Análisis de vulnerabilidades a la infraestructura tecnológica del PREP.
Anuncio
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
TABLA DE CONTENIDO
CONTENIDO
CONTENIDO _________________________________________________________
INTRODUCCIÓN
1
___________________________________________________2/3
RESEÑA DE INFORME ____________________________________________________ 4
DIAGRAMA DE FLUJO DE METODOLOGÍA ___________________________________ 5
DESCRIPCIÓN DE LAS HERRAMIENTAS USADAS ______________________________6/10
INTERPRETACIÓN DE MATRIZ DE RIESGOS __________________________________ 11
TABLA 1.-. -CLASIFICACIÓN Y VALORACIÓN DE “MAGNITUD DE DAÑO” DE LOS
ELEMENTOS DE INFORMACIÓN _______________________________________12/13/14
TABLA 2.-VALORACIÓN DE PROBABILIDAD DE AMENZAS __________________15/16/17
HALLAZGOS ENCONTRADOS ______________________________________________ 18
GLOSARIO
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
INTRODUCCIÓN
CIBER SEGURIDAD
NO SE PUEDE CONSIDERAR QUE LA SEGURIDAD SEA CUESTIÓN DE UNA SOLA COSA, YA QUE HAY MUCHOS
ELEMENTOS Y SOLUCIONES EN LA INFRAESTRUCTURA DE INFORMÁTICA DE UNA EMPRESA.
ALGUNAS MEDIDAS PARA HACER FRENTE AL CRECIENTE PROBLEMA DE LA FALTA DE SEGURIDAD SON:
ENTRE ELLAS LA IMPORTANCIA DE EVALUAR LA VULNERABILIDAD INTERNA Y DE ESTE MODO HACER
CONCIENCIA DE QUE, SI BIEN EXISTEN MUCHAS VIOLACIONES EXTERNAS, EXISTEN DE IGUAL MODO
MUCHAS SOLUCIONES TECNOLÓGICAS.
ESTO ENMARCA LA IMPORTANCIA DE CONTAR CON POLÍTICAS INTERNAS ESPECÍFICAS QUE CUENTEN CON
EL APOYO DE LOS ALTOS DIRECTIVOS, ASÍ COMO LA EXISTENCIA DE UN RESPONSABLE EN LA SEGURIDAD
INTERNA CUYAS DECISIONES DE PROTECCIÓN SE REALICEN EN FUNCIÓN DE PROBLEMÁTICAS ESPECÍFICAS
Y NO SUJETAS A AJUSTES ECONÓMICOS.
TODA ORGANIZACIÓN DEBE ESTAR A LA VANGUARDIA DE LOS PROCESOS DE CAMBIO. DONDE DISPONER
DE INFORMACIÓN CONTINUA, CONFIABLE Y EN TIEMPO, CONSTITUYE UNA VENTAJA FUNDAMENTAL.
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
INTRODUCCIÒN
DATOS A TOMAR EN CUENTA SOBRE LA
INFORMACIÒN.
LA INFORMACIÓN SE RECONOCE COMO:
CRÍTICA: INDISPENSABLE PARA GARANTIZAR LA CONTINUIDAD OPERATIVA DE LA ORGANIZACIÓN.
VALIOSA: ES UN ACTIVO CORPORATIVO QUE TIENE VALOR EN SÍ MISMO.
SENSITIVA:
DEBE
SER
CONOCIDA
POR
LAS
PERSONAS
QUE
NECESITAN
LOS
DATOS.
LA SEGURIDAD INFORMÁTICA DEBE GARANTIZAR:
LA DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIÓN.
EL RECUPERO RÁPIDO Y COMPLETO DE LOS SISTEMAS DE INFORMACIÓN
LA INTEGRIDAD DE LA INFORMACIÓN.
LA CONFIDENCIALIDAD DE LA INFORMACIÓN.
IDENTIFICACIÓN DE PROBLEMAS.
DESARROLLO DEL PLAN DE SEGURIDAD INFORMÁTICA.
ANÁLISIS DE LA SEGURIDAD EN LOS EQUIPOS DE COMPUTACIÓN. AUDITORÍA Y REVISIÓN
DE SISTEMAS
3
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
RESEÑA DEL INFORME
METODOLOGÍA
SE REALIZÓ LA AUDITORIA DE SEGURIDAD A NIVEL LOCAL DE 74 EQUIPOS DE CÓMPUTO
QUE ESTÁN EN LA INSTITUCIÓN Y SE DESCRIBE A CONTINUACIÓN LA METODOLOGIA EMPLEADA.
ETAPAS DEL INFORME:
RECOLECCIÓN DE INFORMACIÓN: (DIRECCIONES IPS, RANGOS, SISTEMAS OPERATIVOS,
APLICACIONES, FIREWALL, NOMBRES DE USUARIOS Y RECURSOS COMPARTIDOS)
ANÁLISIS: MODELADO DE INFORMACIÓN (INFRAESTRUCTURA, APLICACIONES, SISTEMAS
OPERATIVOS, IDENTIFICACIÓN DE FALLOS CONOCIDOS EN BASE A LOS DATOS
RECOLECTADOS EN LA ETAPA ANTERIOR)
EXPLOTACIÓN: BUSCAR Y ENCONTRAR (BÚSQUEDA DE BRECHAS DE SEGURIDAD A
SERVICIOS ENCONTRADOS, INTRUSIÓN POR PUERTOS ENCONTRADOS, BÚSQUEDA Y
LANZAMIENTO DE EXPLOITS DE FORMA CONTROLADA A EQUIPOS CON BRECHAS)
DOCUMENTACIÓN: GENERACIÓN DE INFORMES (ENVIÓ DE PRE INFORME DE SER
NECESARIO, INFORME TÉCNICO, INFORME EJECUTIVO Y PRESENTACIÓN DE RESULTADOS)
4
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
DIAGRAMA DE FLUJO
METODOLOGÍA USADA
RECOLECCIÓN DE
INFORMACIÓN
INICIO
ENUMERACIÓN
ANALISIS
EXPLOTACIÓN
DOCUMENTACIÓN
NO
SI
DOCUMENTACIÓN
SE
ENCONTRARON
BRECHAS DE
SEGURIDAD
IMPRESIÒN
IMPRESIÒN
5
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
DESCRIPCIÓN DE LAS HERRAMIENTAS USADAS
APLICACIÓNES PARA RECOLECCIÓN DE INFORMACIÓN
APLICACIÓN: TOTAL NETWORK INVENTORY
ES UNA APLICACIÓN QUE HACE UNA AUDITORIA SOBRE EQUIPOS EN RED Y EXPONE DE FORMA
DETALLADA LO SIGUIENTE
EL SOFTWARE INSTALADO (DESCRIPCIÓN DE TALLADA DEL SOFTWARE INSTALADO PARA DETECTAR
SOFTWARE NO AUTORIZADO Y POTENCIALMENTE PELIGROSO QUE COMPROMETA EN ALGÚN MOMENTO
LA SEGURIDAD DEL EQUIPO O INSTITUCIÓN)
EXPONE LAS BRECHAS DE SEGURIDAD DE LOS QUIPOS (ESTATUS DE ANTIVIRUS, FIREWALL Y
ACTUALIZACIONES)
CLAVES DE LOS PROGRAMAS (EXPONE LAS CLAVES DE LOS PROGRAMAS UTILIZADOS PARA SU
VALIDACIÓN)
6
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
DESCRIPCIÓN DE LAS HERRAMIENTAS USADAS
APLICACIÓNES PARA RECOLECCIÓN DE INFORMACIÓN
APLICACIÓNES: NMAP-ZENMAP, SUPER SCAN MACAFEE Y ADVANCED IP SCANNER
NMAP-ZENMPA:
PROGRAMA PARA HACER EXPLORACIONES, AUDITORIAS DE PUERTOS, IDENTIFICACION DE SISTEMAS
OPERATIVOS, SERVICIOS, SE OBTIENE INFORMACIÓN (PUERTOS EN USO, PUERTOS FILTRADOS, PUERTOS
ABIERTOS E INFORMACIÓN A BAJO DE LA RED)
SUPER SCAN MACAFEE Y ADVANCED IP SCANNER
PROGRAMA PARA REALIZAR ANALISIS DE PING, ESCANEO DE PUERTOS Y SERVICIOS.
7
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
DESCRIPCIÓN DE LAS HERRAMIENTAS USADAS
APLICACIÓNES: PARA BUSQUEDA Y EXPLOTACIÓN DE
VULNERABILIDADES
APLICACIONES ARMITAGE Y COBAL-TRIKE
(SON UN FRAMEWORK MULTIPLATAFORMA QUE ABSTRAE LAS TAREAS TÍPICAS DE UNA INTRUSIÓN)
OFRECEN UN ESQUEMA MODULAR DONDE COMBINAR E INTEGRAR DISTINTOS TIPOS DE EXPLOITS Y
HERRAMIENTAS DE ACCESO Y CONTROL DE EQUIPOS Y SERVICIOS COMPROMETIDOS.
INCLUYE TAMBIÉN MÓDULOS ADICIONALES PARA LAS FASES DE RASTREO Y ENUMERACIÓN, ADEMÁS DE
PODER INTEGRAR LA INFORMACIÓN PROPORCIONADA POR OTRAS HERRAMIENTAS COMO NMAP,
NESSUS, OPENVAS Y CUENTAN CON SU PROPIO CATALOGO DE EXPLOIT, ETC.)
8
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
DESCRIPCIÒN DE LAS HERRAMIENTAS USADAS
APLICACIÓNES: PARA BUSQUEDA Y EXPLOTACIÓN DE
VULNERABILIDADES
APLICACIÒN: NESUSS MANAGER
APLICACIÓN LÍDER EN LA DETECCIÓN DE GRAN ALCANCE, ESCANEADO Y FUNCIONES DE AUDITORÍA,
ESCÁNER DE VULNERABILIDADES DE MAYOR DESPLIEGUE EN EL MUNDO, CON AMPLIAS FUNCIONES DE
GESTIÓN DE LA VULNERABILIDAD Y DE COLABORACIÓN.
