARA GARANTIZAR LA CONTINUIDAD OPERATIVA DE LA ORGANIZACIÓN. VALIOSA: ES UN ACTIVO CORPORATIVO QUE TIENE VALOR EN SÍ MISMO. SENSITIVA: DEBE SER CONOCIDA POR LAS PERSONAS QUE NECESITAN LOS DATOS. LA SEGURIDAD INFORMÁTICA DEBE GARANTIZAR: LA DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIÓN. EL RECUPERO RÁPIDO Y COMPLETO DE LOS SISTEMAS DE INFORMACIÓN LA INTEGRIDAD DE LA INFORMACIÓN. LA CONFIDENCIALIDAD DE LA INFORMACIÓN. IDENTIFICACIÓN DE PROBLEMAS. DESARROLLO DEL PLAN DE SEGURIDAD INFORMÁTICA. ANÁLISIS DE LA SEGURIDAD EN LOS EQUIPOS DE COMPUTACIÓN. AUDITORÍA Y REVISIÓN DE SISTEMAS 3 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 RESEÑA DEL INFORME METODOLOGÍA SE REALIZÓ LA AUDITORIA DE SEGURIDAD A NIVEL LOCAL DE 74 EQUIPOS DE CÓMPUTO QUE ESTÁN EN LA INSTITUCIÓN Y SE DESCRIBE A CONTINUACIÓN LA METODOLOGIA EMPLEADA. ETAPAS DEL INFORME: RECOLECCIÓN DE INFORMACIÓN: (DIRECCIONES IPS, RANGOS, SISTEMAS OPERATIVOS, APLICACIONES, FIREWALL, NOMBRES DE USUARIOS Y RECURSOS COMPARTIDOS) ANÁLISIS: MODELADO DE INFORMACIÓN (INFRAESTRUCTURA, APLICACIONES, SISTEMAS OPERATIVOS, IDENTIFICACIÓN DE FALLOS CONOCIDOS EN BASE A LOS DATOS RECOLECTADOS EN LA ETAPA ANTERIOR) EXPLOTACIÓN: BUSCAR Y ENCONTRAR (BÚSQUEDA DE BRECHAS DE SEGURIDAD A SERVICIOS ENCONTRADOS, INTRUSIÓN POR PUERTOS ENCONTRADOS, BÚSQUEDA Y LANZAMIENTO DE EXPLOITS DE FORMA CONTROLADA A EQUIPOS CON BRECHAS) DOCUMENTACIÓN: GENERACIÓN DE INFORMES (ENVIÓ DE PRE INFORME DE SER NECESARIO, INFORME TÉCNICO, INFORME EJECUTIVO Y PRESENTACIÓN DE RESULTADOS) 4 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 DIAGRAMA DE FLUJO METODOLOGÍA USADA RECOLECCIÓN DE INFORMACIÓN INICIO ENUMERACIÓN ANALISIS EXPLOTACIÓN DOCUMENTACIÓN NO SI DOCUMENTACIÓN SE ENCONTRARON BRECHAS DE SEGURIDAD IMPRESIÒN IMPRESIÒN 5 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 DESCRIPCIÓN DE LAS HERRAMIENTAS USADAS APLICACIÓNES PARA RECOLECCIÓN DE INFORMACIÓN APLICACIÓN: TOTAL NETWORK INVENTORY ES UNA APLICACIÓN QUE HACE UNA AUDITORIA SOBRE EQUIPOS EN RED Y EXPONE DE FORMA DETALLADA LO SIGUIENTE EL SOFTWARE INSTALADO (DESCRIPCIÓN DE TALLADA DEL SOFTWARE INSTALADO PARA DETECTAR SOFTWARE NO AUTORIZADO Y POTENCIALMENTE PELIGROSO QUE COMPROMETA EN ALGÚN MOMENTO LA SEGURIDAD DEL EQUIPO O INSTITUCIÓN) EXPONE LAS BRECHAS DE SEGURIDAD DE LOS QUIPOS (ESTATUS DE ANTIVIRUS, FIREWALL Y ACTUALIZACIONES) CLAVES DE LOS PROGRAMAS (EXPONE LAS CLAVES DE LOS PROGRAMAS UTILIZADOS PARA SU VALIDACIÓN) 6 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 DESCRIPCIÓN DE LAS HERRAMIENTAS USADAS APLICACIÓNES PARA RECOLECCIÓN DE INFORMACIÓN APLICACIÓNES: NMAP-ZENMAP, SUPER SCAN MACAFEE Y ADVANCED IP SCANNER NMAP-ZENMPA: PROGRAMA PARA HACER EXPLORACIONES, AUDITORIAS DE PUERTOS, IDENTIFICACION DE SISTEMAS OPERATIVOS, SERVICIOS, SE OBTIENE INFORMACIÓN (PUERTOS EN USO, PUERTOS FILTRADOS, PUERTOS ABIERTOS E INFORMACIÓN A BAJO DE LA RED) SUPER SCAN MACAFEE Y ADVANCED IP SCANNER PROGRAMA PARA REALIZAR ANALISIS DE PING, ESCANEO DE PUERTOS Y SERVICIOS. 7 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 DESCRIPCIÓN DE LAS HERRAMIENTAS USADAS APLICACIÓNES: PARA BUSQUEDA Y EXPLOTACIÓN DE VULNERABILIDADES APLICACIONES ARMITAGE Y COBAL-TRIKE (SON UN FRAMEWORK MULTIPLATAFORMA QUE ABSTRAE LAS TAREAS TÍPICAS DE UNA INTRUSIÓN) OFRECEN UN ESQUEMA MODULAR DONDE COMBINAR E INTEGRAR DISTINTOS TIPOS DE EXPLOITS Y HERRAMIENTAS DE ACCESO Y CONTROL DE EQUIPOS Y SERVICIOS COMPROMETIDOS. INCLUYE TAMBIÉN MÓDULOS ADICIONALES PARA LAS FASES DE RASTREO Y ENUMERACIÓN, ADEMÁS DE PODER INTEGRAR LA INFORMACIÓN PROPORCIONADA POR OTRAS HERRAMIENTAS COMO NMAP, NESSUS, OPENVAS Y CUENTAN CON SU PROPIO CATALOGO DE EXPLOIT, ETC.) 8 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 DESCRIPCIÒN DE LAS HERRAMIENTAS USADAS APLICACIÓNES: PARA BUSQUEDA Y EXPLOTACIÓN DE VULNERABILIDADES APLICACIÒN: NESUSS MANAGER APLICACIÓN LÍDER EN LA DETECCIÓN DE GRAN ALCANCE, ESCANEADO Y FUNCIONES DE AUDITORÍA, ESCÁNER DE VULNERABILIDADES DE MAYOR DESPLIEGUE EN EL MUNDO, CON AMPLIAS FUNCIONES DE GESTIÓN DE LA VULNERABILIDAD Y DE COLABORACIÓN. CONTINUAMENTE ACTUALIZADO CON INFORMACIÓN AMENAZAS AVANZADAS, LAS VULNERABILIDADES DE DÍA CERO Y LOS NUEVOS TIPOS DE CONFIGURACIONES DE CUMPLIMIENTO NORMATIVO. •ESCANEO DE RED: HERRAMIENTAS DE GESTIÓN DE PARCHES, BYOD, CORTAFUEGOS Y SISTEMAS VIRTUALIZADOS. • ESCANEANDO LOS PUERTOS CON SU PROPIO ESCANEADOR DE PUERTOS PARA BUSCAR PUERTOS ABIERTOS Y DESPUÉS INTENTAR VARIOS EXPLOITS PARA ATACARLO. LAS PRUEBAS DE VULNERABILIDAD DISPONIBLES CUENTAN CON UNA LARGA LISTA DE PLUGINS (EXPLOITS) QUE SON ACTUALIZADOS CONSTANTEMENTE QUE SON APLICADOS A LOS DIFERENTES PROGRAMAS INSTALADOS EN LOS EQUIPOS (JAVA, OFFICE, INTERNET EXPLORER, ETC) WINDOWS MALWARE SCAN DETECTA COMPORTAMIENTO MAL INTENCIONADO POR PARTE DE VIRUS QUE YA HAYAN AFECTADO EL SISTEMA OPERATIVO O ESTÉN POR EXPLOTAR O ACTIVARSE AUDITA LOS PROCESOS DE WINDOWS LOS CUALES CUENTAN CON UN HASH UNICO COMPARANDO Y AUTENTIFICANDO CON UNA AMPLIA LISTA DE LOS MISMOS., QUE NO SE ESTEN USANDO BOTNET Y QUE ESTEN ENVIANDO INFORMACION A SERVIDORES MALICIOSOS. DETECTAR Y CORREGIR POSIBLES DEFICIENCIAS EN LA SEGURIDAD DE LA RED ANTES DE QUE PUEDAN SER EXPLOTADAS POR INTRUSOS. PRUEBAS DE PENETRACIÓN INTEGRADO PARA EXPLOTAR LAS VULNERABILIDADES ENCONTRADAS POR EL ESCÁNER MEDIANTE: BASH DETECCIÓN SHELLSHOCK, ESCANER DE RED, PARCHE CON CREDENCIALES DE AUDITORIA, WINDOWS MALWARE. 9 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 DESCRIPCIÒN DE LAS HERRAMIENTAS USADAS APLICACIÓNES: PARA BUSQUEDA Y EXPLOTACIÓN DE VULNERABILIDADES MATRIZ DE RIESGOS INFORMÁTICOS: SON UNA SERIE DE TABLAS QUE TIENEN LA FINALIDAD DE EXPONER LOS RIESGOS A LOS CUALES ESTÁ EXPUESTA UNA ORGANIZACIÓN. PARA SU POSTERIOR ANÁLISIS TABLA DE CLASIFICACIÓN Y VALORACIÓN DE “MAGNITUD DE DAÑO” DE LOS ELEMENTOS DE INFORMACIÓN (DATOS E INFORMACIÓN, SISTEMAS E INFRAESTRUCTURA Y PERSONAL) TABLA DE PROBABILIDAD DE AMENAZAS (ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA, SUCESO DE ORIGEN FÍSICO Y SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES INSTITUCIONALES) MATRIZ DE RIESGOS (DESGLOSE DE LOS RIESGOS Y CUANTIFICACIÓN DE LOS MISMO) 10 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 CLASIFICACIÒN DE LOS RIESGOS INTERPRETACIÓN DE MATRIZ DE RIESGOS TABLA DE CLASIFICACIÓN DE LOS RIESGOS DE ACUERDO A SU CRITICIDAD LA MATRIZ PARA EL ANÁLISIS DE RIESGO ES EL PUNTO CLAVE EN ANALIZAR Y DETERMINAR LOS RIESGOS EN EL MANEJO DE LOS DATOS E INFORMACIÓN DE LAS ORGANIZACIONES. LA MATRIZ NOS DARÁ UN RESULTADO DETALLADO SOBRE LOS RIESGOS Y PELIGROS DE CADA RECURSO (ELEMENTO DE INFORMACIÓN) DE LA INSTITUCIÓN, SINO UNA MIRADA APROXIMADA Y GENERALIZADA DE ESTOS. FUNDAMENTO DE LA MATRIZ LA MATRIZ LA BASÉ EN EL MÉTODO DE ANÁLISIS DE RIESGO CON UN GRAFO DE RIESGO, USANDO LA FORMULA RIESGO = PROBABILIDAD DE AMENAZA X MAGNITUD DE DAÑO LA PROBABILIDAD DE AMENAZA Y MAGNITUD DE DAÑO PUEDEN TOMAR LOS VALORES Y CONDICIONES RESPECTIVAMENTE 1 = INSIGNIFICANTE (INCLUIDO NINGUNA) 2 = BAJA 3 = MEDIANA 4 = ALTA EL RIESGO, QUE ES EL PRODUCTO DE LA MULTIPLICACIÓN PROBABILIDAD DE AMENAZA POR MAGNITUD DE DAÑO, ESTÁ AGRUPADO EN TRES RANGOS, Y PARA SU MEJOR VISUALIZACIÓN, SE APLICA DIFERENTES COLORES. BAJO RIESGO = 1 – 6 (VERDE) MEDIO RIESGO = 8 – 9 (AMARILLO) ALTO RIESGO = 12 – 16 (ROJO) *(ESTE APARTADO ESTÁ CONFORMADO POR HOJAS INDIVIDUALES QUE SERÁN ANEXADAS A CONTINUACIÓN Y UNA SERÁ ENVIADA POR CORREO O USB) 11 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 CLASIFICACIÒN Y VALORACIÒN DE “MAGNITUD DE DAÑO” DE LOS ELEMENTOS DE INFORMACIÒN. INSTRUCCIONES: PARA CLASIFICAR Y VALORAR LOS ELEMENTOS DE INFORMACION, POR FAVOR LLENE LAS 3 TABLAS SIGUIENDO LOS SIGUIENTES PASOS: PASO 1.- EN LA COLUMNA CLASIFICACION MARQUE CON UNA X, UNA O VARIAS DE LAS OPCIONES QUE CORRESPONDEN A LA LISTA DE ELEMENTOS DE INFORMACIÒN (CUANDO NO APLIQUE PARA SU CASO, LAS CASILLAS PUEDEN DEJARSE EN BLANCO) PASO 2.- EN LA COLUMNA MAGNITUD DE DAÑO, MARQUE CON UNA X, LA MAGNITUD DE DAÑO QUE SUFRE UN ELEMENTO DE INFORMACIÒN, QUE USTED CONSIDERA A LAA REALIDAD DE SU ORGANIZACIÓN, COMO CONSECUENCIA DE UN IMPACTO CAUSADO POR UN ATAQUE EXITOSO. EN RELACION AL IMPACTO CONSIDERE LAS SIGUIENTES POSIBILIDADES: A.) SE PIERDE LA INFORMACION /CONOCIMIENTO B.) TERCEROS PODRIAN TENER ACCESO A LA INFORMACION / CONOCIMIENTO. C.) LA INFORMACION HA SIDO MANIPULADA O ESTA INCOMPLETA D.) LA INFORMACION / CONOCIMIENTO O PERSONA NO ESTA ESTA DISPONIBLE E.) HAY DUDAS ACERCA DE LA LEGITIMIDAD DE LA FUENTE DE LA INFORMACION. PARA VALORAR LOS ELEMENTOS DE INFORMACION, POR FAVOR CONSIDERE LA SIGUIENTE ESCALA. INSIGNIFICANTE (NINGUNO) BAJO MEDIANO ALTO NO CAUSA NINGUN TIPO DE IMPACTO O DAÑO A LA ORGANIZACIÓN (NINGUNO EN CASO QUE EL ELEMENTO SEA INEXISTENTE) CAUSA DAÑO AISLADO, QUE NO PERJUDICA A NINGUN COMPONENTE DE LA ORGANIZACIÒN PROVOCA LA DESARTICULACION DE UN COMPONENTE DE LA ORGANIZACIÓN, SI NO SE ATIENDE A TIEMPO, A LARGO PLAZO PUEDE PROVOCAR LA DESARTICULACION DE LA ORGANIZACIÓN. EN EL CORTO PLAZO DESMOVILIZA O DESARTICULA A LA ORGANIZACIÓN. 