CONTINUAMENTE ACTUALIZADO CON INFORMACIÓN
AMENAZAS AVANZADAS, LAS VULNERABILIDADES DE DÍA CERO Y LOS NUEVOS TIPOS DE
CONFIGURACIONES DE CUMPLIMIENTO NORMATIVO.
•ESCANEO DE RED: HERRAMIENTAS DE GESTIÓN DE PARCHES, BYOD, CORTAFUEGOS Y SISTEMAS
VIRTUALIZADOS.
• ESCANEANDO LOS PUERTOS CON SU PROPIO ESCANEADOR DE PUERTOS PARA BUSCAR PUERTOS
ABIERTOS Y DESPUÉS INTENTAR VARIOS EXPLOITS PARA ATACARLO.
LAS PRUEBAS DE VULNERABILIDAD DISPONIBLES CUENTAN CON UNA LARGA LISTA DE PLUGINS
(EXPLOITS) QUE SON ACTUALIZADOS CONSTANTEMENTE QUE SON APLICADOS A LOS DIFERENTES
PROGRAMAS INSTALADOS EN LOS EQUIPOS
(JAVA, OFFICE, INTERNET EXPLORER, ETC)
WINDOWS MALWARE SCAN DETECTA COMPORTAMIENTO MAL INTENCIONADO POR PARTE DE VIRUS
QUE YA HAYAN AFECTADO EL SISTEMA OPERATIVO O ESTÉN POR EXPLOTAR O ACTIVARSE
AUDITA LOS PROCESOS DE WINDOWS LOS CUALES CUENTAN CON UN HASH UNICO COMPARANDO
Y AUTENTIFICANDO CON UNA AMPLIA LISTA DE LOS MISMOS., QUE NO SE ESTEN USANDO BOTNET
Y QUE ESTEN ENVIANDO INFORMACION A SERVIDORES MALICIOSOS.
DETECTAR Y CORREGIR POSIBLES DEFICIENCIAS EN LA SEGURIDAD DE LA RED ANTES DE QUE PUEDAN
SER EXPLOTADAS POR INTRUSOS.
PRUEBAS DE PENETRACIÓN INTEGRADO PARA EXPLOTAR LAS VULNERABILIDADES ENCONTRADAS POR
EL ESCÁNER MEDIANTE:
BASH DETECCIÓN SHELLSHOCK, ESCANER DE RED, PARCHE CON CREDENCIALES DE AUDITORIA,
WINDOWS MALWARE.
9
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
DESCRIPCIÒN DE LAS HERRAMIENTAS USADAS
APLICACIÓNES: PARA BUSQUEDA Y EXPLOTACIÓN DE
VULNERABILIDADES
MATRIZ DE RIESGOS INFORMÁTICOS:
SON UNA SERIE DE TABLAS QUE TIENEN LA FINALIDAD DE EXPONER LOS RIESGOS A LOS CUALES ESTÁ
EXPUESTA UNA ORGANIZACIÓN. PARA SU POSTERIOR ANÁLISIS
TABLA DE CLASIFICACIÓN Y VALORACIÓN DE “MAGNITUD DE DAÑO” DE LOS ELEMENTOS DE
INFORMACIÓN
(DATOS E INFORMACIÓN, SISTEMAS E INFRAESTRUCTURA Y PERSONAL)
TABLA DE PROBABILIDAD DE AMENAZAS
(ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA, SUCESO DE
ORIGEN FÍSICO Y SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y
DECISIONES INSTITUCIONALES)
MATRIZ DE RIESGOS (DESGLOSE DE LOS RIESGOS Y CUANTIFICACIÓN DE LOS MISMO)
10
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
CLASIFICACIÒN DE LOS RIESGOS
INTERPRETACIÓN DE MATRIZ DE RIESGOS
TABLA DE CLASIFICACIÓN DE LOS RIESGOS DE ACUERDO A SU CRITICIDAD
LA MATRIZ PARA EL ANÁLISIS DE RIESGO ES EL PUNTO CLAVE EN ANALIZAR Y DETERMINAR LOS RIESGOS
EN EL MANEJO DE LOS DATOS E INFORMACIÓN DE LAS ORGANIZACIONES. LA MATRIZ NOS DARÁ UN
RESULTADO DETALLADO SOBRE LOS RIESGOS Y PELIGROS DE CADA RECURSO (ELEMENTO DE
INFORMACIÓN) DE LA INSTITUCIÓN, SINO UNA MIRADA APROXIMADA Y GENERALIZADA DE ESTOS.
FUNDAMENTO DE LA MATRIZ
LA MATRIZ LA BASÉ EN EL MÉTODO DE ANÁLISIS DE RIESGO CON UN GRAFO DE RIESGO, USANDO LA
FORMULA
RIESGO = PROBABILIDAD DE AMENAZA X MAGNITUD DE DAÑO
LA PROBABILIDAD DE AMENAZA Y MAGNITUD DE DAÑO PUEDEN TOMAR LOS VALORES Y CONDICIONES
RESPECTIVAMENTE
1 = INSIGNIFICANTE (INCLUIDO NINGUNA)
2 = BAJA
3 = MEDIANA
4 = ALTA
EL RIESGO, QUE ES EL PRODUCTO DE LA MULTIPLICACIÓN PROBABILIDAD
DE AMENAZA POR MAGNITUD DE DAÑO, ESTÁ AGRUPADO EN TRES
RANGOS, Y PARA SU MEJOR VISUALIZACIÓN, SE APLICA DIFERENTES
COLORES.
BAJO RIESGO = 1 – 6 (VERDE)
MEDIO RIESGO = 8 – 9 (AMARILLO)
ALTO RIESGO = 12 – 16 (ROJO)
*(ESTE APARTADO ESTÁ CONFORMADO POR HOJAS INDIVIDUALES QUE SERÁN ANEXADAS A
CONTINUACIÓN Y UNA SERÁ ENVIADA POR CORREO O USB)
11
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
CLASIFICACIÒN Y VALORACIÒN DE “MAGNITUD DE DAÑO” DE LOS ELEMENTOS DE
INFORMACIÒN.
INSTRUCCIONES: PARA CLASIFICAR Y VALORAR LOS ELEMENTOS DE INFORMACION, POR FAVOR LLENE LAS
3 TABLAS SIGUIENDO LOS SIGUIENTES PASOS:
PASO 1.- EN LA COLUMNA CLASIFICACION MARQUE CON UNA X, UNA O VARIAS DE LAS OPCIONES QUE
CORRESPONDEN A LA LISTA DE ELEMENTOS DE INFORMACIÒN (CUANDO NO APLIQUE PARA SU CASO, LAS
CASILLAS PUEDEN DEJARSE EN BLANCO)
PASO 2.- EN LA COLUMNA MAGNITUD DE DAÑO, MARQUE CON UNA X, LA MAGNITUD DE DAÑO QUE SUFRE
UN ELEMENTO DE INFORMACIÒN, QUE USTED CONSIDERA A LAA REALIDAD DE SU ORGANIZACIÓN, COMO
CONSECUENCIA DE UN IMPACTO CAUSADO POR UN ATAQUE EXITOSO.
EN RELACION AL IMPACTO CONSIDERE LAS SIGUIENTES POSIBILIDADES:
A.) SE PIERDE LA INFORMACION /CONOCIMIENTO
B.) TERCEROS PODRIAN TENER ACCESO A LA INFORMACION / CONOCIMIENTO.
C.) LA INFORMACION HA SIDO MANIPULADA O ESTA INCOMPLETA
D.) LA INFORMACION / CONOCIMIENTO O PERSONA NO ESTA ESTA DISPONIBLE
E.) HAY DUDAS ACERCA DE LA LEGITIMIDAD DE LA FUENTE DE LA INFORMACION.
PARA VALORAR LOS ELEMENTOS DE INFORMACION, POR FAVOR CONSIDERE LA SIGUIENTE ESCALA.
INSIGNIFICANTE
(NINGUNO)
BAJO
MEDIANO
ALTO
NO CAUSA NINGUN TIPO DE IMPACTO O DAÑO A LA ORGANIZACIÓN (NINGUNO EN CASO QUE EL
ELEMENTO SEA INEXISTENTE)
CAUSA DAÑO AISLADO, QUE NO PERJUDICA A NINGUN COMPONENTE DE LA ORGANIZACIÒN
PROVOCA LA DESARTICULACION DE UN COMPONENTE DE LA ORGANIZACIÓN, SI NO SE ATIENDE A
TIEMPO, A LARGO PLAZO PUEDE PROVOCAR LA DESARTICULACION DE LA ORGANIZACIÓN.
EN EL CORTO PLAZO DESMOVILIZA O DESARTICULA A LA ORGANIZACIÓN.
12
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
TABLA 1 DATOS E INFORMACION
CLASIFICACION
ELEMENTOS DE INFORMACION
MAGNITUD DE DAÑO
COSTO DE
CONFIDENCIAL,
PRIVADO,
SENSITIVO
DATOS E INFORMACION
OBLICACION
POR
LEY
/CONTRATO/
CONVENIO
RECUPERACION
(TIEMPO,
ECONIMICO,
MATERIAL
IMAGEN ETC)
INSIGNIFICANTE
(NINGUNO)
X
DOCUMENTOS INSITUTCIONALES
PROYECTOS PLANES EVACIONES INFORMES
ETC.
FINANZAS
SERVICIOS BANCARIOS
RR. HH
DIRECTORIO DE CONTACTOS
PRODUCTOS INSTITUCIONALES
CORREO ELECTRONICO
BAJO
MEDIANO
ALTO
X
X
X
BASES DE DATOS INTERNOS
BASES DE DATOS EXTERNOS
BASES DE DATOS COLABORATIVOS
PAGINA WEB INTERNA (INTRANET)
PAGINA WEB EXTERNA
RESPALDOS
INFRAESTRUCTURA PLANOS
INFORMATICA
BASES DE DATOS DE CONTRASEÑAS
DATOS E INFORMACIONNO
INSTITUCIONALES
NAVEGACION EN INTERNET
CHAT INTERNO
CHAT EXTERNO
LLAMADAS TELEFONICAS INTERNAS
LLAMADAS TELEFONICAS INTERNAS
X
X
X
X
X
X
X
X
X
X
TABLA 2 SISTEMAS E INFRAESTRUCTURA
ELEMENTOS DE INFORMACION
CLASIFICACION
MAGNITUD DE DAÑO
COSTO DE
SISTEMAS E INFRAESTRUCTURA
EQUIPOS DE RED CABLEADOS (ROUTER,
SWITCH, ETC)
EQUIPOS DE LA RED INALAMBRICA (ROUTER,
PUNTO DE ACCESO, ETC)
CORTAFUEGO
SERVIDORES
ACCESO
EXCLUSIVO
ACCESO
ILIMITADO
RECUPERACION
(TIEMPO,
ECONIMICO,
MATERIAL
IMAGEN ETC)
INSIGNIFICANTE
(NINGUNO)
BAJO
MEDIANO
X
X
ALTO
X
X
X
X
X
X
13
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
COMPUTADORAS
PORTATILES
PROGRAMAS DE ADMINISTRACION
PROGRAMAS DE MANEJO DE PROYECTOS
PROGRAMAS DE PRODUCCION DE DATOS
PROGRAMAS
DE
COMUNICACIÓN
(CORREO ELECTRONICO, CHAT, LLAMADAS,
ETC)
IMPRESORAS
MEMORIAS PORTATILES
PBX
(SISTEMAS
TELEFONIA
CONVENCIONAL)
CELULARES
EDIFICIOS, (OFICINAS, RECEPCION, SALA DE
ESPERA, SALA DE REUNION, BODEGA, ETC)
VEHICULOS
FECHA :29/04/2016
X
X
X
X
X
X
X
X
X
X
X
X
TABLA 3 PERSONAL
ELEMENTOS DE INFORMACION
PERSONAL
JUNTA DIRECTIVA
DIRECCION / COORDINACION
ADMINISTACION
PERSONAL TECNICO
RECEPCION
PILOTO/ CONDUCTOR
SOPORTE TECNICO INTERNO
SERVICIO DE LIMPIEZA DE PLANTA
SERVICIO DE LIMPIEZA EXTERNO
SERVICIO DE MENSAJERIA PROPIO
SERVICIO DE MENSAJERIA EXTERNO
CLASIFICACION
IMAGEN PUBLICA
DE ALTO PERFIL
INDISPENSABLE
PARA
FUNCIONAMIENTO
INSTITUCIONAL
PERFIL MEDIO
EXPERTO EN SU
AREA
PERFIL BAJO
NO INDISPENSABLE
PARA
FUNCIONAMIENTO
DE LA INSTITUCION.
MAGNITUD DE DAÑO
BAJO
INSIGNIFICANTE
(NINGUNO)
X
X
MEDIANO
X
X
X
X
X
X
X
X
14
ALTO
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
VALORACIÒN DE PROBABILIDAD DE AMENZAS
INSTRUCCIONES: A CONTINUACION SE PRESENTA 3 TABLAS QUE PERMITEN VALORAR LA PROBABILIDAD DE
AMENZA QUE PODRIAN CAUSAR PERJUICIO DE DISPONIBILIDAD, CONFIDENCIALIDAD, INTEGRIDAD, Y
AUTENTICIDAD DE LA INFORMACION O DE LOS DATOS INSTITUCIONALES.
PARA ELLO UTLICE LAS DIVISIONES DE LA COLUMNA PROBABILIDAD DE AMENAZA, MARCANDO CON UNA
“X” LA OPCIÒN QUE USTED CONSIDERE APLICABLE A SU ORGANIZACIÒN.
PARA DETERMINAR LA PROBABILIDAD DE AMENAZA, APOYESE EN LAS SIGUIENTES CONSIDERACIONES:
¿ CUAL ES EL INTERES O LA ATRACCIÒN POR PARTE DE INDIVIDUOS EXTERNOS, DE ATACARNOS?
CUALES SON LAS VULNERABILIDADES?
CUANTAS VECES YA HAN TRATADO DE ATACARNOS?
INSIGNIFICANTE
(NINGUNO)
BAJO
MEDIANO
ALTO
NO EXISTEN CONDICIONES QUE IMPLIQUEN RIESGO / ATAQUE
EXISTEN CONDICIONES QUE HACEN MUY LEJANA LA POSIBILIDAD DEL ATAQUE
EXISTEN CONDICIONES QUE HACEN POCO PROBABLE UN ATAQUE EN EL CORTO PLAZO PERO QUE
NO SON SUFICIONTES PARA EVITARLO EN EL LARGO PLAZO.
LA REALIZACION DEL ATAQUE ES INMINENTE. NO EXISTE CONDICIONES INTERNAS Y EXTERNAS QUE
IMPIDAN EL DESARROLLO DEL ATAQUE.
TABLA 1: ACTOS ORIGINADOS POR LA CRIMINALIDAD COMUN Y MOTIVACIÒN POLITICA
TIPO DE AMENAZA
ACTOS ORIGINADOS POR LA CRIMINALIDAD COMUN Y
MOTIVACIÒN POLITICA
ALLANAMIENTO (ILEGAL LEGAL)
PERSECUCIÒN (CIVIL, FISCAL, PENAL)
ORDEN DE SECUESTRO / DETENCION
SABOTAJE (ATAQUE FISICO Y ELECTRONICO)
DAÑOS POR VANDALISMO
EXTORSIÒN
FRAUDE / ESTAFA
ROBO / HURTO (FISICO)
ROBO / HURTO DE INFORMACION ELECTRONICA
INTRUSIÒN A RED INTERNA
INFILTRACIÒN
VIRUS / EJECUCIÒN NO AUTORIZADO DE PROGRAMAS
VIOLACION DE DERECHOS DE AUTOR
PROBABILIDAD DE AMENAZA
INSIGNIFICANTE
NINGUNA
BAJA
MEDIANA
ALTA
X
X
X
X
X
X
X
X
X
X
X
X
15
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
TABLA 2 SUCESOS DE ORIGEN FISICO
TIPO DE AMENAZA
PROBABILIDAD DE AMENAZA
SUCESOS DE ORIGEN FISICO
INCENDIO
INUNDACION / DESLAVE
SISMO
DAÑOS DEBIDO AL POLVO
FALTA DE VENTILACION
ELECTROMAGNETISMO
SOBRE CARGA ELECTRICA
FALLA DE CORRIENTE (APAGONES)
FALLA DE SISTEMA / DAÑO DISCO DURO
INSIGNIFICANTE
NINGUNA
BAJA
MEDIANA
ALTA
X
X
X
X
X
X
X
X
X
TABLA 3 SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS Y DECISIONES
INSTITUCIONALES.
TIPO DE AMENAZA
PROBABILIDAD DE AMENAZA
SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE
USUARIOS Y DECISIONES INSTITUCIONALES
FALTA DE INDUCCION, CAPACITACION, Y SENSIBILIDAD SOBRE
RIESGOS
MAL MANEJO DE SISTEMAS Y HERRAMIENTAS
UTILIZACION DE PROGRAMAS NO AUTORIZADOS Y SOFTWARE
PIRATAS
FALTA DE PRUEBAS DE SOFTWARE NUEVO CON DATOS
PRODUCTIVOS (EJ. INSTALACION DE NUEVOS PROGRAMAS SIN
RESPALDAR LOS DATOS ANTERIORMENTE)
PERDIDAD DE DATOS
INFECCION DE SISTEMAS A TRAVEZ DE UNIDADES PORTABLES SIN
ESCANEO
MANEJO INADECUADO DE DATOS CRITICOS
UNIDADES PORTABLES CON INFORMACION SIN CIFRADO
TRANSMISION NO CIFRADA DE DATOS CRITICOS
MANEJO INADECUADO DE CONTRASEÑAS (INSEGURAS, NO
CAMBIAR, COMPARTIDAS ETC)
COMPARTIR CONTRASEÑAS A TERCEROS NO AUTORIZADOS
TRANSMISION DE CONTRASEÑAS POR TELEFONO
EXPOSICION O EXTTRAVIO DE EQUIPOS, UNIDADES POR
ALMACENAMENTO
SOBREPASAR AUTORIDADES
FALTA DE DEFINICION DE PERFIL , PRIVILEGIOS Y RESTRICCIONES
DEL PERSONAL
FALTA DE MANTENIMIENTO FISICO (PROCESO, REPUESTO E
INSUMOS)
FALTA DE ACTUALIZACION DE SOFTWARE
FALLAS EN PERMISOS DE USUARIOS
ACCESO ELECTRONICO NO AUTORIZADO A SISTEMAS EXTERNOS
INSIGNIFICANTE
NINGUNA
BAJA
MEDIANA
ALTA
X
X
X
X
X
º
X
X
X
X
X
X
X
X
X
X
X
X
X
X
16
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
ACCESOS ELECTRONICO NO AUTORIZADO A SISTEMAS INTERNOS
RED CABLEADA EXPUESTA PARA EL ACCESO NO AUTORIZADO
RED INALAMBRICA EXPUESTA AL ACCESO NO AUTORIZADO
DEPENDENCIA A SERVICIO TECNICO EXTERNO
FALTA DE NORMAS Y REGLAS CLARAS (NO INSTITUCIONALIZAR EL
ESTUDIO DE LOS RIESGOS
FALTA DE MECANISMOS DE VERIFICACION DE NORMAS Y REGLAS
/ANALISIS INADECUADO DE DATOS DE CONTROL
AUSENCIA DE DOCUMENTACION
FECHA :29/04/2016
X
X
X
X
X
X
X
17
Datos e Información
Bases de datos internos
Respaldos
Datos e información no
institucionales
Navegación en Internet
Llamadas telefónicas internas
Documentos institucionales
(Proyectos, Planes,
Evaluaciones, Informes, etc.)
Página Web externa
Costo de recuperación (tiempo,
económico, material, imagen,
emocional)
Obligación por ley / Contrato /
Convenio
Confidencial, Privado, Sensitivo
x
Incendio
Inundación / deslave
Sismo
Polvo
Falta de ventilación
Electromagnetismo
Sobrecarga eléctrica
Falla de corriente (apagones)
Falla de sistema / Daño disco
duro
Falta de inducción, capacitación y
sensibilización sobre riesgos
Mal manejo de sistemas y
herramientas
Utilización de programas no
autorizados / software 'pirateado'
Falta de pruebas de software
nuevo con datos productivos
Perdida de datos
Infección de sistemas a través de
unidades portables sin escaneo
Manejo inadecuado de datos
críticos (codificar, borrar, etc.)