12 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 TABLA 1 DATOS E INFORMACION CLASIFICACION ELEMENTOS DE INFORMACION MAGNITUD DE DAÑO COSTO DE CONFIDENCIAL, PRIVADO, SENSITIVO DATOS E INFORMACION OBLICACION POR LEY /CONTRATO/ CONVENIO RECUPERACION (TIEMPO, ECONIMICO, MATERIAL IMAGEN ETC) INSIGNIFICANTE (NINGUNO) X DOCUMENTOS INSITUTCIONALES PROYECTOS PLANES EVACIONES INFORMES ETC. FINANZAS SERVICIOS BANCARIOS RR. HH DIRECTORIO DE CONTACTOS PRODUCTOS INSTITUCIONALES CORREO ELECTRONICO BAJO MEDIANO ALTO X X X BASES DE DATOS INTERNOS BASES DE DATOS EXTERNOS BASES DE DATOS COLABORATIVOS PAGINA WEB INTERNA (INTRANET) PAGINA WEB EXTERNA RESPALDOS INFRAESTRUCTURA PLANOS INFORMATICA BASES DE DATOS DE CONTRASEÑAS DATOS E INFORMACIONNO INSTITUCIONALES NAVEGACION EN INTERNET CHAT INTERNO CHAT EXTERNO LLAMADAS TELEFONICAS INTERNAS LLAMADAS TELEFONICAS INTERNAS X X X X X X X X X X TABLA 2 SISTEMAS E INFRAESTRUCTURA ELEMENTOS DE INFORMACION CLASIFICACION MAGNITUD DE DAÑO COSTO DE SISTEMAS E INFRAESTRUCTURA EQUIPOS DE RED CABLEADOS (ROUTER, SWITCH, ETC) EQUIPOS DE LA RED INALAMBRICA (ROUTER, PUNTO DE ACCESO, ETC) CORTAFUEGO SERVIDORES ACCESO EXCLUSIVO ACCESO ILIMITADO RECUPERACION (TIEMPO, ECONIMICO, MATERIAL IMAGEN ETC) INSIGNIFICANTE (NINGUNO) BAJO MEDIANO X X ALTO X X X X X X 13 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO COMPUTADORAS PORTATILES PROGRAMAS DE ADMINISTRACION PROGRAMAS DE MANEJO DE PROYECTOS PROGRAMAS DE PRODUCCION DE DATOS PROGRAMAS DE COMUNICACIÓN (CORREO ELECTRONICO, CHAT, LLAMADAS, ETC) IMPRESORAS MEMORIAS PORTATILES PBX (SISTEMAS TELEFONIA CONVENCIONAL) CELULARES EDIFICIOS, (OFICINAS, RECEPCION, SALA DE ESPERA, SALA DE REUNION, BODEGA, ETC) VEHICULOS FECHA :29/04/2016 X X X X X X X X X X X X TABLA 3 PERSONAL ELEMENTOS DE INFORMACION PERSONAL JUNTA DIRECTIVA DIRECCION / COORDINACION ADMINISTACION PERSONAL TECNICO RECEPCION PILOTO/ CONDUCTOR SOPORTE TECNICO INTERNO SERVICIO DE LIMPIEZA DE PLANTA SERVICIO DE LIMPIEZA EXTERNO SERVICIO DE MENSAJERIA PROPIO SERVICIO DE MENSAJERIA EXTERNO CLASIFICACION IMAGEN PUBLICA DE ALTO PERFIL INDISPENSABLE PARA FUNCIONAMIENTO INSTITUCIONAL PERFIL MEDIO EXPERTO EN SU AREA PERFIL BAJO NO INDISPENSABLE PARA FUNCIONAMIENTO DE LA INSTITUCION. MAGNITUD DE DAÑO BAJO INSIGNIFICANTE (NINGUNO) X X MEDIANO X X X X X X X X 14 ALTO CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 VALORACIÒN DE PROBABILIDAD DE AMENZAS INSTRUCCIONES: A CONTINUACION SE PRESENTA 3 TABLAS QUE PERMITEN VALORAR LA PROBABILIDAD DE AMENZA QUE PODRIAN CAUSAR PERJUICIO DE DISPONIBILIDAD, CONFIDENCIALIDAD, INTEGRIDAD, Y AUTENTICIDAD DE LA INFORMACION O DE LOS DATOS INSTITUCIONALES. PARA ELLO UTLICE LAS DIVISIONES DE LA COLUMNA PROBABILIDAD DE AMENAZA, MARCANDO CON UNA “X” LA OPCIÒN QUE USTED CONSIDERE APLICABLE A SU ORGANIZACIÒN. PARA DETERMINAR LA PROBABILIDAD DE AMENAZA, APOYESE EN LAS SIGUIENTES CONSIDERACIONES: ¿ CUAL ES EL INTERES O LA ATRACCIÒN POR PARTE DE INDIVIDUOS EXTERNOS, DE ATACARNOS? CUALES SON LAS VULNERABILIDADES? CUANTAS VECES YA HAN TRATADO DE ATACARNOS? INSIGNIFICANTE (NINGUNO) BAJO MEDIANO ALTO NO EXISTEN CONDICIONES QUE IMPLIQUEN RIESGO / ATAQUE EXISTEN CONDICIONES QUE HACEN MUY LEJANA LA POSIBILIDAD DEL ATAQUE EXISTEN CONDICIONES QUE HACEN POCO PROBABLE UN ATAQUE EN EL CORTO PLAZO PERO QUE NO SON SUFICIONTES PARA EVITARLO EN EL LARGO PLAZO. LA REALIZACION DEL ATAQUE ES INMINENTE. NO EXISTE CONDICIONES INTERNAS Y EXTERNAS QUE IMPIDAN EL DESARROLLO DEL ATAQUE. TABLA 1: ACTOS ORIGINADOS POR LA CRIMINALIDAD COMUN Y MOTIVACIÒN POLITICA TIPO DE AMENAZA ACTOS ORIGINADOS POR LA CRIMINALIDAD COMUN Y MOTIVACIÒN POLITICA ALLANAMIENTO (ILEGAL LEGAL) PERSECUCIÒN (CIVIL, FISCAL, PENAL) ORDEN DE SECUESTRO / DETENCION SABOTAJE (ATAQUE FISICO Y ELECTRONICO) DAÑOS POR VANDALISMO EXTORSIÒN FRAUDE / ESTAFA ROBO / HURTO (FISICO) ROBO / HURTO DE INFORMACION ELECTRONICA INTRUSIÒN A RED INTERNA INFILTRACIÒN VIRUS / EJECUCIÒN NO AUTORIZADO DE PROGRAMAS VIOLACION DE DERECHOS DE AUTOR PROBABILIDAD DE AMENAZA INSIGNIFICANTE NINGUNA BAJA MEDIANA ALTA X X X X X X X X X X X X 15 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 TABLA 2 SUCESOS DE ORIGEN FISICO TIPO DE AMENAZA PROBABILIDAD DE AMENAZA SUCESOS DE ORIGEN FISICO INCENDIO INUNDACION / DESLAVE SISMO DAÑOS DEBIDO AL POLVO FALTA DE VENTILACION ELECTROMAGNETISMO SOBRE CARGA ELECTRICA FALLA DE CORRIENTE (APAGONES) FALLA DE SISTEMA / DAÑO DISCO DURO INSIGNIFICANTE NINGUNA BAJA MEDIANA ALTA X X X X X X X X X TABLA 3 SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS Y DECISIONES INSTITUCIONALES. TIPO DE AMENAZA PROBABILIDAD DE AMENAZA SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS Y DECISIONES INSTITUCIONALES FALTA DE INDUCCION, CAPACITACION, Y SENSIBILIDAD SOBRE RIESGOS MAL MANEJO DE SISTEMAS Y HERRAMIENTAS UTILIZACION DE PROGRAMAS NO AUTORIZADOS Y SOFTWARE PIRATAS FALTA DE PRUEBAS DE SOFTWARE NUEVO CON DATOS PRODUCTIVOS (EJ. INSTALACION DE NUEVOS PROGRAMAS SIN RESPALDAR LOS DATOS ANTERIORMENTE) PERDIDAD DE DATOS INFECCION DE SISTEMAS A TRAVEZ DE UNIDADES PORTABLES SIN ESCANEO MANEJO INADECUADO DE DATOS CRITICOS UNIDADES PORTABLES CON INFORMACION SIN CIFRADO TRANSMISION NO CIFRADA DE DATOS CRITICOS MANEJO INADECUADO DE CONTRASEÑAS (INSEGURAS, NO CAMBIAR, COMPARTIDAS ETC) COMPARTIR CONTRASEÑAS A TERCEROS NO AUTORIZADOS TRANSMISION DE CONTRASEÑAS POR TELEFONO EXPOSICION O EXTTRAVIO DE EQUIPOS, UNIDADES POR ALMACENAMENTO SOBREPASAR AUTORIDADES FALTA DE DEFINICION DE PERFIL , PRIVILEGIOS Y RESTRICCIONES DEL PERSONAL FALTA DE MANTENIMIENTO FISICO (PROCESO, REPUESTO E INSUMOS) FALTA DE ACTUALIZACION DE SOFTWARE FALLAS EN PERMISOS DE USUARIOS ACCESO ELECTRONICO NO AUTORIZADO A SISTEMAS EXTERNOS INSIGNIFICANTE NINGUNA BAJA MEDIANA ALTA X X X X X º X X X X X X X X X X X X X X 16 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO ACCESOS ELECTRONICO NO AUTORIZADO A SISTEMAS INTERNOS RED CABLEADA EXPUESTA PARA EL ACCESO NO AUTORIZADO RED INALAMBRICA EXPUESTA AL ACCESO NO AUTORIZADO DEPENDENCIA A SERVICIO TECNICO EXTERNO FALTA DE NORMAS Y REGLAS CLARAS (NO INSTITUCIONALIZAR EL ESTUDIO DE LOS RIESGOS FALTA DE MECANISMOS DE VERIFICACION DE NORMAS Y REGLAS /ANALISIS INADECUADO DE DATOS DE CONTROL AUSENCIA DE DOCUMENTACION FECHA :29/04/2016 X X X X X X X 17 Datos e Información Bases de datos internos Respaldos Datos e información no institucionales Navegación en Internet Llamadas telefónicas internas Documentos institucionales (Proyectos, Planes, Evaluaciones, Informes, etc.) Página Web externa Costo de recuperación (tiempo, económico, material, imagen, emocional) Obligación por ley / Contrato / Convenio Confidencial, Privado, Sensitivo x Incendio Inundación / deslave Sismo Polvo Falta de ventilación Electromagnetismo Sobrecarga eléctrica Falla de corriente (apagones) Falla de sistema / Daño disco duro Falta de inducción, capacitación y sensibilización sobre riesgos Mal manejo de sistemas y herramientas Utilización de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infección de sistemas a través de unidades portables sin escaneo Manejo inadecuado de datos críticos (codificar, borrar, etc.) Unidades portables con información sin cifrado Transmisión no cifrada de datos críticos Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD Compartir contraseñas o permisos a terceros no autorizados Transmisión de contraseñas por teléfono Exposición o extravío de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definición de perfil, privilegios y restricciones del personal Falta de mantenimiento físico (proceso, repuestos e insumos) Falta de actualización de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrónico no autorizado a sistemas externos Acceso electrónico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalámbrica expuesta al acceso no autorizado Dependencia a servicio técnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de datos de Ausencia de documentación x Violación a derechos de autor x Virus / Ejecución no autorizado de programas Página Web interna (Intranet) Infiltración Bases de datos colaborativos Intrusión a Red interna Bases de datos externos Robo / Hurto de información electrónica x Robo / Hurto (físico) Correo electrónico Fraude / Estafa Productos institucionales (Investigaciones, Folletos, Fotos, etc.) Extorsión Directorio de Contactos Daños por vandalismo RR.HH Sabotaje (ataque físico y electrónico) Servicios bancarios Orden de secuestro / Detención Finanzas Persecución (civil, fiscal, penal) x Magnitud de Daño: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Allanamiento (ilegal, legal) Matriz_Analisis_Riesgo lleno 1_Datos Matriz de Análisis de Riesgo Clasificación Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta] Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales 1 1 1 3 1 2 1 1 3 2 2 3 2 2 2 1 2 2 2 3 3 2 2 2 2 2 3 2 3 3 3 3 3 2 2 2 2 2 3 2 2 2 2 2 3 2 2 3 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 4 4 4 4 12 4 8 4 4 12 8 8 12 8 8 8 4 8 8 8 12 12 8 8 8 8 8 12 8 12 12 12 12 12 8 8 8 8 8 12 8 8 8 8 8 12 8 8 12 4 4 4 4 12 4 8 4 4 12 8 8 12 8 8 8 4 8 8 8 12 12 8 8 8 8 8 12 8 12 12 12 12 12 8 8 8 8 8 12 8 8 8 8 8 12 8 8 12 3 3 3 3 9 3 6 3 3 9 6 6 9 6 6 6 3 6 6 6 9 9 6 6 6 6 6 9 6 9 9 9 9 9 6 6 6 6 6 9 6 6 6 6 6 9 6 6 9 Infraestructura (Planes, Documentación, etc.) 3 3 3 3 9 3 6 3 3 9 6 6 9 6 6 6 3 6 6 6 9 9 6 6 6 6 6 9 6 9 9 9 9 9 6 6 6 6 6 9 6 6 6 6 6 9 6 6 9 Informática (Planes, Documentación, etc.) Base de datos de Contraseñas Chat interno Chat externo 