Unidades portables con
información sin cifrado
Transmisión no cifrada de datos
críticos
Manejo inadecuado de
contraseñas (inseguras, no
cambiar, compartidas, BD
Compartir contraseñas o permisos
a terceros no autorizados
Transmisión de contraseñas por
teléfono
Exposición o extravío de equipo,
unidades de almacenamiento, etc
Sobrepasar autoridades
Falta de definición de perfil,
privilegios y restricciones del
personal
Falta de mantenimiento físico
(proceso, repuestos e insumos)
Falta de actualización de software
(proceso y recursos)
Fallas en permisos de usuarios
(acceso a archivos)
Acceso electrónico no autorizado
a sistemas externos
Acceso electrónico no autorizado
a sistemas internos
Red cableada expuesta para el
acceso no autorizado
Red inalámbrica expuesta al
acceso no autorizado
Dependencia a servicio técnico
externo
Falta de normas y reglas claras
(no institucionalizar el estudio de
los riesgos)
Falta de mecanismos de
verificación de normas y reglas /
Análisis inadecuado de datos de
Ausencia de documentación
x
Violación a derechos de autor
x
Virus / Ejecución no autorizado de
programas
Página Web interna (Intranet)
Infiltración
Bases de datos colaborativos
Intrusión a Red interna
Bases de datos externos
Robo / Hurto de información
electrónica
x
Robo / Hurto (físico)
Correo electrónico
Fraude / Estafa
Productos institucionales
(Investigaciones, Folletos,
Fotos, etc.)
Extorsión
Directorio de Contactos
Daños por vandalismo
RR.HH
Sabotaje (ataque físico y
electrónico)
Servicios bancarios
Orden de secuestro / Detención
Finanzas
Persecución (civil, fiscal, penal)
x
Magnitud de Daño:
[1 =
Insignificante
2 = Bajo
3 = Mediano
4 = Alto]
Allanamiento (ilegal, legal)
Matriz_Analisis_Riesgo lleno
1_Datos
Matriz de Análisis de Riesgo
Clasificación
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Actos originados por la criminalidad común y motivación política
Sucesos de origen físico
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
1
1
1
3
1
2
1
1
3
2
2
3
2
2
2
1
2
2
2
3
3
2
2
2
2
2
3
2
3
3
3
3
3
2
2
2
2
2
3
2
2
2
2
2
3
2
2
3
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
4
4
4
4
12
4
8
4
4
12
8
8
12
8
8
8
4
8
8
8
12
12
8
8
8
8
8
12
8
12
12
12
12
12
8
8
8
8
8
12
8
8
8
8
8
12
8
8
12
4
4
4
4
12
4
8
4
4
12
8
8
12
8
8
8
4
8
8
8
12
12
8
8
8
8
8
12
8
12
12
12
12
12
8
8
8
8
8
12
8
8
8
8
8
12
8
8
12
3
3
3
3
9
3
6
3
3
9
6
6
9
6
6
6
3
6
6
6
9
9
6
6
6
6
6
9
6
9
9
9
9
9
6
6
6
6
6
9
6
6
6
6
6
9
6
6
9
Infraestructura (Planes,
Documentación, etc.)
3
3
3
3
9
3
6
3
3
9
6
6
9
6
6
6
3
6
6
6
9
9
6
6
6
6
6
9
6
9
9
9
9
9
6
6
6
6
6
9
6
6
6
6
6
9
6
6
9
Informática (Planes,
Documentación, etc.)
Base de datos de Contraseñas
Chat interno
Chat externo
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
x
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
x
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
Llamadas telefónicas externas
Page 1
Allanamiento (ilegal, legal)
Persecución (civil, fiscal, penal)
Orden de secuestro / Detención
Sabotaje (ataque físico y
electrónico)
Daños por vandalismo
Extorsión
Fraude / Estafa
Robo / Hurto (físico)
Robo / Hurto de información
electrónica
Intrusión a Red interna
Infiltración
Virus / Ejecución no autorizado de
programas
Violación a derechos de autor
Incendio
Inundación / deslave
Sismo
Polvo
Falta de ventilación
Electromagnetismo
Falla de corriente (apagones)
Falla de sistema / Daño disco
duro
Falta de inducción, capacitación y
sensibilización sobre riesgos
Mal manejo de sistemas y
herramientas
Utilización de programas no
autorizados / software 'pirateado'
Falta de pruebas de software
nuevo con datos productivos
Perdida de datos
Infección de sistemas a través de
unidades portables sin escaneo
Compartir contraseñas o permisos
a terceros no autorizados
Transmisión de contraseñas por
teléfono
Exposición o extravío de equipo,
unidades de almacenamiento, etc
Sobrepasar autoridades
Falta de definición de perfil,
privilegios y restricciones del
personal
Falta de mantenimiento físico
(proceso, repuestos e insumos)
Falta de actualización de software
(proceso y recursos)
Fallas en permisos de usuarios
(acceso a archivos)
Acceso electrónico no autorizado
a sistemas externos
Acceso electrónico no autorizado
a sistemas internos
Red cableada expuesta para el
acceso no autorizado
Red inalámbrica expuesta al
acceso no autorizado
Dependencia a servicio técnico
externo
Falta de normas y reglas claras
(no institucionalizar el estudio de
los riesgos)
Falta de mecanismos de
verificación de normas y reglas /
Análisis inadecuado de datos de
1
1
1
3
1
2
1
1
3
2
2
3
2
2
2
1
2
2
2
3
3
2
2
2
2
2
3
2
3
3
3
3
3
2
2
2
2
2
3
2
2
2
2
2
3
2
2
3
Equipos de la red cableada
(router, switch, etc.)
x
4
4
4
4
12
4
8
4
4
12
8
8
12
8
8
8
4
8
8
8
12
12
8
8
8
8
8
12
8
12
12
12
12
12
8
8
8
8
8
12
8
8
8
8
8
12
8
8
12
Equipos de la red inalámbrica
(router, punto de acceso, etc.)
x
3
3
3
3
9
3
6
3
3
9
6
6
9
6
6
6
3
6
6
6
9
9
6
6
6
6
6
9
6
9
9
9
9
9
6
6
6
6
6
9
6
6
6
6
6
9
6
6
9
Cortafuego
x
4
4
4
4
12
4
8
4
4
12
8
8
12
8
8
8
4
8
8
8
12
12
8
8
8
8
8
12
8
12
12
12
12
12
8
8
8
8
8
12
8
8
8
8
8
12
8
8
12
Servidores
x
Programas de administración
(contabilidad, manejo de
personal, etc.)
Sistemas e Infraestructura
Costo de recuperación (tiempo,
económico, material, imagen,
emocional)
Acceso ilimitado
Acceso exclusivo
4
4
4
4
12
4
8
4
4
12
8
8
12
8
8
8
4
8
8
8
12
12
8
8
8
8
8
12
8
12
12
12
12
12
8
8
8
8
8
12
8
8
8
8
8
12
8
8
12
Computadoras
x
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
Portátiles
x
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
3
3
3
3
9
3
6
3
3
9
6
6
9
6
6
6
3
6
6
6
9
9
6
6
6
6
6
9
6
9
9
9
9
9
6
6
6
6
6
9
6
6
6
6
6
9
6
6
9
x
Magnitud de Daño:
[1 =
Insignificante
2 = Bajo
3 = Mediano
4 = Alto]
Celulares
Edificio (Oficinas, Recepción,
Sala de espera, Sala de
reunión, Bodega, etc.)
Vehículos
Page 1
Ausencia de documentación
Manejo inadecuado de
contraseñas (inseguras, no
cambiar, compartidas, BD
Sucesos de origen físico
Transmisión no cifrada de datos
críticos
Actos originados por la criminalidad común y motivación política
Unidades portables con
información sin cifrado
Clasificación
Manejo inadecuado de datos
críticos (codificar, borrar, etc.)
Matriz de Análisis de Riesgo
Sobrecarga eléctrica
Matriz_Analisis_Riesgo lleno
2_Sistemas
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Programas de manejo de
proyectos
Programas de producción de
datos
Programas de comunicación
(correo electrónico, chat,
llamadas telefónicas, etc.)
Impresoras
x
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
Memorias portátiles
x
1
1
1
1
3
1
2
1
1
3
2
2
3
2
2
2
1
2
2
2
3
3
2
2
2
2
2
3
2
3
3
3
3
3
2
2
2
2
2
3
2
2
2
2
2
3
2
2
3
PBX (Sistema de telefonía
convencional)
x
1
1
1
1
3
1
2
1
1
3
2
2
3
2
2
2
1
2
2
2
3
3
2
2
2
2
2
3
2
3
3
3
3
3
2
2
2
2
2
3
2
2
2
2
2
3
2
2
3
Allanamiento (ilegal, legal)
Persecución (civil, fiscal, penal)
Orden de secuestro / Detención
Sabotaje (ataque físico y
electrónico)
Daños por vandalismo
Extorsión
Fraude / Estafa
Robo / Hurto (físico)
Robo / Hurto de información
electrónica
Intrusión a Red interna
Infiltración
Virus / Ejecución no autorizado de
programas
Violación a derechos de autor
Incendio
Inundación / deslave
Sismo
Polvo
Falta de ventilación
Electromagnetismo
Sobrecarga eléctrica
Falla de corriente (apagones)
Falla de sistema / Daño disco
duro
Falta de inducción, capacitación y
sensibilización sobre riesgos
Mal manejo de sistemas y
herramientas
Utilización de programas no
autorizados / software 'pirateado'
Falta de pruebas de software
nuevo con datos productivos
Perdida de datos
Infección de sistemas a través de
unidades portables sin escaneo
Manejo inadecuado de datos
críticos (codificar, borrar, etc.)