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 x 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 x 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 Llamadas telefónicas externas Page 1 Allanamiento (ilegal, legal) Persecución (civil, fiscal, penal) Orden de secuestro / Detención Sabotaje (ataque físico y electrónico) Daños por vandalismo Extorsión Fraude / Estafa Robo / Hurto (físico) Robo / Hurto de información electrónica Intrusión a Red interna Infiltración Virus / Ejecución no autorizado de programas Violación a derechos de autor Incendio Inundación / deslave Sismo Polvo Falta de ventilación Electromagnetismo Falla de corriente (apagones) Falla de sistema / Daño disco duro Falta de inducción, capacitación y sensibilización sobre riesgos Mal manejo de sistemas y herramientas Utilización de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infección de sistemas a través de unidades portables sin escaneo Compartir contraseñas o permisos a terceros no autorizados Transmisión de contraseñas por teléfono Exposición o extravío de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definición de perfil, privilegios y restricciones del personal Falta de mantenimiento físico (proceso, repuestos e insumos) Falta de actualización de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrónico no autorizado a sistemas externos Acceso electrónico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalámbrica expuesta al acceso no autorizado Dependencia a servicio técnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de datos de 1 1 1 3 1 2 1 1 3 2 2 3 2 2 2 1 2 2 2 3 3 2 2 2 2 2 3 2 3 3 3 3 3 2 2 2 2 2 3 2 2 2 2 2 3 2 2 3 Equipos de la red cableada (router, switch, etc.) x 4 4 4 4 12 4 8 4 4 12 8 8 12 8 8 8 4 8 8 8 12 12 8 8 8 8 8 12 8 12 12 12 12 12 8 8 8 8 8 12 8 8 8 8 8 12 8 8 12 Equipos de la red inalámbrica (router, punto de acceso, etc.) x 3 3 3 3 9 3 6 3 3 9 6 6 9 6 6 6 3 6 6 6 9 9 6 6 6 6 6 9 6 9 9 9 9 9 6 6 6 6 6 9 6 6 6 6 6 9 6 6 9 Cortafuego x 4 4 4 4 12 4 8 4 4 12 8 8 12 8 8 8 4 8 8 8 12 12 8 8 8 8 8 12 8 12 12 12 12 12 8 8 8 8 8 12 8 8 8 8 8 12 8 8 12 Servidores x Programas de administración (contabilidad, manejo de personal, etc.) Sistemas e Infraestructura Costo de recuperación (tiempo, económico, material, imagen, emocional) Acceso ilimitado Acceso exclusivo 4 4 4 4 12 4 8 4 4 12 8 8 12 8 8 8 4 8 8 8 12 12 8 8 8 8 8 12 8 12 12 12 12 12 8 8 8 8 8 12 8 8 8 8 8 12 8 8 12 Computadoras x 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 Portátiles x 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 3 3 3 3 9 3 6 3 3 9 6 6 9 6 6 6 3 6 6 6 9 9 6 6 6 6 6 9 6 9 9 9 9 9 6 6 6 6 6 9 6 6 6 6 6 9 6 6 9 x Magnitud de Daño: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Celulares Edificio (Oficinas, Recepción, Sala de espera, Sala de reunión, Bodega, etc.) Vehículos Page 1 Ausencia de documentación Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD Sucesos de origen físico Transmisión no cifrada de datos críticos Actos originados por la criminalidad común y motivación política Unidades portables con información sin cifrado Clasificación Manejo inadecuado de datos críticos (codificar, borrar, etc.) Matriz de Análisis de Riesgo Sobrecarga eléctrica Matriz_Analisis_Riesgo lleno 2_Sistemas Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta] Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales Programas de manejo de proyectos Programas de producción de datos Programas de comunicación (correo electrónico, chat, llamadas telefónicas, etc.) Impresoras x 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 Memorias portátiles x 1 1 1 1 3 1 2 1 1 3 2 2 3 2 2 2 1 2 2 2 3 3 2 2 2 2 2 3 2 3 3 3 3 3 2 2 2 2 2 3 2 2 2 2 2 3 2 2 3 PBX (Sistema de telefonía convencional) x 1 1 1 1 3 1 2 1 1 3 2 2 3 2 2 2 1 2 2 2 3 3 2 2 2 2 2 3 2 3 3 3 3 3 2 2 2 2 2 3 2 2 2 2 2 3 2 2 3 Allanamiento (ilegal, legal) Persecución (civil, fiscal, penal) Orden de secuestro / Detención Sabotaje (ataque físico y electrónico) Daños por vandalismo Extorsión Fraude / Estafa Robo / Hurto (físico) Robo / Hurto de información electrónica Intrusión a Red interna Infiltración Virus / Ejecución no autorizado de programas Violación a derechos de autor Incendio Inundación / deslave Sismo Polvo Falta de ventilación Electromagnetismo Sobrecarga eléctrica Falla de corriente (apagones) Falla de sistema / Daño disco duro Falta de inducción, capacitación y sensibilización sobre riesgos Mal manejo de sistemas y herramientas Utilización de programas no autorizados / software 'pirateado' Falta de pruebas de software nuevo con datos productivos Perdida de datos Infección de sistemas a través de unidades portables sin escaneo Manejo inadecuado de datos críticos (codificar, borrar, etc.) Unidades portables con información sin cifrado Transmisión no cifrada de datos críticos Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD Compartir contraseñas o permisos a terceros no autorizados Transmisión de contraseñas por teléfono Exposición o extravío de equipo, unidades de almacenamiento, etc Sobrepasar autoridades Falta de definición de perfil, privilegios y restricciones del personal Falta de mantenimiento físico (proceso, repuestos e insumos) Falta de actualización de software (proceso y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrónico no autorizado a sistemas externos Acceso electrónico no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalámbrica expuesta al acceso no autorizado Dependencia a servicio técnico externo Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos) Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de datos de Ausencia de documentación Personal 1 1 1 3 1 2 1 1 3 2 2 3 2 2 2 1 2 2 2 3 3 2 2 2 2 2 3 2 3 3 3 3 3 2 2 2 2 2 3 2 2 2 2 2 3 2 2 3 Junta Directiva x 3 3 3 3 9 3 6 3 3 9 6 6 9 6 6 6 3 6 6 6 9 9 6 6 6 6 6 9 6 9 9 9 9 9 6 6 6 6 6 9 6 6 6 6 6 9 6 6 9 Dirección / Coordinación x 3 3 3 3 9 3 6 3 3 9 6 6 9 6 6 6 3 6 6 6 9 9 6 6 6 6 6 9 6 9 9 9 9 9 6 6 6 6 6 9 6 6 6 6 6 9 6 6 9 Informática / Soporte técnico interno Perfil bajo, no indispensable para funcionamiento institucional Perfil medio, experto en su área Imagen pública de alto perfil, indispensable para funcionamiento institucional Matriz_Analisis_Riesgo lleno 3_Personal Matriz de Análisis de Riesgo Clasificación Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta] Actos originados por la criminalidad común y motivación política Magnitud de Daño: [1 = Insignificante 2 = Bajo 3 = Mediano 4 = Alto] Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales Administración x 3 3 3 3 9 3 6 3 3 9 6 6 9 6 6 6 3 6 6 6 9 9 6 6 6 6 6 9 6 9 9 9 9 9 6 6 6 6 6 9 6 6 6 6 6 9 6 6 9 Personal técnico Recepción x 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 Piloto / conductor x 2 2 2 2 6 2 4 2 2 6 4 4 6 4 4 4 2 4 4 4 6 6 4 4 4 4 4 6 4 6 6 6 6 6 4 4 4 4 4 6 4 4 4 4 4 6 4 4 6 Soporte técnico externo Servicio de limpieza de planta Servicio de limpieza externo Servicio de mensajería de propio Servicio de mensajería de externo Page 1 Fuente Valoración Escala Ninguna Baja Mediana Alta 1 2 3 4 Valor_min Valor_max 1 4 8 12 Lineas 3 6 9 16 x 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.8 1.8 1.9 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 3.0 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 Page 1 Umbral Medio Riesgo 7 y 7.0 6.4 5.8 5.4 5.0 4.7 4.4 4.0 3.9 3.7 3.5 3.3 3.2 3.0 2.9 2.8 2.7 2.6 2.5 2.4 2.3 2.3 2.2 2.1 2.1 2.0 1.9 1.9 1.8 1.8 Umbral Alto Riesgo 10.5 y 10.5 9.5 8.8 8.1 7.5 7.0 6.6 6.0 5.8 5.5 5.3 5.0 4.8 4.6 4.4 4.2 4.0 3.9 3.8 3.6 3.5 3.4 3.3 3.2 3.1 3.0 2.9 2.8 2.8 2.7 Fuente 4.0 Page 2 1.8 2.6 Matriz_Analisis_Riesgo lleno Analisis_Factores Etiqueta Criminalidad y Político / Datos e Información Sucesos de origen físico / Datos e Información Sucesos de origen físico / Sistemas e Infraestructura Sucesos de origen físico / Personal Negligencia y Institucional / Datos e Información Negligencia y Institucional / Sistemas e Infraestructura Negligencia y Institucional / Personal X 1.769230769 Criminalidad y Político / Criminalidad y Político / Sistemas e Personal Infraestructura 1.769230769 1.769230769 2.111111111 2.111111111 2.111111111 2.346153846 2.346153846 2.346153846 Y 2.75 2.6 2.6 2.75 2.6 2.6 2.75 2.6 2.6 Análisis de Factores de Riesgo Criminalidad y Político / Datos e Información Criminalidad y Político / Sistemas e Infraestructura Magnitud de Daño Criminalidad y Político / Personal Sucesos de origen físico / Datos e Información Sucesos de origen físico / Sistemas e Infraestructura Sucesos de origen físico / Personal Negligencia y Institucional / Datos e Información Negligencia y Institucional / Sistemas e Infraestructura Negligencia y Institucional / Personal Umbral Medio Riesgo Umbral Alto Riesgo Probalidad de Amenaza Página 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.12 MAC ADRESS 00:1A:6B:5D:47:0C HOST NAME KOLIVERA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 7 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS 5357/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) 995 FILTERED PORTS NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR. 