Unidades portables con
información sin cifrado
Transmisión no cifrada de datos
críticos
Manejo inadecuado de
contraseñas (inseguras, no
cambiar, compartidas, BD
Compartir contraseñas o permisos
a terceros no autorizados
Transmisión de contraseñas por
teléfono
Exposición o extravío de equipo,
unidades de almacenamiento, etc
Sobrepasar autoridades
Falta de definición de perfil,
privilegios y restricciones del
personal
Falta de mantenimiento físico
(proceso, repuestos e insumos)
Falta de actualización de software
(proceso y recursos)
Fallas en permisos de usuarios
(acceso a archivos)
Acceso electrónico no autorizado
a sistemas externos
Acceso electrónico no autorizado
a sistemas internos
Red cableada expuesta para el
acceso no autorizado
Red inalámbrica expuesta al
acceso no autorizado
Dependencia a servicio técnico
externo
Falta de normas y reglas claras
(no institucionalizar el estudio de
los riesgos)
Falta de mecanismos de
verificación de normas y reglas /
Análisis inadecuado de datos de
Ausencia de documentación
Personal
1
1
1
3
1
2
1
1
3
2
2
3
2
2
2
1
2
2
2
3
3
2
2
2
2
2
3
2
3
3
3
3
3
2
2
2
2
2
3
2
2
2
2
2
3
2
2
3
Junta Directiva
x
3
3
3
3
9
3
6
3
3
9
6
6
9
6
6
6
3
6
6
6
9
9
6
6
6
6
6
9
6
9
9
9
9
9
6
6
6
6
6
9
6
6
6
6
6
9
6
6
9
Dirección / Coordinación
x
3
3
3
3
9
3
6
3
3
9
6
6
9
6
6
6
3
6
6
6
9
9
6
6
6
6
6
9
6
9
9
9
9
9
6
6
6
6
6
9
6
6
6
6
6
9
6
6
9
Informática / Soporte técnico
interno
Perfil bajo, no indispensable para
funcionamiento institucional
Perfil medio, experto en su área
Imagen pública de alto perfil,
indispensable para funcionamiento
institucional
Matriz_Analisis_Riesgo lleno
3_Personal
Matriz de Análisis de Riesgo
Clasificación
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Actos originados por la criminalidad común y motivación política
Magnitud de Daño:
[1 =
Insignificante
2 = Bajo
3 = Mediano
4 = Alto]
Sucesos de origen físico
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Administración
x
3
3
3
3
9
3
6
3
3
9
6
6
9
6
6
6
3
6
6
6
9
9
6
6
6
6
6
9
6
9
9
9
9
9
6
6
6
6
6
9
6
6
6
6
6
9
6
6
9
Personal técnico
Recepción
x
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
Piloto / conductor
x
2
2
2
2
6
2
4
2
2
6
4
4
6
4
4
4
2
4
4
4
6
6
4
4
4
4
4
6
4
6
6
6
6
6
4
4
4
4
4
6
4
4
4
4
4
6
4
4
6
Soporte técnico externo
Servicio de limpieza de planta
Servicio de limpieza externo
Servicio de mensajería de
propio
Servicio de mensajería de
externo
Page 1
Fuente
Valoración
Escala
Ninguna
Baja
Mediana
Alta
1
2
3
4
Valor_min Valor_max
1
4
8
12
Lineas
3
6
9
16
x
1.0
1.1
1.2
1.3
1.4
1.5
1.6
1.8
1.8
1.9
2.0
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
3.0
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
Page 1
Umbral
Medio
Riesgo
7
y
7.0
6.4
5.8
5.4
5.0
4.7
4.4
4.0
3.9
3.7
3.5
3.3
3.2
3.0
2.9
2.8
2.7
2.6
2.5
2.4
2.3
2.3
2.2
2.1
2.1
2.0
1.9
1.9
1.8
1.8
Umbral
Alto
Riesgo
10.5
y
10.5
9.5
8.8
8.1
7.5
7.0
6.6
6.0
5.8
5.5
5.3
5.0
4.8
4.6
4.4
4.2
4.0
3.9
3.8
3.6
3.5
3.4
3.3
3.2
3.1
3.0
2.9
2.8
2.8
2.7
Fuente
4.0
Page 2
1.8
2.6
Matriz_Analisis_Riesgo lleno
Analisis_Factores
Etiqueta
Criminalidad y Político /
Datos e Información
Sucesos de origen físico
/ Datos e Información
Sucesos de origen físico
/ Sistemas e
Infraestructura
Sucesos de origen físico
/ Personal
Negligencia y
Institucional / Datos e
Información
Negligencia y
Institucional / Sistemas
e Infraestructura
Negligencia y
Institucional / Personal
X
1.769230769
Criminalidad y Político /
Criminalidad y Político /
Sistemas e
Personal
Infraestructura
1.769230769
1.769230769
2.111111111
2.111111111
2.111111111
2.346153846
2.346153846
2.346153846
Y
2.75
2.6
2.6
2.75
2.6
2.6
2.75
2.6
2.6
Análisis de Factores de Riesgo
Criminalidad y Político / Datos e Información
Criminalidad y Político / Sistemas e
Infraestructura
Magnitud de Daño
Criminalidad y Político / Personal
Sucesos de origen físico / Datos e
Información
Sucesos de origen físico / Sistemas e
Infraestructura
Sucesos de origen físico / Personal
Negligencia y Institucional / Datos e
Información
Negligencia y Institucional / Sistemas e
Infraestructura
Negligencia y Institucional / Personal
Umbral Medio Riesgo
Umbral Alto Riesgo
Probalidad de Amenaza
Página 1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.12
MAC ADRESS
00:1A:6B:5D:47:0C
HOST NAME
KOLIVERA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 7
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
5357/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
995 FILTERED PORTS
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR.
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.16
MAC ADRESS
00: 1a: 6b: 5d: 52: fc
HOST NAME
ESTELA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 7 SP0 - SP1, WINDOWS SERVER 2008 SP1,
WINDOWS 8, OR WINDOWS 8.1 UPDATE 1
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS (PRIMARY DOMAIN: ADMINISTRACION)
554/TCP OPEN RTSP?
2869/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
5357/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
|_HTTP-SERVER-HEADER: MICROSOFT-HTTPAPI/2.0
|_HTTP-TITLE: SERVICE UNAVAILABLE
10243/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
|_HTTP-SERVER-HEADER: MICROSOFT-HTTPAPI/2.0
|_HTTP-TITLE: NOT FOUND
49152/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49153/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49154/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49155/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49158/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49159/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
MEDIO
EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA
VULNERABILIDAD DE ELEVACIÓN DE PRIVILEGIOS EN EL ADMINISTRADOR DE
CUENTAS DE SEGURIDAD (SAM) Y LA AUTORIDAD DE SEGURIDAD LOCAL
(DIRECTIVA DE DOMINIO) (LSAD) PROTOCOLOS POR ACUMULACIÓN
INDEBIDA DE NEGOCIACIÓN NIVEL DE AUTENTICACIÓN A TRAVÉS DE
CANALES DE LLAMADA A PROCEDIMIENTO REMOTO (RPC). UN HOMBRE-ENEL-MEDIO ATACANTE PUEDE INTERCEPTAR LAS COMUNICACIONES ENTRE UN
CLIENTE Y UN SERVIDOR QUE ALOJA UNA BASE DE DATOS SAM PUEDE
APROVECHAR ESTO PARA FORZAR EL NIVEL DE AUTENTICACIÓN DE REBAJAR,
PERMITIENDO AL ATACANTE HACERSE PASAR POR UN USUARIO
AUTENTICADO Y ACCEDER A LA BASE DE DATOS SAM
EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD
DE ELEVACIÓN DE PRIVILEGIOS
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.17
MAC ADRESS
60: 02: 92: b5: 7f: 15
HOST NAME
NOMINA-PC
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 2008
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
1801/TCP OPEN MSMQ?
2103/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
2105/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
2107/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
9080/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
|_HTTP-SERVER-HEADER: MICROSOFT-HTTPAPI/2.0
|_HTTP-TITLE: NOT FOUND
9081/TCP OPEN UNKNOWN
49152/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49153/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49154/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49158/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49159/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49160/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49161/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.19
MAC ADRESS
00:1A:6B:5D:48:06
HOST NAME
_________________
SISTEMA OPERATIVO
_________________
PUERTOS
CLOSED
ALL 1000 SCANNED PORTS ON 10.0.6.19 ARE FILTERED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.20
MAC ADRESS
00:1A:6B:5D:46:7A
HOST NAME
DELTORO
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS XP SP3
1 CLOSED PORT
135/TCP OPEN
139/TCP OPEN
445/TCP OPEN
1029/TCP OPEN
1801/TCP OPEN
2103/TCP OPEN
2105/TCP OPEN
2107/TCP OPEN
MSRPC
MICROSOFT WINDOWS RPC
NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
MSRPC
MICROSOFT WINDOWS RPC
MSMQ?
MSRPC
MICROSOFT WINDOWS RPC
MSRPC
MICROSOFT WINDOWS RPC
MSRPC
MICROSOFT WINDOWS RPC
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA
ACTUALMENTE.
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR.
COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES
DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO PROBABLE PARA
INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
ALTO
PARA RESTRINGIR EL ACCESO EN WINDOWS, ABRA EL EXPLORADOR, HAGA
UN CLIC DERECHO SOBRE CADA ACCIÓN, VAYA A LA PESTAÑA
"COMPARTIR", Y HAGA CLIC EN 'PERMISOS
EL CONTROL REMOTO TIENE UNO O MÁS RECURSOS COMPARTIDOS DE
WINDOWS QUE SE PUEDE ACCEDER A TRAVÉS DE LA RED CON LAS
CREDENCIALES DADAS. EN FUNCIÓN DE LOS DERECHOS DE ASIGNACIÓN, QUE
PUEDE PERMITIR A UN ATACANTE LEER / ESCRIBIR DATOS CONFIDENCIALES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST.
EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA
'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.100
MAC ADRESS
00:1C:10:36:A6:4C
HOST NAME
CISCO-LINKSYS
SISTEMA OPERATIVO
_______________
PUERTOS
CLOSED
_______________
ALL 1000 SCANNED PORTS ON 10.0.6.100 ARE FILTERED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.200
MAC ADRESS
C8:D7:19:E7:A4:57
HOST NAME
CISCO-LINKSYS
SISTEMA OPERATIVO
_______________
PUERTOS
CLOSED
_______________
ALL 1000 SCANNED PORTS ON 10.0.6.200 ARE FILTERED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
MAC ADRESS
10.0.6.250
00: 22: CA: 00: FA: 76
HOST NAME
SISTEMA OPERATIVO
_______________
PUERTOS
CLOSED
_______________
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
IP
FOR 10.0.7.3
MAC ADRESS
MAC ADDRESS: 00:1A:6B:5D:46:69
HOST NAME
EDELATORRE
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
ALL 1000 SCANNED PORTS ON 10.0.7.3 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
IP
FOR 10.0.7.4
MAC ADRESS
00: 1A: 6B: 5D: 52: A4
HOST NAME
___________________
SISTEMA OPERATIVO
___________________
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
ALL 1000 SCANNED PORTS ON 10.0.7.4 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
IP
FOR 10.0.7.5
MAC ADRESS
00:25:11:A5:A1:EE
HOST NAME
MIGUEL
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
WINDOWS SERVER 2008 R2, MICROSOFT WINDOWS EMBEDDED STANDARD
7, MICROSOFT WINDOWS PHONE 7.5 OR 8.0, MICROSOFT WINDOWS VISTA
SP0 OR SP1, WINDOWS SERVER 2008 SP1, OR WINDOWS 7, MICROSOFT
WINDOWS VISTA SP2, WINDOWS 7 SP1, OR WINDOWS SERVER 2008
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
MAC ADDRESS: 00:25:11:A5:A1:EE (ELITEGROUP COMPUTER SYSTEM)
997 FILTERED PORTS
NULO
0
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
IP
10.0.7.6
MAC ADRESS
00:1A:6B:5D:47:07
HOST NAME
TCASTILLO
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 7
989 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
1688/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49152/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49153/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49154/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49155/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49156/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49158/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49160/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
MEDIO
MICROSOFT HA PUBLICADO UN CONJUNTO DE PARCHES PARA WINDOWS
VISTA, 2008, 7, 2008 R2, 2012, 8.1, 8.1 RT 2012 R2, Y 10
EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD
DE ELEVACIÓN DE PRIVILEGIOS EN EL ADMINISTRADOR DE CUENTAS DE
SEGURIDAD (SAM) Y LA AUTORIDAD DE SEGURIDAD LOCAL (DIRECTIVA DE
DOMINIO) (LSAD) PROTOCOLOS POR ACUMULACIÓN INDEBIDA DE
NEGOCIACIÓN NIVEL DE AUTENTICACIÓN A TRAVÉS DE CANALES DE LLAMADA
A PROCEDIMIENTO REMOTO (RPC).UN HOMBRE-EN-EL-MEDIO ATACANTE
PUEDE INTERCEPTAR LAS COMUNICACIONES ENTRE UN CLIENTE Y UN
SERVIDOR QUE ALOJA UNA BASE DE DATOS SAM PUEDE APROVECHAR ESTO
PARA FORZAR EL NIVEL DE AUTENTICACIÓN DE REBAJAR, PERMITIENDO AL
ATACANTE HACERSE PASAR POR UN USUARIO AUTENTICADO Y ACCEDER A LA
BASE DE DATOS SAM
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
IP
10.0.7.7
MAC ADRESS
00:1A:6B:5D:45:7B
HOST NAME
LPRESUEL
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 7
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
MAC ADDRESS: 00:1A:6B:5D:45:7B (UNIVERSAL GLOBAL SCIENTIFIC
INDUSTRIAL)
997 FILTERED PORTS
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
IP
10.0.7.8
MAC ADRESS
00:25:11:AE:88:FB
HOST NAME
LCONTRERAS
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 7|2008|8.1
989 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10
MICROSOFT-DS
8093/TCP OPEN HTTP
INDY HTTPD 9.00.10
|_HTTP-FAVICON: UNKNOWN FAVICON MD5:
D827A8524C3BFEBFF676AF02C8A9797D
|_HTTP-GENERATOR: REMOBJECTS SDK FOR .NET {1}
| HTTP-METHODS:
|_ SUPPORTED METHODS: GET HEAD POST
|_HTTP-SERVER-HEADER: INDY/9.00.10
|_HTTP-TITLE: GREGHSRWLIB - REMOBJECTS SDK FOR .NET V1.0.2001.0
49152/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49153/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49154/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49155/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49158/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49159/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49160/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.7.X
HALLAZGOS ENCONTRADOS
IP
10.0.7.10
MAC ADRESS
6C: F0: 49: E0: F9: 9E
HOST NAME
FVILLANUEVA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 7
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
997 FILTERED PORTS
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
EXPLOTABLE
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA
METASPLOIT (VERDADERO)
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
IP
192.168.7.1
MAC ADRESS
C8:D7:19:E7:A5:4B
HOST NAME
CISCO-LINKSYS
SISTEMA OPERATIVO
________________
PUERTOS
CLOSED
999 CLOSED PORTS
80/TCP OPEN HTTP
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
ALTO
CONECTAR A ESTE PUERTO CON UN NAVEGADOR WEB, Y HACER CLIC EN
"CONTRASEÑA"
SECCIÓN PARA CONFIGURAR UNA CONTRASEÑA SEGURA
EL DISPOSITIVO LINKSYS REMOTO TIENE SU CONTRASEÑA POR DEFECTO (
"ADMIN") SET.
UN ATACANTE PUEDE CONECTARSE A ÉL Y VOLVER A CONFIGURAR
UTILIZANDO ESTA CUENTA
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
IP
MAC ADRESS
192.168.7.115
18:3A:2D:D2:29:CA
HOST NAME
SISTEMA OPERATIVO
________________
________________
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
ALL 1000 SCANNED PORTS ON 192.168.7.115 ARE CLOSED
NULO
0
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
IP
MAC ADRESS
HOST NAME
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
192.168.7.126
58:55:CA:1C:64:EA
APPLE
995 CLOSED PORTS
3689/TCP OPEN RENDEZVOUS
5000/TCP OPEN UPNP
7000/TCP OPEN AFS3-FILESERVER
7100/TCP OPEN FONT-SERVICE
62078/TCP OPEN IPHONE-SYNC
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
CRITICO
ASCIENDE A APPLE TV 7.2 O POSTERIOR. TENGA EN CUENTA QUE ESTA
ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y
LOS MODELOS POSTERIORES
DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL
TELEVISOR APPLE ES UNA VERSIÓN ANTERIOR A LA 7.2. ESTÁ, POR LO TANTO,
AFECTADA POR LAS SIGUIENTES VULNERABILIDADES: -. EXISTEN MÚLTIPLES
VULNERABILIDADES DE CORRUPCIÓN DE MEMORIA EN WEBKIT, DEBIDO A LA
ENTRADA PROPORCIONADA POR EL USUARIO INCORRECTAMENTE VALIDADO
. UN ATACANTE REMOTO, USANDO UN SITIO WEB ESPECIALMENTE DISEÑADO,
SE PUEDE EXPLOTAR ESTOS PARA EJECUTAR CÓDIGO ARBITRARIO (CVE-2015
-1068, CVE-2015-1069, CVE-2015-1070, CVE-2015-1071, CVE-2015-1072,
CVE-2015-1073, CVE-2015-1074, CVE-2015-1076, CVE-2015-1077 , CVE2015-1078, CVE-2015-1079, CVE-2015-1080, CVE-2015-1081, CVE-20151082, CVE-2015-1083, CVE-2015-1119, CVE-2015-1120, CVE -2015-1121,
CVE-2015-1122, CVE-2015-1123, CVE-2015-1124) - EXISTE UN ERROR EN LA
IOKIT OBJETOS DEBIDO A UNA VALIDACIÓN INCORRECTA DE LOS METADATOS
UTILIZADO POR UN CONTROLADOR DE AUDIO, QUE PERMITE LA EJECUCIÓN
DE CÓDIGO ARBITRARIO. (CVE-2015-1086) - EXISTE UNA ENTIDAD EXTERNA
XML (XXE) VULNERABILIDAD DE INYECCIÓN EN EL NSXMLPARSER DEBIDO A UN
MANEJO INADECUADO DE LOS ARCHIVOS XML, QUE PERMITE LA
DIVULGACIÓN DE INFORMACIÓN. (CVE-2015-1092) - EXISTE UN ERROR EN LA
IOACCELERATORFAMILY QUE PERMITE EL DISEÑO DE MEMORIA DEL KERNEL
PARA SER REVELADA. (CVE-2015-1094) - EXISTE UNA VULNERABILIDAD DE
CORRUPCIÓN DE MEMORIA EN LA API IOHIDFAMILY QUE PERMITE LA
EJECUCIÓN DE CÓDIGO ARBITRARIO. (CVE-2015-1095) - EXISTE UN ERROR EN
LA IOHIDFAMILY DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA , LO
QUE PERMITE EL DISEÑO DE MEMORIA DEL KERNEL PARA SER REVELADA. (CVE2015-1096) - EXISTE UN ERROR EN LA MOBILEFRAMEBUFFER DEBIDO A LA
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
COMPROBACIÓN DE LÍMITES INCORRECTA, LO QUE PERMITE EL DISEÑO DE
MEMORIA DEL KERNEL PARA SER REVELADA. (CVE-2015-1097) - UNA
VULNERABILIDAD DE DENEGACIÓN DE SERVICIO EN LA LLAMADA AL SISTEMA
SETREUID () DEBIDO A UNA CONDICIÓN DE CARRERA. (CVE-2015-1099) EXISTE UN ERROR DE MEMORIA FUERA DE LOS LÍMITES EN EL NÚCLEO QUE
PERMITE UNA ATAQUE DE DENEGACIÓN DE SERVICIO O DE LA DIVULGACIÓN
DE LA INFORMACIÓN. (CVE-2015-1100) - EXISTE UNA VULNERABILIDAD DE
CORRUPCIÓN DE MEMORIA EN EL NÚCLEO QUE PERMITE LA EJECUCIÓN DE
CÓDIGO ARBITRARIO. (CVE-2015-1101) - UNA VULNERABILIDAD DE
DENEGACIÓN DE SERVICIO EXISTE DEBIDO A UNA INCONSISTENCIA ESTADO
EN EL PROCESAMIENTO DE CABECERAS TCP, QUE SÓLO PUEDE SER EXPLOTADA
DE UNA RED ADYACENTE. (CVE-2015-1102) - EXISTE UNA VULNERABILIDAD
QUE PERMITE A UNA MAN-IN-THE-MIDDLE ATACANTE REDIRIGIR EL TRÁFICO A
TRAVÉS DE LAS REDIRECCIONES ICMP. (CVE-2015-1103) - UNA
VULNERABILIDAD DE SEGURIDAD DE BYPASS EXISTE DEBIDO AL SISTEMA DE
TRATAMIENTO DE PAQUETES IPV6 REMOTAS COMO LOS PAQUETES LOCALES,
LO QUE PERMITE A UN ATACANTE ELUDIR LOS FILTROS DE RED. ( CVE-20151104) - UNA VULNERABILIDAD DE DENEGACIÓN DE SERVICIO EXISTE DEBIDO
AL PROCESAMIENTO INCORRECTO DE LOS DATOS TCP FUERA DE LA BANDA,
LO QUE PERMITE UNA DENEGACIÓN DE SERVICIO POR UN ATACANTE
REMOTO. (CVE-2015-1105) - EXISTE UNA VULNERABILIDAD DE DIVULGACIÓN
DE INFORMACIÓN DEBIDO A IDENTIFICADORES ÚNICOS QUE SE ENVÍA A LOS
SERVIDORES REMOTOS CUANDO LA DESCARGA DE LOS ACTIVOS DE UN
PODCAST. (CVE-2015-1110) - EXISTE UNA VULNERABILIDAD DE DIVULGACIÓN
DE INFORMACIÓN EN EL ENTORNO LIMITADO DE APLICACIONES DE TERCEROS
QUE PERMITE A LOS IDENTIFICADORES DE HARDWARE SEAN ACCESIBLES POR
OTRAS APLICACIONES. (CVE-2015-1114) - EXISTE UNA VULNERABILIDAD DE
ELEVACIÓN DE PRIVILEGIOS EN EL SETREUID () Y SISTEMA DE SETREGID () LLAMA
DEBIDO A UN FALLO DE REDUCIR LOS PRIVILEGIOS DE FORMA PERMANENTE.