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.16 MAC ADRESS 00: 1a: 6b: 5d: 52: fc HOST NAME ESTELA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 7 SP0 - SP1, WINDOWS SERVER 2008 SP1, WINDOWS 8, OR WINDOWS 8.1 UPDATE 1 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS (PRIMARY DOMAIN: ADMINISTRACION) 554/TCP OPEN RTSP? 2869/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) 5357/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) |_HTTP-SERVER-HEADER: MICROSOFT-HTTPAPI/2.0 |_HTTP-TITLE: SERVICE UNAVAILABLE 10243/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) |_HTTP-SERVER-HEADER: MICROSOFT-HTTPAPI/2.0 |_HTTP-TITLE: NOT FOUND 49152/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49153/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49154/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49155/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49158/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49159/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR MEDIO EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD DE ELEVACIÓN DE PRIVILEGIOS EN EL ADMINISTRADOR DE CUENTAS DE SEGURIDAD (SAM) Y LA AUTORIDAD DE SEGURIDAD LOCAL (DIRECTIVA DE DOMINIO) (LSAD) PROTOCOLOS POR ACUMULACIÓN INDEBIDA DE NEGOCIACIÓN NIVEL DE AUTENTICACIÓN A TRAVÉS DE CANALES DE LLAMADA A PROCEDIMIENTO REMOTO (RPC). UN HOMBRE-ENEL-MEDIO ATACANTE PUEDE INTERCEPTAR LAS COMUNICACIONES ENTRE UN CLIENTE Y UN SERVIDOR QUE ALOJA UNA BASE DE DATOS SAM PUEDE APROVECHAR ESTO PARA FORZAR EL NIVEL DE AUTENTICACIÓN DE REBAJAR, PERMITIENDO AL ATACANTE HACERSE PASAR POR UN USUARIO AUTENTICADO Y ACCEDER A LA BASE DE DATOS SAM EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD DE ELEVACIÓN DE PRIVILEGIOS 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.17 MAC ADRESS 60: 02: 92: b5: 7f: 15 HOST NAME NOMINA-PC SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 2008 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS 1801/TCP OPEN MSMQ? 2103/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 2105/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 2107/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 9080/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) |_HTTP-SERVER-HEADER: MICROSOFT-HTTPAPI/2.0 |_HTTP-TITLE: NOT FOUND 9081/TCP OPEN UNKNOWN 49152/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49153/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49154/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49158/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49159/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49160/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49161/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.19 MAC ADRESS 00:1A:6B:5D:48:06 HOST NAME _________________ SISTEMA OPERATIVO _________________ PUERTOS CLOSED ALL 1000 SCANNED PORTS ON 10.0.6.19 ARE FILTERED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.20 MAC ADRESS 00:1A:6B:5D:46:7A HOST NAME DELTORO SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS XP SP3 1 CLOSED PORT 135/TCP OPEN 139/TCP OPEN 445/TCP OPEN 1029/TCP OPEN 1801/TCP OPEN 2103/TCP OPEN 2105/TCP OPEN 2107/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS MSRPC MICROSOFT WINDOWS RPC MSMQ? MSRPC MICROSOFT WINDOWS RPC MSRPC MICROSOFT WINDOWS RPC MSRPC MICROSOFT WINDOWS RPC NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE. EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES ALTO PARA RESTRINGIR EL ACCESO EN WINDOWS, ABRA EL EXPLORADOR, HAGA UN CLIC DERECHO SOBRE CADA ACCIÓN, VAYA A LA PESTAÑA "COMPARTIR", Y HAGA CLIC EN 'PERMISOS EL CONTROL REMOTO TIENE UNO O MÁS RECURSOS COMPARTIDOS DE WINDOWS QUE SE PUEDE ACCEDER A TRAVÉS DE LA RED CON LAS CREDENCIALES DADAS. EN FUNCIÓN DE LOS DERECHOS DE ASIGNACIÓN, QUE PUEDE PERMITIR A UN ATACANTE LEER / ESCRIBIR DATOS CONFIDENCIALES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.100 MAC ADRESS 00:1C:10:36:A6:4C HOST NAME CISCO-LINKSYS SISTEMA OPERATIVO _______________ PUERTOS CLOSED _______________ ALL 1000 SCANNED PORTS ON 10.0.6.100 ARE FILTERED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.200 MAC ADRESS C8:D7:19:E7:A4:57 HOST NAME CISCO-LINKSYS SISTEMA OPERATIVO _______________ PUERTOS CLOSED _______________ ALL 1000 SCANNED PORTS ON 10.0.6.200 ARE FILTERED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP MAC ADRESS 10.0.6.250 00: 22: CA: 00: FA: 76 HOST NAME SISTEMA OPERATIVO _______________ PUERTOS CLOSED _______________ PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS IP FOR 10.0.7.3 MAC ADRESS MAC ADDRESS: 00:1A:6B:5D:46:69 HOST NAME EDELATORRE SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES ALL 1000 SCANNED PORTS ON 10.0.7.3 ARE FILTERED NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS IP FOR 10.0.7.4 MAC ADRESS 00: 1A: 6B: 5D: 52: A4 HOST NAME ___________________ SISTEMA OPERATIVO ___________________ PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES ALL 1000 SCANNED PORTS ON 10.0.7.4 ARE FILTERED NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS IP FOR 10.0.7.5 MAC ADRESS 00:25:11:A5:A1:EE HOST NAME MIGUEL SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS WINDOWS SERVER 2008 R2, MICROSOFT WINDOWS EMBEDDED STANDARD 7, MICROSOFT WINDOWS PHONE 7.5 OR 8.0, MICROSOFT WINDOWS VISTA SP0 OR SP1, WINDOWS SERVER 2008 SP1, OR WINDOWS 7, MICROSOFT WINDOWS VISTA SP2, WINDOWS 7 SP1, OR WINDOWS SERVER 2008 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS MAC ADDRESS: 00:25:11:A5:A1:EE (ELITEGROUP COMPUTER SYSTEM) 997 FILTERED PORTS NULO 0 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS IP 10.0.7.6 MAC ADRESS 00:1A:6B:5D:47:07 HOST NAME TCASTILLO SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 7 989 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS 1688/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49152/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49153/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49154/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49155/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49156/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49158/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49160/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. MEDIO MICROSOFT HA PUBLICADO UN CONJUNTO DE PARCHES PARA WINDOWS VISTA, 2008, 7, 2008 R2, 2012, 8.1, 8.1 RT 2012 R2, Y 10 EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD DE ELEVACIÓN DE PRIVILEGIOS EN EL ADMINISTRADOR DE CUENTAS DE SEGURIDAD (SAM) Y LA AUTORIDAD DE SEGURIDAD LOCAL (DIRECTIVA DE DOMINIO) (LSAD) PROTOCOLOS POR ACUMULACIÓN INDEBIDA DE NEGOCIACIÓN NIVEL DE AUTENTICACIÓN A TRAVÉS DE CANALES DE LLAMADA A PROCEDIMIENTO REMOTO (RPC).UN HOMBRE-EN-EL-MEDIO ATACANTE PUEDE INTERCEPTAR LAS COMUNICACIONES ENTRE UN CLIENTE Y UN SERVIDOR QUE ALOJA UNA BASE DE DATOS SAM PUEDE APROVECHAR ESTO PARA FORZAR EL NIVEL DE AUTENTICACIÓN DE REBAJAR, PERMITIENDO AL ATACANTE HACERSE PASAR POR UN USUARIO AUTENTICADO Y ACCEDER A LA BASE DE DATOS SAM 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS IP 10.0.7.7 MAC ADRESS 00:1A:6B:5D:45:7B HOST NAME LPRESUEL SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 7 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS MAC ADDRESS: 00:1A:6B:5D:45:7B (UNIVERSAL GLOBAL SCIENTIFIC INDUSTRIAL) 997 FILTERED PORTS NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS IP 10.0.7.8 MAC ADRESS 00:25:11:AE:88:FB HOST NAME LCONTRERAS SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 7|2008|8.1 989 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10 MICROSOFT-DS 8093/TCP OPEN HTTP INDY HTTPD 9.00.10 |_HTTP-FAVICON: UNKNOWN FAVICON MD5: D827A8524C3BFEBFF676AF02C8A9797D |_HTTP-GENERATOR: REMOBJECTS SDK FOR .NET {1} | HTTP-METHODS: |_ SUPPORTED METHODS: GET HEAD POST |_HTTP-SERVER-HEADER: INDY/9.00.10 |_HTTP-TITLE: GREGHSRWLIB - REMOBJECTS SDK FOR .NET V1.0.2001.0 49152/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49153/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49154/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49155/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49158/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49159/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49160/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS DESCRIPCIÓN LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.7.X HALLAZGOS ENCONTRADOS IP 10.0.7.10 MAC ADRESS 6C: F0: 49: E0: F9: 9E HOST NAME FVILLANUEVA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 7 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS 997 FILTERED PORTS NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN EXPLOTABLE MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA METASPLOIT (VERDADERO) 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS IP 192.168.7.1 MAC ADRESS C8:D7:19:E7:A5:4B HOST NAME CISCO-LINKSYS SISTEMA OPERATIVO ________________ PUERTOS CLOSED 999 CLOSED PORTS 80/TCP OPEN HTTP PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN ALTO CONECTAR A ESTE PUERTO CON UN NAVEGADOR WEB, Y HACER CLIC EN "CONTRASEÑA" SECCIÓN PARA CONFIGURAR UNA CONTRASEÑA SEGURA EL DISPOSITIVO LINKSYS REMOTO TIENE SU CONTRASEÑA POR DEFECTO ( "ADMIN") SET. UN ATACANTE PUEDE CONECTARSE A ÉL Y VOLVER A CONFIGURAR UTILIZANDO ESTA CUENTA 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS IP MAC ADRESS 192.168.7.115 18:3A:2D:D2:29:CA HOST NAME SISTEMA OPERATIVO ________________ ________________ PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS ALL 1000 SCANNED PORTS ON 192.168.7.115 ARE CLOSED NULO 0 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS IP MAC ADRESS HOST NAME SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS 192.168.7.126 58:55:CA:1C:64:EA APPLE 995 CLOSED PORTS 3689/TCP OPEN RENDEZVOUS 5000/TCP OPEN UPNP 7000/TCP OPEN AFS3-FILESERVER 7100/TCP OPEN FONT-SERVICE 62078/TCP OPEN IPHONE-SYNC NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN CRITICO ASCIENDE A APPLE TV 7.2 O POSTERIOR. TENGA EN CUENTA QUE ESTA ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y LOS MODELOS POSTERIORES DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL TELEVISOR APPLE ES UNA VERSIÓN ANTERIOR A LA 7.2. ESTÁ, POR LO TANTO, AFECTADA POR LAS SIGUIENTES VULNERABILIDADES: -. EXISTEN MÚLTIPLES VULNERABILIDADES DE CORRUPCIÓN DE MEMORIA EN WEBKIT, DEBIDO A LA ENTRADA PROPORCIONADA POR EL USUARIO INCORRECTAMENTE VALIDADO . UN ATACANTE REMOTO, USANDO UN SITIO WEB ESPECIALMENTE DISEÑADO, SE PUEDE EXPLOTAR ESTOS PARA EJECUTAR CÓDIGO ARBITRARIO (CVE-2015 -1068, CVE-2015-1069, CVE-2015-1070, CVE-2015-1071, CVE-2015-1072, CVE-2015-1073, CVE-2015-1074, CVE-2015-1076, CVE-2015-1077 , CVE2015-1078, CVE-2015-1079, CVE-2015-1080, CVE-2015-1081, CVE-20151082, CVE-2015-1083, CVE-2015-1119, CVE-2015-1120, CVE -2015-1121, CVE-2015-1122, CVE-2015-1123, CVE-2015-1124) - EXISTE UN ERROR EN LA IOKIT OBJETOS DEBIDO A UNA VALIDACIÓN INCORRECTA DE LOS METADATOS UTILIZADO POR UN CONTROLADOR DE AUDIO, QUE PERMITE LA EJECUCIÓN DE CÓDIGO ARBITRARIO. (CVE-2015-1086) - EXISTE UNA ENTIDAD EXTERNA XML (XXE) VULNERABILIDAD DE INYECCIÓN EN EL NSXMLPARSER DEBIDO A UN MANEJO INADECUADO DE LOS ARCHIVOS XML, QUE PERMITE LA DIVULGACIÓN DE INFORMACIÓN. (CVE-2015-1092) - EXISTE UN ERROR EN LA IOACCELERATORFAMILY QUE PERMITE EL DISEÑO DE MEMORIA DEL KERNEL PARA SER REVELADA. (CVE-2015-1094) - EXISTE UNA VULNERABILIDAD DE CORRUPCIÓN DE MEMORIA EN LA API IOHIDFAMILY QUE PERMITE LA EJECUCIÓN DE CÓDIGO ARBITRARIO. (CVE-2015-1095) - EXISTE UN ERROR EN LA IOHIDFAMILY DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA , LO QUE PERMITE EL DISEÑO DE MEMORIA DEL KERNEL PARA SER REVELADA. (CVE2015-1096) - EXISTE UN ERROR EN LA MOBILEFRAMEBUFFER DEBIDO A LA 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN COMPROBACIÓN DE LÍMITES INCORRECTA, LO QUE PERMITE EL DISEÑO DE MEMORIA DEL KERNEL PARA SER REVELADA. (CVE-2015-1097) - UNA VULNERABILIDAD DE DENEGACIÓN DE SERVICIO EN LA LLAMADA AL SISTEMA SETREUID () DEBIDO A UNA CONDICIÓN DE CARRERA. (CVE-2015-1099) EXISTE UN ERROR DE MEMORIA FUERA DE LOS LÍMITES EN EL NÚCLEO QUE PERMITE UNA ATAQUE DE DENEGACIÓN DE SERVICIO O DE LA DIVULGACIÓN DE LA INFORMACIÓN. (CVE-2015-1100) - EXISTE UNA VULNERABILIDAD DE CORRUPCIÓN DE MEMORIA EN EL NÚCLEO QUE PERMITE LA EJECUCIÓN DE CÓDIGO ARBITRARIO. (CVE-2015-1101) - UNA VULNERABILIDAD DE DENEGACIÓN DE SERVICIO EXISTE DEBIDO A UNA INCONSISTENCIA ESTADO EN EL PROCESAMIENTO DE CABECERAS TCP, QUE SÓLO PUEDE SER EXPLOTADA DE UNA RED ADYACENTE. (CVE-2015-1102) - EXISTE UNA VULNERABILIDAD QUE PERMITE A UNA MAN-IN-THE-MIDDLE ATACANTE REDIRIGIR EL TRÁFICO A TRAVÉS DE LAS REDIRECCIONES ICMP. (CVE-2015-1103) - UNA VULNERABILIDAD DE SEGURIDAD DE BYPASS EXISTE DEBIDO AL SISTEMA DE TRATAMIENTO DE PAQUETES IPV6 REMOTAS COMO LOS PAQUETES LOCALES, LO QUE PERMITE A UN ATACANTE ELUDIR LOS FILTROS DE RED. ( CVE-20151104) - UNA VULNERABILIDAD DE DENEGACIÓN DE SERVICIO EXISTE DEBIDO AL PROCESAMIENTO INCORRECTO DE LOS DATOS TCP FUERA DE LA BANDA, LO QUE PERMITE UNA DENEGACIÓN DE SERVICIO POR UN ATACANTE REMOTO. (CVE-2015-1105) - EXISTE UNA VULNERABILIDAD DE DIVULGACIÓN DE INFORMACIÓN DEBIDO A IDENTIFICADORES ÚNICOS QUE SE ENVÍA A LOS SERVIDORES REMOTOS CUANDO LA DESCARGA DE LOS ACTIVOS DE UN PODCAST. (CVE-2015-1110) - EXISTE UNA VULNERABILIDAD DE DIVULGACIÓN DE INFORMACIÓN EN EL ENTORNO LIMITADO DE APLICACIONES DE TERCEROS QUE PERMITE A LOS IDENTIFICADORES DE HARDWARE SEAN ACCESIBLES POR OTRAS APLICACIONES. (CVE-2015-1114) - EXISTE UNA VULNERABILIDAD DE ELEVACIÓN DE PRIVILEGIOS EN EL SETREUID () Y SISTEMA DE SETREGID () LLAMA DEBIDO A UN FALLO DE REDUCIR LOS PRIVILEGIOS DE FORMA PERMANENTE. (CVE-2015-1117)- UNA VULNERABILIDAD DE CORRUPCIÓN DE MEMORIA DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA EN EL TRATAMIENTO DE PERFILES DE CONFIGURACIÓN, LO QUE PERMITE UN ATAQUE DE DENEGACIÓN DE SERVICIO. (CVE-2015-1118 CRITICO ASCIENDE A APPLE TV VERSIÓN 7.2.1 O POSTERIOR. TENGA EN CUENTA QUE ESTA ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LOS MODELOS DE 3ª GENERACIÓN DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL TELEVISOR DE APPLE ES UNA VERSIÓN ANTERIOR A 7.2.1. ESTÁ, POR LO TANTO, AFECTADA POR MÚLTIPLES VULNERABILIDADES EN LOS SIGUIENTES COMPONENTES: - BOOTP - CFPREFERENCES - CLOUDKIT - FIRMA DE CÓDIGO - COREMEDIA REPRODUCCIÓN - CORETEXT - DISKIMAGES FONTPARSER - IMAGEIO - IOHIDFAMILY - IOKIT - KERNEL - LIBC - LIBINFO LIBPTHREAD - LIBXML2 - LIBXPC - LIBXSLT - MARCO UBICACIÓN - VISOR DE OFICINA - OFICINA QL - SANDBOX_PROFILES - WEBKIT CRITICO ASCIENDE A APPLE TV 7.1 O POSTERIOR. TENGA EN CUENTA QUE ESTA ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y LOS MODELOS POSTERIORES 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL TELEVISOR APPLE ES UNA VERSIÓN ANTERIOR A LA 7.1. ESTÁ, POR LO TANTO, AFECTADA POR LAS SIGUIENTES VULNERABILIDADES: - UN ERROR DE TIPO CREE CONFUSIÓN EN RELACIÓN CON 'IOSURFACE' Y LA MANIPULACIÓN DE OBJETOS EN SERIE, QUE PERMITEN LA EJECUCIÓN DE CÓDIGO ARBITRARIO. (CVE-2015-1061) EXISTE UN ERROR EN 'MOBILESTORAGEMOUNTER' RELACIONADA CON LA LÓGICA DE MONTAJE DEL DISCO DESARROLLADOR Y CARPETAS DE IMÁGENES DE DISCO NO VÁLIDOS QUE PERMITE QUE UNA APLICACIÓN MALICIOSA PARA CREAR CARPETAS EN LAS UBICACIONES DE CONFIANZA. (CVE-2015-1062) - UNA VULNERABILIDAD DE BYPASS DE SEGURIDAD, CONOCIDO COMO FREAK (ATAQUE CONTRA RSA-EXPORTAR CLAVES FACTORING), EXISTE GRACIAS AL APOYO DE LA DEBILIDAD DE SUITES EXPORT_RSA DE CIFRADO CON CLAVES MENORES O IGUALES A 512 BITS. UN ATACANTE MAN-IN-THE-MIDDLE PUEDE SER CAPAZ DE DEGRADAR LA CONEXIÓN SSL / TLS PARA UTILIZAR CONJUNTOS DE CIFRADO EXPORT_RSA QUE PUEDE SER UN FACTOR EN UN CORTO PERIODO DE TIEMPO, LO QUE PERMITE AL ATACANTE PARA INTERCEPTAR Y DESCIFRAR EL TRÁFICO. (CVE-2015-1067 ALTO ASCIENDE A APPLE TV 7.0.2 O POSTERIOR. TENGA EN CUENTA QUE ESTA ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y LOS MODELOS POSTERIORES DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL TELEVISOR DE APPLE ES UNA VERSIÓN ANTERIOR A 7.0.2. ESTÁ, POR LO TANTO, AFECTADA POR LAS SIGUIENTES VULNERABILIDADES: - PROBLEMAS DE CORRUPCIÓN DE MEMORIA EXISTEN MÚLTIPLES RELACIONADAS CON LA VERSIÓN INCLUIDA DE WEBKIT QUE PERMITEN BLOQUEOS DE LA APLICACIÓN O LA EJECUCIÓN DE CÓDIGO ARBITRARIO. (CVE-2014-4452, CVE-2.014 A 4.462) - EXISTE DEBIDO UN PROBLEMA DE LA ADMINISTRACIÓN DEL ESTADO A LA MANIPULACIÓN INDEBIDA SEGMENTOS SUPERPUESTOS EN ARCHIVOS EJECUTABLES MACH-O. UN USUARIO LOCAL PUEDE APROVECHAR ESTE PROBLEMA PARA EJECUTAR CÓDIGO SIN FIRMAR. (CVE-2014 HASTA 4455) UN PROBLEMA DE EJECUCIÓN REMOTA DE CÓDIGO EXISTE DEBIDO A UNA VALIDACIÓN INCORRECTA DE LOS CAMPOS DE METADATOS DE OBJETOS IOSHAREDDATAQUEUE. (CVE-2.014-4461 ALTO ASCIENDE A APPLE TV 7 O POSTERIOR. TENGA EN CUENTA QUE ESTA ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y LOS MODELOS POSTERIORES DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL TELEVISOR DE APPLE ES UNA VERSIÓN ANTERIOR A 7. ES, POR LO TANTO, AFECTADOS POR MÚLTIPLES VULNERABILIDADES, LA MÁS GRAVE DE LAS CUALES PUEDEN DAR LUGAR A LA EJECUCIÓN DE CÓDIGO ARBITRARIO ALTO ASCIENDE A APPLE TV 7.0.3 O POSTERIOR. TENGA EN CUENTA QUE ESTA ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y LOS MODELOS POSTERIORES 3 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN EN EL SISTEMA. (CVE-2014-4480) - UN PROBLEMA DE DESBORDAMIENTO DE ENTERO EXISTE DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA AL PROCESAR ARCHIVOS PDF. (CVE-2014-4481) - UN PROBLEMA DE DESBORDAMIENTO DE BÚFER EXISTE DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA EN EL TRATAMIENTO DE FUENTES EN LOS ARCHIVOS PDF. (CVE2014-4483) - UN PROBLEMA DE CORRUPCIÓN DE MEMORIA DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA AL PROCESAR ARCHIVOS '' .DFONT . (CVE-2014 A 4484) - UN PROBLEMA DE DESBORDAMIENTO DE BÚFER EXISTE DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA AL PROCESAR ARCHIVOS XML. (CVE-2.014-4485) - UN ASUNTO DE REFERENCIA DE PUNTERO NULO EXISTE DEBIDO A LA MANIPULACIÓN DE LISTAS DE RECURSOS EN LA EXTENSIÓN DEL KERNEL IOACCELERATORFAMILY. (CVE-2014 HASTA 4486) UN PROBLEMA DE DESBORDAMIENTO DE BÚFER EXISTE DEBIDO A LA VALIDACIÓN DE TAMAÑO INCORRECTO EN EL IOHIDFAMILY. (CVE-2.0144.487) - UN PROBLEMA DE VALIDACIÓN EXISTE DEBIDO A LA MANIPULACIÓN DE METADATOS COLA DE RECURSOS EN LA EXTENSIÓN DEL KERNEL IOHIDFAMILY. (CVE-2014-4488) - UN ASUNTO DE REFERENCIA DE PUNTERO NULO EXISTE DEBIDO A LA MANIPULACIÓN DE LAS COLAS DE EVENTOS EN LA EXTENSIÓN DEL KERNEL IOHIDFAMILY. (CVE-2.014 A 4.489) - UN PROBLEMA DE DIVULGACIÓN DE INFORMACIÓN EXISTE DEBIDO A LA MANIPULACIÓN DE