(CVE-2015-1117)- UNA VULNERABILIDAD DE CORRUPCIÓN DE MEMORIA
DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA EN EL TRATAMIENTO
DE PERFILES DE CONFIGURACIÓN, LO QUE PERMITE UN ATAQUE DE
DENEGACIÓN DE SERVICIO. (CVE-2015-1118
CRITICO
ASCIENDE A APPLE TV VERSIÓN 7.2.1 O POSTERIOR. TENGA EN CUENTA QUE
ESTA ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LOS MODELOS DE 3ª
GENERACIÓN
DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL
TELEVISOR DE APPLE ES UNA VERSIÓN ANTERIOR A 7.2.1. ESTÁ, POR LO
TANTO, AFECTADA POR MÚLTIPLES VULNERABILIDADES EN LOS SIGUIENTES
COMPONENTES: - BOOTP - CFPREFERENCES - CLOUDKIT - FIRMA DE
CÓDIGO - COREMEDIA REPRODUCCIÓN - CORETEXT - DISKIMAGES FONTPARSER - IMAGEIO - IOHIDFAMILY - IOKIT - KERNEL - LIBC - LIBINFO LIBPTHREAD - LIBXML2 - LIBXPC - LIBXSLT - MARCO UBICACIÓN - VISOR DE
OFICINA - OFICINA QL - SANDBOX_PROFILES - WEBKIT
CRITICO
ASCIENDE A APPLE TV 7.1 O POSTERIOR. TENGA EN CUENTA QUE ESTA
ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y
LOS MODELOS POSTERIORES
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL
TELEVISOR APPLE ES UNA VERSIÓN ANTERIOR A LA 7.1. ESTÁ, POR LO TANTO,
AFECTADA POR LAS SIGUIENTES VULNERABILIDADES: - UN ERROR DE TIPO CREE
CONFUSIÓN EN RELACIÓN CON 'IOSURFACE' Y LA MANIPULACIÓN DE
OBJETOS EN SERIE, QUE PERMITEN LA EJECUCIÓN DE CÓDIGO
ARBITRARIO. (CVE-2015-1061) EXISTE
UN
ERROR
EN
'MOBILESTORAGEMOUNTER' RELACIONADA CON LA LÓGICA DE MONTAJE
DEL DISCO DESARROLLADOR Y CARPETAS DE IMÁGENES DE DISCO NO
VÁLIDOS QUE PERMITE QUE UNA APLICACIÓN MALICIOSA PARA CREAR
CARPETAS EN LAS UBICACIONES DE CONFIANZA. (CVE-2015-1062) - UNA
VULNERABILIDAD DE BYPASS DE SEGURIDAD, CONOCIDO COMO FREAK
(ATAQUE CONTRA RSA-EXPORTAR CLAVES FACTORING), EXISTE GRACIAS AL
APOYO DE LA DEBILIDAD DE SUITES EXPORT_RSA DE CIFRADO CON CLAVES
MENORES O IGUALES A 512 BITS. UN ATACANTE MAN-IN-THE-MIDDLE PUEDE
SER CAPAZ DE DEGRADAR LA CONEXIÓN SSL / TLS PARA UTILIZAR
CONJUNTOS DE CIFRADO EXPORT_RSA QUE PUEDE SER UN FACTOR EN UN
CORTO PERIODO DE TIEMPO, LO QUE PERMITE AL ATACANTE PARA
INTERCEPTAR Y DESCIFRAR EL TRÁFICO. (CVE-2015-1067
ALTO
ASCIENDE A APPLE TV 7.0.2 O POSTERIOR. TENGA EN CUENTA QUE ESTA
ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y
LOS MODELOS POSTERIORES
DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL
TELEVISOR DE APPLE ES UNA VERSIÓN ANTERIOR A 7.0.2. ESTÁ, POR LO
TANTO, AFECTADA POR LAS SIGUIENTES VULNERABILIDADES: - PROBLEMAS DE
CORRUPCIÓN DE MEMORIA EXISTEN MÚLTIPLES RELACIONADAS CON LA
VERSIÓN INCLUIDA DE WEBKIT QUE PERMITEN BLOQUEOS DE LA APLICACIÓN
O LA EJECUCIÓN DE CÓDIGO ARBITRARIO. (CVE-2014-4452, CVE-2.014 A
4.462) - EXISTE DEBIDO UN PROBLEMA DE LA ADMINISTRACIÓN DEL ESTADO
A LA MANIPULACIÓN INDEBIDA SEGMENTOS SUPERPUESTOS EN ARCHIVOS
EJECUTABLES MACH-O. UN USUARIO LOCAL PUEDE APROVECHAR ESTE
PROBLEMA PARA EJECUTAR CÓDIGO SIN FIRMAR. (CVE-2014 HASTA 4455) UN PROBLEMA DE EJECUCIÓN REMOTA DE CÓDIGO EXISTE DEBIDO A UNA
VALIDACIÓN INCORRECTA DE LOS CAMPOS DE METADATOS DE OBJETOS
IOSHAREDDATAQUEUE. (CVE-2.014-4461
ALTO
ASCIENDE A APPLE TV 7 O POSTERIOR. TENGA EN CUENTA QUE ESTA
ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y
LOS MODELOS POSTERIORES
DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL
TELEVISOR DE APPLE ES UNA VERSIÓN ANTERIOR A 7. ES, POR LO TANTO,
AFECTADOS POR MÚLTIPLES VULNERABILIDADES, LA MÁS GRAVE DE LAS
CUALES PUEDEN DAR LUGAR A LA EJECUCIÓN DE CÓDIGO ARBITRARIO
ALTO
ASCIENDE A APPLE TV 7.0.3 O POSTERIOR. TENGA EN CUENTA QUE ESTA
ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y
LOS MODELOS POSTERIORES
3
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
EN EL SISTEMA. (CVE-2014-4480) - UN PROBLEMA DE DESBORDAMIENTO DE
ENTERO EXISTE DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA AL
PROCESAR ARCHIVOS PDF. (CVE-2014-4481) - UN PROBLEMA DE
DESBORDAMIENTO DE BÚFER EXISTE DEBIDO A LA COMPROBACIÓN DE LÍMITES
INCORRECTA EN EL TRATAMIENTO DE FUENTES EN LOS ARCHIVOS PDF. (CVE2014-4483) - UN PROBLEMA DE CORRUPCIÓN DE MEMORIA DEBIDO A LA
COMPROBACIÓN DE LÍMITES INCORRECTA AL PROCESAR ARCHIVOS '' .DFONT
. (CVE-2014 A 4484) - UN PROBLEMA DE DESBORDAMIENTO DE BÚFER EXISTE
DEBIDO A LA COMPROBACIÓN DE LÍMITES INCORRECTA AL PROCESAR
ARCHIVOS XML. (CVE-2.014-4485) - UN ASUNTO DE REFERENCIA DE PUNTERO
NULO EXISTE DEBIDO A LA MANIPULACIÓN DE LISTAS DE RECURSOS EN LA
EXTENSIÓN DEL KERNEL IOACCELERATORFAMILY. (CVE-2014 HASTA 4486) UN PROBLEMA DE DESBORDAMIENTO DE BÚFER EXISTE DEBIDO A LA
VALIDACIÓN DE TAMAÑO INCORRECTO EN EL IOHIDFAMILY. (CVE-2.0144.487) - UN PROBLEMA DE VALIDACIÓN EXISTE DEBIDO A LA MANIPULACIÓN
DE METADATOS COLA DE RECURSOS EN LA EXTENSIÓN DEL KERNEL
IOHIDFAMILY. (CVE-2014-4488) - UN ASUNTO DE REFERENCIA DE PUNTERO
NULO EXISTE DEBIDO A LA MANIPULACIÓN DE LAS COLAS DE EVENTOS EN LA
EXTENSIÓN DEL KERNEL IOHIDFAMILY. (CVE-2.014 A 4.489) - UN PROBLEMA
DE DIVULGACIÓN DE INFORMACIÓN EXISTE DEBIDO A LA MANIPULACIÓN DE
LAS API RELACIONADAS CON EXTENSIONES DEL NÚCLEO EN EL QUE LAS
DIRECCIONES DEL KERNEL PUEDEN SER REVELADAS. UN ATACANTE PUEDE
APROVECHAR ESTO PARA ELUDIR LAS PROTECCIONES DE ASLR. (CVE-20144491) - CONFUSIÓN CUESTIONES DE TIPO MÚLTIPLE EXISTE DEBIDO A LA
COMPROBACIÓN DE TIPOS INADECUADA DURANTE LA COMUNICACIÓN
ENTRE PROCESOS EN EL DEMONIO DE RED (NETWORKD). (CVE-2014-4492) EXISTE UN PROBLEMA DEBIDO A LA COMPROBACIÓN DE PERMISOS
INCORRECTOS DE MEMORIA COMPARTIDA EN EL SUBSISTEMA DE MEMORIA
DEL NÚCLEO COMPARTIDO. (CVE-2014-4495) - UN PROBLEMA DE
DIVULGACIÓN DE INFORMACIÓN EXISTE DEBIDO A LA INTERFAZ DEL NÚCLEO
MACH_PORT_KOBJECT FUGAS DE DIRECCIONES DEL KERNEL Y LOS VALORES
DE ÁREA DE PERMUTACIÓN. UN ATACANTE PUEDE APROVECHAR ESTO PARA
ELUDIR LAS PROTECCIONES DE ASLR. (CVE-2.014-4.496) TENGA EN CUENTA
QUE LA EJECUCIÓN DE CÓDIGO ARBITRARIO ES POSIBLE CON LOS ASPECTOS
MENCIONADOS ANTERIORMENTE ASIGNADAS CVE-2014-4481 CVE-A
TRAVÉS DE 2014 A 4489, 2014 A 4492 CVE-Y CVE 2014 HASTA 4495.