LAS API RELACIONADAS CON EXTENSIONES DEL NÚCLEO EN EL QUE LAS DIRECCIONES DEL KERNEL PUEDEN SER REVELADAS. UN ATACANTE PUEDE APROVECHAR ESTO PARA ELUDIR LAS PROTECCIONES DE ASLR. (CVE-20144491) - CONFUSIÓN CUESTIONES DE TIPO MÚLTIPLE EXISTE DEBIDO A LA COMPROBACIÓN DE TIPOS INADECUADA DURANTE LA COMUNICACIÓN ENTRE PROCESOS EN EL DEMONIO DE RED (NETWORKD). (CVE-2014-4492) EXISTE UN PROBLEMA DEBIDO A LA COMPROBACIÓN DE PERMISOS INCORRECTOS DE MEMORIA COMPARTIDA EN EL SUBSISTEMA DE MEMORIA DEL NÚCLEO COMPARTIDO. (CVE-2014-4495) - UN PROBLEMA DE DIVULGACIÓN DE INFORMACIÓN EXISTE DEBIDO A LA INTERFAZ DEL NÚCLEO MACH_PORT_KOBJECT FUGAS DE DIRECCIONES DEL KERNEL Y LOS VALORES DE ÁREA DE PERMUTACIÓN. UN ATACANTE PUEDE APROVECHAR ESTO PARA ELUDIR LAS PROTECCIONES DE ASLR. (CVE-2.014-4.496) TENGA EN CUENTA QUE LA EJECUCIÓN DE CÓDIGO ARBITRARIO ES POSIBLE CON LOS ASPECTOS MENCIONADOS ANTERIORMENTE ASIGNADAS CVE-2014-4481 CVE-A TRAVÉS DE 2014 A 4489, 2014 A 4492 CVE-Y CVE 2014 HASTA 4495. MEDIO ASCIENDE A APPLE TV 7.0.1 O POSTERIOR. TENGA EN CUENTA QUE ESTA ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y LOS MODELOS POSTERIORES DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL TELEVISOR DE APPLE ES UNA VERSIÓN ANTERIOR A 7.0.1. ES, POR TANTO, AFECTADO POR LAS SIGUIENTES VULNERABILIDADES:- EXISTE EN RELACIÓN CON LA FORMA EN SSL 3.0 SE ENCARGA DE BYTES DE RELLENO CUANDO DESCIFRAR MENSAJES CIFRADOS USANDO CIFRADOS DE BLOQUE EN EL MODO DE ENCADENAMIENTO DE BLOQUES DE CIFRADO (CBC) UN ERROR. UN ATACANTE MAN-IN-THE-MIDDLE PUEDE DESCIFRAR UN BYTE SELECCIONADO DE UN TEXTO CIFRADO EN TAN SÓLO 256 INTENTOS SI SON CAPACES DE FORZAR UNA APLICACIÓN VÍCTIMA PARA ENVIAR REPETIDAMENTE LOS 4 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS MISMOS DATOS A TRAVÉS DE CONEXIONES SSL 3.0 DE NUEVA CREACIÓN. ESTO TAMBIÉN SE CONOCE COMO EL PROBLEMA 'CANICHE'. (CVE-2.014 A 3566) - EXISTE UN ERROR QUE PERMITE CONEXIONES NO CIFRADAS PARA DISPOSITIVOS (HID) CLASE DE INTERFAZ HUMANA ACCESORIOS BLUETOOTH LOW ENERGY. ESTO PERMITE QUE UN ATACANTE LOCAL PARA SUPLANTAR OTRO DISPOSITIVO BLUETOOTH LEGÍTIMA PARA EL EMPAREJAMIENTO DE DERIVACIÓN. (CVE-2014 A 4428 5 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS IP 192.168.7.135 MAC ADRESS D8:EB:97:14:6C:CB HOST NAME KSILVA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 7 ____________________ 135/TCP OPEN MSRPC 139/TCP OPEN NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS 997 FILTERED PORTS NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS IP 192.168.7.146 MAC ADRESS 90:48:9A:82:0A:2D HOST NAME ANDROID-PC SISTEMA OPERATIVO ____________________ PUERTOS CLOSED ____________________ PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS ALL 1000 SCANNED PORTS ON 192.168.7.146 ARE FILTERED NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 192.168.7.X HALLAZGOS ENCONTRADOS IP 192.168.7.147 MAC ADRESS 00: 24: D2: F0: 7D: D2 HOST NAME CONTRALORIA1 SISTEMA OPERATIVO ____________________ PUERTOS CLOSED ____________________ PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS 5357/TCP OPEN WSDAPI 999 FILTERED PORTS NULO 0 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS 10.0.2.2 IP MAC ADRESS HOST NAME SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS 00-1A-6B-5D-47-B8 ELOPEZ WINDOWS XP SP3 POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS NULO NOT SHOWN: 996 CLOSED PORTS 135/TCP OPEN 139/TCP OPEN 445/TCP OPEN 2869/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS HTTP MICROSOFT HTTPAPI HTTPD 1.0 (SSDP/UPNP) 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE. EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES. MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS DESCRIPCIÓN EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR. FACTOR DE RIESGO MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO. SOLUCIÓN DESCRIPCIÓN 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS IP MAC ADRESS HOST NAME SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS 10.0.2.3 00-1A-6B-5D-53-20 MGONGORA WINDOWS XP NOT SHOWN: 997 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE. EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES. MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO. EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS EXPLOTABLE FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN METASPLOIT (VERDADERO) MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO. 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS IP 10.0.2.4 MAC ADRESS 38-60-77-E5-2A-B3 HOST NAME ACATL SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS NO SE PUDO DETERMINAR LA VERSIÓN 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10 MICROSOFT-DS NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS IP 10.0.2.5 MAC ADRESS 00-25-11-A5-A2-0F HOST NAME AVIDAL SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 7 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10 MICROSOFT-DS 2869/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) NOT SHOWN: 996 FILTERED PORTS NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS IP 10.0.2.8 MAC ADRESS 00-1A-6B-5D-47-C8 HOST NAME RBARRERA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 7 996 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS 2222/TCP OPEN MAGENT MICROWORLD MWAGENT.EXE 3.0 (ESCAN ANTIVIRUS MANAGEMENT CONSOLE) NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN MEDIO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE. EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS DESCRIPCIÓN EXPLOTABLE CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR. METASPLOIT (VERDADERO) 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.2 HALLAZGOS ENCONTRADOS IP 10.0.2.254 MAC ADRESS 00-0F-8F-A9-2C-80 HOST NAME CISCO SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS EQUIPO CISCO 998 CLOSED PORTS 23/TCP OPEN TELNET CISCO ROUTER TELNETD 80/TCP OPEN HTTP CISCO IOS HTTP CONFIG 1.0(1) (IOS 12.1) NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO EN LINUX, SE PUEDE DESACTIVAR EL REENVÍO DE IP HACIENDO: ECHO 0> / PROC / SYS / NET / IPV4 / IP_FORWARD EN WINDOWS, ESTABLEZCA LA CLAVE 'IPENABLEROUTER' HASTA 0ºC BAJOHKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ TCPIP \ PARAMETERS EN MAC OS X, PUEDE DESACTIVAR EL REENVÍO DE IP EJECUTANDO EL COMANDO: SYSCTL -W NET.INET.IP.FORWARDING = 0 PARA OTROS SISTEMAS, CONSULTE CON SU PROVEEDOR EL HOST REMOTO HA HABILITADO EL REENVÍO DE IP. UN ATACANTE PUEDE APROVECHAR ESTO PARA ENCAMINAR LOS PAQUETES A TRAVÉS DE LA ACOGIDA Y POTENCIALMENTE EVITAR ALGUNOS CORTAFUEGOS / ROUTERS / FILTRADO DE NAC. A MENOS QUE EL HOST REMOTO ES UN ROUTER, SE RECOMIENDA QUE DESHABILITE EL REENVÍO DE IP MEDIO DESACTIVAR EL SERVICIO TELNET Y SSH UTILIZAR EN SU LUGAR. EL HOST REMOTO SE ESTÁ EJECUTANDO UN SERVIDOR TELNET TRAVÉS DE UN CANAL CIFRADO. USO DE TELNET TRAVÉS DE UN CANAL NO CIFRADO NO SE RECOMIENDA COMO NOMBRES DE USUARIOS, CONTRASEÑAS, Y LOS COMANDOS SE TRANSFIEREN EN TEXTO PLANO. ESTO PERMITE UN CONTROL REMOTO, MAN-IN-THE-MIDDLE ATACANTE ESCUCHAR A ESCONDIDAS EN UNA SESIÓN TELNET PARA OBTENER CREDENCIALES U OTRA INFORMACIÓN SENSIBLE Y MODIFICAR EL TRÁFICO INTERCAMBIADO ENTRE UN CLIENTE Y EL SERVIDOR. SSH SE PREFIERE SOBRE TELNET, YA QUE PROTEGE LAS CREDENCIALES DE ESCUCHAS ILEGALES Y PUEDEN TÚNEL DE FLUJOS DE DATOS ADICIONALES TALES COMO UNA SESIÓN DE X11 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS IP 10.0.3.2 MAC ADRESS 00-1A-6B-5D-52-98 HOST NAME NNEGRETE SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 7 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS 2869/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) 49158/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NOT SHOWN: 995 FILTERED PORTS NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS IP 10.0.3.3 MAC ADRESS 00: 1A: 6B: 5D: 47: 6D HOST NAME GURCELAY SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A MICROSOFT WINDOWS XP SERVICE PACK 2, MICROSOFT WINDOWS XP SERVICE PACK 3 997 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS NULO EXPLOTACIONES 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS IP 10.0.3.4 MAC ADRESS 00-0F-FE-00-DF-07 HOST NAME PHERNANDEZ SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS XP SERVICE PACK 2, MICROSOFT WINDOWS XP SERVICE PACK 3 2869/TCP CLOSED 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS 997 FILTERED PORTS NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR. 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS IP 10.0.3.5 MAC ADRESS 00:25:11:A5:A1:D4 HOST NAME A VARGAS SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 7 SP0 - SP1, WINDOWS SERVER 2008 SP1, WINDOWS 8, OR WINDOWS 8.1 UPDATE 13 987 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10 MICROSOFT-DS 554/TCP OPEN RTSP? 2869/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) 8093/TCP OPEN HTTP INDY HTTPD 9.00.10 49152/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49153/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49154/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49155/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49156/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49157/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR. NOTA _ NO APARECIO EN EL SCANER DE NESUSS PÉRO SI EN EL NMPA 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS IP 10.0.3.8 MAC ADRESS 00-1A-6B-5D-47-BD HOST NAME VGONGORA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 7 997 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS DESCRIPCIÓN EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO. 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.3 HALLAZGOS ENCONTRADOS IP 10.0.3.254 MAC ADRESS 00.0F-8F-A9-2C-80 HOST NAME CISCO SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES EQUIPO CISCO 3 998 CLOSED PORTS 23/TCP OPEN TELNET CISCO ROUTER TELNETD 80/TCP OPEN HTTP CISCO IOS HTTP CONFIG 1.0(1) (IOS 12.1NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO EN LINUX, SE PUEDE DESACTIVAR EL REENVÍO DE IP HACIENDO: ECHO 0> / PROC / SYS / NET / IPV4 / IP_FORWARD EN WINDOWS, ESTABLEZCA LA CLAVE 'IPENABLEROUTER' HASTA 0ºC BAJOHKEY_LOCAL_MACHINE \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ TCPIP \ PARAMETERS EN MAC OS X, PUEDE DESACTIVAR EL REENVÍO DE IP EJECUTANDO EL COMANDO: SYSCTL -W NET.INET.IP.FORWARDING = 0 PARA OTROS SISTEMAS, CONSULTE CON SU PROVEEDOR EL HOST REMOTO HA HABILITADO EL REENVÍO DE IP. UN ATACANTE PUEDE APROVECHAR ESTO PARA ENCAMINAR LOS PAQUETES A TRAVÉS DE LA ACOGIDA Y POTENCIALMENTE EVITAR ALGUNOS CORTAFUEGOS / ROUTERS / FILTRADO DE NAC. A MENOS QUE EL HOST REMOTO ES UN ROUTER, SE RECOMIENDA QUE DESHABILITE EL REENVÍO DE IP MEDIO DESACTIVAR EL SERVICIO TELNET Y SSH UTILIZAR EN SU LUGAR. EL HOST REMOTO SE ESTÁ EJECUTANDO UN SERVIDOR TELNET TRAVÉS DE UN CANAL CIFRADO. USO DE TELNET TRAVÉS DE UN CANAL NO CIFRADO NO SE RECOMIENDA COMO NOMBRES DE USUARIOS, CONTRASEÑAS, Y LOS COMANDOS SE TRANSFIEREN EN TEXTO PLANO. ESTO PERMITE UN CONTROL REMOTO, MAN-IN-THE-MIDDLE ATACANTE ESCUCHAR A ESCONDIDAS EN UNA SESIÓN TELNET PARA OBTENER CREDENCIALES U OTRA INFORMACIÓN SENSIBLE Y MODIFICAR EL TRÁFICO INTERCAMBIADO ENTRE UN CLIENTE Y EL SERVIDOR. SSH SE PREFIERE SOBRE TELNET, YA QUE PROTEGE LAS CREDENCIALES DE ESCUCHAS ILEGALES Y PUEDEN TÚNEL DE FLUJOS DE DATOS ADICIONALES TALES COMO UNA SESIÓN DE X11 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS IP 10.0.4.2 MAC ADRESS 00-1A-6B-5D-46-3C HOST NAME JCARRION SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS XP SERVICE PACK 2, MICROSOFT WINDOWS XP SERVICE PACK 3 997 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS DESCRIPCIÓN NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS IP 10.0.4.3 MAC ADRESS 00-1A-6B-5D-46-E3 HOST NAME MOBILE PHONE SONY ERICSSON SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SONY ERICSSON 997 FILTERED PORTS 5225/TCP OPEN HP-SERVER? 5226/TCP OPEN HP-STATUS? 8008/TCP OPEN TCPWRAPPED NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS IP 10.0.4.4 MAC ADRESS 00-1A-6B-5D-47-9E HOST NAME NGOMEZ SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS XP SP2 OR SP3, OR WINDOWS SERVER 2003 997 CLOSED PORTS 135/TCP OPEN TCPWRAPPED 139/TCP OPEN TCPWRAPPED 445/TCP OPEN TCPWRAPPED NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB CRITICO MICROSOFT HA PUBLICADO UN CONJUNTO DE PARCHES PARA WINDOWS 2000, XP, 2003, VISTA Y 2008 EL HOST REMOTO SE VE AFECTADO POR UNA VULNERABILIDAD DE CORRUPCIÓN DE MEMORIA EN SMB QUE PUEDE PERMITIR A UN ATACANTE EJECUTAR CÓDIGO ARBITRARIO O REALIZAR UNA DENEGACIÓN DE SERVICIO CONTRA EL HOST REMOTO 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS EXPLOTABLE FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN EXPLOTABLE FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN EXPLOTABLE FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN IMPACTO NÚCLEO (VERDADERA) METASPLOIT (VERDADERO CRITICO MICROSOFT HA PUBLICADO UN CONJUNTO DE PARCHES PARA WINDOWS 2000, XP, 2003, VISTA Y 2008 EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD DE EJECUCIÓN REMOTA DE CÓDIGO EN EL SERVICIO "SERVIDOR" DEBIDO A UN MANEJO INADECUADO DE LAS SOLICITUDES RPC. UN ATACANTE REMOTO NO AUTENTICADO PUEDE EXPLOTAR ESTO, A TRAVÉS DE UNA SOLICITUD RPC ESPECIALMENTE DISEÑADO, PARA EJECUTAR CÓDIGO ARBITRARIO CON "SISTEMA" PRIVILEGIOS LONA (VERDADERO) CORE IMPACT (VERDADERO) METASPLOIT (VERDADERO MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR. METASPLOIT (VERDADERO) MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS IP 10.0.4.5 MAC ADRESS 00-1A-6B-5D-45-82 HOST NAME AQUINTERO SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 2008|7|PHONE|VISTA 996 FILTERED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS 49156/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN EXPLOTABLE MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR METASPLOIT (VERDADERO) 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS IP 10.0.4.6 MAC ADRESS 00-25-11-AB-4B-45 HOST NAME LOCMAN SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS 7|2008|8.1 988 CLOSED PORTS 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10 MICROSOFT-DS 554/TCP OPEN RTSP? 2869/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) 10243/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) |_HTTP-SERVER-HEADER: MICROSOFT-HTTPAPI/2.0 |_HTTP-TITLE: NOT FOUND 49152/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49153/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49154/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49157/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49158/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 49159/TCP OPEN MSRPC MICROSOFT WINDOWS RPC NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS DESCRIPCIÓN EXPLOTABLE ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR METASPLOIT (VERDADERO) 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS IP 10.0.4.8 MAC ADRESS 00-1A-6B-5D-53-30 HOST NAME BROBLES SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES SESIONES OBTENIDAS MICROSOFT WINDOWS XP|2003 997 CLOSED PORTS 135/TCP OPEN TCPWRAPPED 139/TCP OPEN TCPWRAPPED 445/TCP OPEN TCPWRAPPED NULO 0 RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE. EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES. MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.4 HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS. EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.5 HALLAZGOS ENCONTRADOS IP 10.0.5.2 MAC ADRESS 00: 1A: 6B: 5D: 46: C4 HOST NAME JREGALADO SISTEMA OPERATIVO _________________ PUERTOS CLOSED _________________ PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES ALL 1000 SCANNED PORTS ON 10.0.5.2 ARE FILTERED NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.5 HALLAZGOS ENCONTRADOS IP 10.0.5.3 MAC ADRESS 00-1A-6B-5D-47-65 HOST NAME HCABRERA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES WINDOWS 7 ULTIMATE NULO ALL 1000 SCANNED PORTS ON 10.0.5.2 ARE FILTERED NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN EXPLOTABLE FACTOR DE RIESGO SOLUCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR METASPLOIT (VERDADERO) MEDIO MICROSOFT HA PUBLICADO UN CONJUNTO DE PARCHES PARA WINDOWS VISTA, 2008, 7, 2008 R2, 2012, 8.1, 8.1 RT 2012 R2, Y 10 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.5 HALLAZGOS ENCONTRADOS DESCRIPCIÓN EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD DE ELEVACIÓN DE PRIVILEGIOS EN EL ADMINISTRADOR DE CUENTAS DE SEGURIDAD (SAM) Y LA AUTORIDAD DE SEGURIDAD LOCAL (DIRECTIVA DE DOMINIO) (LSAD) PROTOCOLOS POR ACUMULACIÓN INDEBIDA DE NEGOCIACIÓN NIVEL DE AUTENTICACIÓN A TRAVÉS DE CANALES DE LLAMADA A PROCEDIMIENTO REMOTO (RPC).UN HOMBRE-EN-EL-MEDIO ATACANTE PUEDE INTERCEPTAR LAS COMUNICACIONES ENTRE UN CLIENTE Y UN SERVIDOR QUE ALOJA UNA BASE DE DATOS SAM PUEDE APROVECHAR ESTO PARA FORZAR EL NIVEL DE AUTENTICACIÓN DE REBAJAR, PERMITIENDO AL ATACANTE HACERSE PASAR POR UN USUARIO AUTENTICADO Y ACCEDER A LA BASE DE DATOS SAM 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.5 HALLAZGOS ENCONTRADOS IP 10.0.5.4 MAC ADRESS 00-1A-6B-5D-45-89 HOST NAME ILANDA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES WINDOWS XP SP3 NULO ALL 1000 SCANNED PORTS ON 10.0.5.4 ARE FILTERED NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN CRITICO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE. EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.5 HALLAZGOS ENCONTRADOS DESCRIPCIÓN NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO. 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.5 HALLAZGOS ENCONTRADOS IP 10.0.5.5 MAC ADRESS 00-1A-6B-5D-47-FB HOST NAME GUARDADO SISTEMA OPERATIVO WINDOWS 7 PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES NULO ALL 1000 SCANNED PORTS ON 10.0.5.5 ARE FILTERED NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.5 HALLAZGOS ENCONTRADOS IP 10.0.5.9 MAC ADRESS 00-25-11-A5-A4-CB HOST NAME BJIMENEZ SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES WINDOWS 7 NULO ALL 1000 SCANNED PORTS ON 10.0.5.9 ARE FILTERED NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN EXPLOTABLE MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR METASPLOIT (VERDADERO) 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.5 HALLAZGOS ENCONTRADOS IP 10.0.5.10 MAC ADRESS 28-92-4A-46-12-C9 HOST NAME PAVILION SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 10 HOME NULO ALL 1000 SCANNED PORTS ON 10.0.5.10 ARE FILTERED NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.2 MAC ADRESS 00:1A:6B:5D:46:6B HOST NAME BECHEVERRIA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 7 ULTIMATE 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS 49157/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 996 FILTERED PORTS NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.3 MAC ADRESS 00: 1A: 6B: 5D: 53: 0E HOST NAME JREYES SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS 7 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS 2869/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP) 996 FILTERED PORTS NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB. 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.6 MAC ADRESS 00: 1A: 6B: 5D: 47: 50 HOST NAME ____________________ SISTEMA OPERATIVO ____________________ PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES ALL 1000 SCANNED PORTS ON 10.0.6.6 ARE FILTERED NULO 0 SESIONES OBTENIDAS 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS IP 10.0.6.11 MAC ADRESS 00:1A:6B:5D:45:D0 HOST NAME ASOSA SISTEMA OPERATIVO PUERTOS CLOSED PUERTOS ABIERTOS Y FILTRADOS POSITIVO A EXPLOTACIONES MICROSOFT WINDOWS XP 1 CLOSED PORT 135/TCP OPEN MSRPC MICROSOFT WINDOWS RPC 139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN 445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS 996 FILTERED PORTS NULO 0 SESIONES OBTENIDAS RESUMEN Y RECOMENDACIÓN NESUSS FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN ALTO ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE 2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES MEDIO HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES. FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB MEDIO APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \ CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO INFORME EJECUTIVO FECHA :29/04/2016 VLAN 10.0.6 HALLAZGOS ENCONTRADOS DESCRIPCIÓN FACTOR DE RIESGO SOLUCIÓN DESCRIPCIÓN \ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \ NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO SON COMPLETAS EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO. MEDIO EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED: MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR. 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 INFORME EJECUTIVO RESUMEN GENERAL NO SE PUDO COMPLETAR EL ESCANEO DE VULNERABILIDAD PARA LAS SIGUIENTES V-LAN 10.0.2/10.0.3/10.0.4/10.0.5/10.06/10.0.7/10.0.9/10.0.1, YA QUE NO SE CUENTAN CON LAS CREDENCIALES DE ADMINISTRADOR PARA UN ESCANEO MAS PROFUNDO, Y ASI OBTENER QUE PUEDE COMPROMETER LA SEGURIDAD DEL ENTORNO DE LA RED EN DIFERENTES ESCENARIO. HOJA DE FORMULARIO ORIGINAL Y DATOS PARA SU EXPLICACIÓN SISTEMA NASS: RESPALDO FTP: RESPALDO CARPETA DE RED: RESPALDO EN MEDIOS EXTRAIBLES: OTRO: NO SE CUENTA: NESSUS HOST DISCOVERY RECOMENDACIONES VULNERABILIDADES DETECTADAS: NESSUS NETWORK SCAN RECOMENDACIONES ESTA EXPUESTO A EXPLOTACIONES: NESSUS NETWORK SCAN RECOMENDACIONES SE DETECTARON SERVICIOS Y PUERTOS EXPLOTABLES: SE DETECTARON PROGRAMAS EXPLOTABLES: NESSUS MALWARE SCAN RECOMENDACIONES SE DETECTO ACTIVIDAD DE MALWARE: NESSUS BASH SHELLSHOCK DETECTION RECOMENDACIONES HALLAZGOS ENCONTRADOS: NESSUS CREDENTIALED PATCH AUDIT RECOMENDACIONES HALLAZGOS ENCONTRADOS: 2 de 2 NO SE PUDO DETERMINAR SI EN LOS EQUIPOS EXISTEN PROGRAMAS QUE COMPROMETAN LA SEGURIDAD COMO SON EL CASO DE, P2P, TUNELING, SNIFERS DE RED ENTRE OTROS LOS CUALES PODRIAN CAUSAR DAÑOS MODERADOS. 1 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 INFORME EJECUTIVO RESUMEN GENERAL SE DETECTARON EN PRUEBAS AL FIREWALL SOBRE BLOQUEOS Y TRAFICOS DE RED COMO ACCESOS A PAGINAS YOUTUBE, FACEBOOK DICHAS PAGINAS ESTAN BLOQUEADOS VIA WEB, PERO DIO POSITIVO SALTANDOSE LAS REGLAS DE SEGURIDAD USANDO UN PROGRAMA “ULTRASURF” QUE PERMITE LA NAVEGACION Y TRAFICO LIBRE DE STREAMING. ANEXO HOJA SE DETECTO QUE LA APP DE YOUTUBE PARA SMARTPHONE, SIN LA NECESIDAD DE PROXY FUNCIONA TRANSPARENTEMENTE, PUDIENDO REPRODUCIR LOS VIDEOS AUN QUE SE TENGAN LAS REGLAS LEVANTADAS EN EL FIREWALL. 2 CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO FECHA :29/04/2016 INFORME EJECUTIVO RESUMEN GENERAL SE DETECTÓ A TRAVEZ DE UNA EXPLOTACIÓN QUE EN LA V-LAN SEG. 4, LOS USUARIOS PUEDEN ENTRAR A DIVERSAS OPCIONES VIA WEB PARA REPRODUCIR MULTIMEDIA, ANEXA SCREENSHOT EN INFORME TECNICO, SE RECOMIENDA UNA SOLUCION VIA FIREWALL O UNA SOLUCION LOCAL INSTALADA EN CADA EQUIPO. ANEXO HOJAS SE DETECTARON EQUIPOS QUE SE ENCUENTRAN CORRIENDO WIN XP, EL CUAL ES UN SISTEMA OPERATIVO VULNERABLE YA QUE NO CUENTA CON ACTUALIZACIONES Y SOPORTE EN LAS DIVERSAS V-LAN DE LA INSTITUCIÓN SE DETECTO QUE EN LA V-LAN 10.0.6.X EL EQUIPO 10.0.6.17 CON NOMBRE “HOSTNAME” TIENE NOMBRE DEL SERVICIO QUE SE ENCUENTRA CORRIENDO “NOMINA PC” /ROSARIO CASTILLO, EL CUAL REPRESENTA UN RIESGO DENTRO DE LA RED INTERNA YA QUE UN USUARIO CON ACCESO A LA RED PODRIA ATACAR EL EQUIPO EN CUESTIÓN. SE RECOMIENDA USAR NOMENCLATURAS PARA DISFRAZAR LOS NOMBRES DE LAS PC´S Y DE ESTE MODO NO SER RELACIONADOS CON LOS CARGOS O PERSONAS QUE LA ADMINISTRA. 3 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 FECHA :29/04/2016 INFORME EJECUTIVO RESUMEN GENERAL LOS ACCESS POINT DE LAS VLAN , UTIE , SECRETARIAS, ADMINCONT,SALA DE SESIONES, ORGANIZACIÒN, RECURSOS HUMANOS Y PRENSA CUENTAN CON UNA SEGURIDAD WEP, LA CUAL YA NO ES PROTOCOLO DE SEGURIDAD CONFIABLE, DADO A QUE EXISTEN SMARTHPHONE APLICACIONES PARA SMARTPHONE Y DIVERSOS PROGRAMAS QUE ROMPEN ESA SEGURIDAD Y EL ALCANCE DE RADIO DE LAS AP ANTES MENCIONANDAS PUEDEN SER ALCANZADAS POR INTRUSOS Y DE ESTE MODO SOMETER LOS EQUIPOS A DIVERSAS EXPLOTACIONES Y COMPROMETER LOS SISTEMAS QUE AHÍ SE ENCUENTREN. ANEXO HOJA RASGOS DE SEGURIDAD MAS COMUNES ENTRE LOS ERRORES DE SEGURIDAD MÁS COMUNES, ESTÁ EL DE INSTALAR CUALQUIER SOFTWARE DEL SISTEMA SIN QUITAR LOS SERVICIOS INNECESARIOS, NI INSTALAR TODOS LOS PARCHES DE SEGURIDAD RECOMENDADOS. TAMBIÉN LA FALTA DE CONTRASEÑAS, O EL USO DE ESTAS CON POCOS CARACTERES, ES UN PROBLEMA DE SEGURIDAD ENORME PARA CUALQUIER CORPORACIÓN. TAMBIÉN DEBERÍAN EVITARSE LAS CONTRASEÑAS PREDEFINIDAS O POR DEFECTO. DEMASIADOS PUERTOS ABIERTOS PARA QUE ALGÚN USUARIO PUEDA CONECTARSE A SU PC ES CONTRAPRODUCENTE. LAS RECOMENDACIONES OBVIAS SON CERRAR TODOS LOS PUERTOS Y LUEGO SOLO ABRIR LOS QUE REALMENTE SE NECESITEN. MEDIDAS DE SEGURIDAD ELEMENTALES UTILICE CONTRASEÑAS MÁS FUERTES. ESCOJA AQUELLAS QUE SEAN DIFÍCILES O IMPOSIBLE DE SUPONER. PÓNGALE CONTRASEÑAS DIFERENTES A CADA UNA DE LAS CUENTAS. REALICE RESPALDOS REGULARES DE DATOS CRÍTICOS. ESTOS RESPALDOS DEBEN HACERSE POR LO MENOS UNA VEZ AL DÍA EN EL CASO DE USUARIOS O EMPRESAS PEQUEÑAS. PARA ORGANIZACIONES MÁS GRANDES Y COMPLEJAS, DEBEN REALIZARSE RESPALDOS COMPLETOS POR LO MENOS UNA VEZ A LA SEMANA, Y RESPALDOS INCREMENTALES TODOS LOS DÍAS. 4 TEST DE VULNERABILIDAD INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO CALLE VERACRUZ NUMERO 26B INT. D ENTRE ECUADOR Y PANAMA COL. SANTA ANA C.P 24050 FECHA :29/04/2016 INFORME EJECUTIVO RESUMEN GENERAL UTILICE UN ANTIVIRUS MONITOREANDO TODA ACTIVIDAD DE ARCHIVOS, ACTUALIZÁNDOLO PERIÓDICAMENTE (SUGERIDO UNA VEZ A LA SEMANA, LO IDEAL ES DIARIAMENTE). UTILICE CORTAFUEGOS COMO BARRERA ENTRE SU COMPUTADORA E INTERNET. LOS CORTAFUEGOS NORMALMENTE SON PRODUCTOS DE SOFTWARE. ELLOS SON ESENCIALES PARA AQUÉLLOS QUE POSEEN ENLACES DE BANDA ANCHA CON CONEXIONES LAS 24 HORAS (DSL, CABLE MÓDEM, ETC.), Y MUY RECOMENDADOS PARA TODOS LOS QUE UTILICEN INTERNET, AÚN A TRAVÉS DE LA LÍNEA TELEFÓNICA. NO DEJE QUE LAS COMPUTADORAS SIGAN ON-LINE CUANDO NO ESTÁN EN USO. FÍSICAMENTE DESCONÉCTELAS DE LA CONEXIÓN DE INTERNET SI FUERA NECESARIO. NO ABRA BAJO NINGÚN CONCEPTO, ADJUNTOS EN EL CORREO ELECTRÓNICO QUE VENGA DE EXTRAÑOS, SIN IMPORTAR LO QUE MENCIONE SU ASUNTO O EL ARCHIVO ADJUNTO. SOSPECHE SIEMPRE DE CUALQUIER ADJUNTO DE ALGUIEN CONOCIDO, QUE LE ENVÍA UN ADJUNTO QUE USTED NO SOLICITÓ. ESA PERSONA PODRÍA ESTAR INFECTADA, Y ENVIAR EL CORREO INFECTADO SIN SIQUIERA PERCATARSE DEL ERROR. SOSPECHE DE CUALQUIER ADJUNTO NO ESPERADO, DE ALGUIEN QUE USTED CONOCE PORQUE SE PUEDE HABER ENVIADO SIN EL CONOCIMIENTO DE ESA PERSONA DESDE UNA MÁQUINA INFECTADA. BAJE E INSTALE REGULARMENTE LOS PARCHES NECESARIOS A MEDIDA QUE ESTOS VAYAN APARECIENDO. EN CONCRETO, ESTAS POCAS VULNERABILIDADES SON LA BASE DE LA MAYORÍA DE LOS ATAQUES EXITOSOS, QUE SUELEN APROVECHARSE DE LAS BRECHAS MÁS CONOCIDAS CON LAS HERRAMIENTAS DE ATAQUE MÁS EFECTIVAS Y FÁCILES DE CONSEGUIR. LA MAYORÍA DE LOS ATACANTES, SIMPLEMENTE SE APROVECHA DE QUIENES NO ACTUALIZAN SU SOFTWARE, CASI SIEMPRE POR PEREZA. PUNTOS A CONSIDERAR. LICENCIAMIENTO DE ANTIVIRUS CORPORATIVO PARA LA INSTITUCIÓN, DEBIDO A SER PUBLICA Y GUBERNAMENTAL, YA QUE LA INFORMACION PODRIA ESTAR TRANSITANDO ENTRE LOS EQUIPOS VIA CORREO, USB Y VISEVERSA. EN CASO DE TENER UN ARCHIVO O DOC. INFECTADO ESTE PODRIA EXTENDERSE DE MANERA RAPIDA POR LOS EQUIPOS CAUSANDO ASI PERDIDAS TOTALES Y/O PARCIALES. ESET CUENTA CON UN SERVICIO DE APLICACIÓN DE POLITICAS PARA STREAMING (PAGINAS NO PERMITIDAS) A DEMAS DE CONTAR CON UNA CONSOLA DE ADMINISTRACION DONDE SE APLICARIAN LAS POLITICAS DE FORMA TRANSPARENTE A LOS EQUIPOS, DE ESTA MANERA SE REGULARIZARIA EL ANCHO DE BANDA EVITANDO ASI INFECCIONES FUTURAS. 5