MEDIO
ASCIENDE A APPLE TV 7.0.1 O POSTERIOR. TENGA EN CUENTA QUE ESTA
ACTUALIZACIÓN SÓLO ESTÁ DISPONIBLE PARA LA TERCERA GENERACIÓN Y
LOS MODELOS POSTERIORES
DE ACUERDO CON SU BANDERA, EL DISPOSITIVO DE CONTROL REMOTO DEL
TELEVISOR DE APPLE ES UNA VERSIÓN ANTERIOR A 7.0.1. ES, POR TANTO,
AFECTADO POR LAS SIGUIENTES VULNERABILIDADES:- EXISTE EN RELACIÓN
CON LA FORMA EN SSL 3.0 SE ENCARGA DE BYTES DE RELLENO CUANDO
DESCIFRAR MENSAJES CIFRADOS USANDO CIFRADOS DE BLOQUE EN EL
MODO DE ENCADENAMIENTO DE BLOQUES DE CIFRADO (CBC) UN ERROR. UN
ATACANTE MAN-IN-THE-MIDDLE PUEDE DESCIFRAR UN BYTE SELECCIONADO
DE UN TEXTO CIFRADO EN TAN SÓLO 256 INTENTOS SI SON CAPACES DE
FORZAR UNA APLICACIÓN VÍCTIMA PARA ENVIAR REPETIDAMENTE LOS
4
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
MISMOS DATOS A TRAVÉS DE CONEXIONES SSL 3.0 DE NUEVA CREACIÓN.
ESTO TAMBIÉN SE CONOCE COMO EL PROBLEMA 'CANICHE'. (CVE-2.014 A
3566) - EXISTE UN ERROR QUE PERMITE CONEXIONES NO CIFRADAS PARA
DISPOSITIVOS (HID) CLASE DE INTERFAZ HUMANA ACCESORIOS BLUETOOTH
LOW ENERGY. ESTO PERMITE QUE UN ATACANTE LOCAL PARA SUPLANTAR
OTRO DISPOSITIVO BLUETOOTH LEGÍTIMA PARA EL EMPAREJAMIENTO DE
DERIVACIÓN. (CVE-2014 A 4428
5
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
IP
192.168.7.135
MAC ADRESS
D8:EB:97:14:6C:CB
HOST NAME
KSILVA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 7
____________________
135/TCP OPEN MSRPC
139/TCP OPEN NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS
997 FILTERED PORTS
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
IP
192.168.7.146
MAC ADRESS
90:48:9A:82:0A:2D
HOST NAME
ANDROID-PC
SISTEMA OPERATIVO
____________________
PUERTOS
CLOSED
____________________
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
ALL 1000 SCANNED PORTS ON 192.168.7.146 ARE FILTERED
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST.
EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA
'SERVIDOR
DE
RED
MICROSOFT:
FIRMAR
DIGITALMENTE
LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 192.168.7.X
HALLAZGOS ENCONTRADOS
IP
192.168.7.147
MAC ADRESS
00: 24: D2: F0: 7D: D2
HOST NAME
CONTRALORIA1
SISTEMA OPERATIVO
____________________
PUERTOS
CLOSED
____________________
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
5357/TCP OPEN WSDAPI
999 FILTERED PORTS
NULO
0
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
10.0.2.2
IP
MAC ADRESS
HOST NAME
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
00-1A-6B-5D-47-B8
ELOPEZ
WINDOWS XP SP3
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
NULO
NOT SHOWN: 996 CLOSED PORTS
135/TCP OPEN
139/TCP OPEN
445/TCP OPEN
2869/TCP OPEN
MSRPC
MICROSOFT WINDOWS RPC
NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
HTTP
MICROSOFT HTTPAPI HTTPD 1.0 (SSDP/UPNP)
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE.
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES.
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR
EL
ACCESO
PARA
INVITADOS
EN
SU
CASO
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR.
FACTOR DE RIESGO
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO.
SOLUCIÓN
DESCRIPCIÓN
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
IP
MAC ADRESS
HOST NAME
SISTEMA OPERATIVO
PUERTOS CLOSED
PUERTOS ABIERTOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
10.0.2.3
00-1A-6B-5D-53-20
MGONGORA
WINDOWS XP
NOT SHOWN: 997 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE.
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES.
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO.
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
EXPLOTABLE
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
METASPLOIT (VERDADERO)
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO.
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
IP
10.0.2.4
MAC ADRESS
38-60-77-E5-2A-B3
HOST NAME
ACATL
SISTEMA OPERATIVO
PUERTOS CLOSED
PUERTOS ABIERTOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS NO SE PUDO DETERMINAR LA VERSIÓN
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN
MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10
MICROSOFT-DS
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE
LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
IP
10.0.2.5
MAC ADRESS
00-25-11-A5-A2-0F
HOST NAME
AVIDAL
SISTEMA OPERATIVO
PUERTOS CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 7
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP
OPEN
MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10
MICROSOFT-DS
2869/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
NOT SHOWN: 996 FILTERED PORTS
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
IP
10.0.2.8
MAC ADRESS
00-1A-6B-5D-47-C8
HOST NAME
RBARRERA
SISTEMA OPERATIVO
PUERTOS CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 7
996 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
2222/TCP OPEN MAGENT
MICROWORLD MWAGENT.EXE 3.0 (ESCAN
ANTIVIRUS MANAGEMENT CONSOLE)
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
MEDIO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE.
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
EXPLOTABLE
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR.
METASPLOIT (VERDADERO)
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.2
HALLAZGOS ENCONTRADOS
IP
10.0.2.254
MAC ADRESS
00-0F-8F-A9-2C-80
HOST NAME
CISCO
SISTEMA OPERATIVO
PUERTOS CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
EQUIPO CISCO
998 CLOSED PORTS
23/TCP OPEN TELNET CISCO ROUTER TELNETD
80/TCP OPEN HTTP CISCO IOS HTTP CONFIG 1.0(1) (IOS 12.1)
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
EN LINUX, SE PUEDE DESACTIVAR EL REENVÍO DE IP HACIENDO: ECHO 0> /
PROC / SYS / NET / IPV4 / IP_FORWARD EN WINDOWS, ESTABLEZCA LA
CLAVE 'IPENABLEROUTER' HASTA 0ºC BAJOHKEY_LOCAL_MACHINE \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ TCPIP \ PARAMETERS EN MAC OS X,
PUEDE DESACTIVAR EL REENVÍO DE IP EJECUTANDO EL COMANDO: SYSCTL -W
NET.INET.IP.FORWARDING = 0 PARA OTROS SISTEMAS, CONSULTE CON SU
PROVEEDOR
EL HOST REMOTO HA HABILITADO EL REENVÍO DE IP. UN ATACANTE PUEDE
APROVECHAR ESTO PARA ENCAMINAR LOS PAQUETES A TRAVÉS DE LA
ACOGIDA Y POTENCIALMENTE EVITAR ALGUNOS CORTAFUEGOS / ROUTERS /
FILTRADO DE NAC. A MENOS QUE EL HOST REMOTO ES UN ROUTER, SE
RECOMIENDA QUE DESHABILITE EL REENVÍO DE IP
MEDIO
DESACTIVAR EL SERVICIO TELNET Y SSH UTILIZAR EN SU LUGAR.
EL HOST REMOTO SE ESTÁ EJECUTANDO UN SERVIDOR TELNET TRAVÉS DE UN
CANAL CIFRADO. USO DE TELNET TRAVÉS DE UN CANAL NO CIFRADO NO SE
RECOMIENDA COMO NOMBRES DE USUARIOS, CONTRASEÑAS, Y LOS
COMANDOS SE TRANSFIEREN EN TEXTO PLANO. ESTO PERMITE UN CONTROL
REMOTO, MAN-IN-THE-MIDDLE ATACANTE ESCUCHAR A ESCONDIDAS EN UNA
SESIÓN TELNET PARA OBTENER CREDENCIALES U OTRA INFORMACIÓN
SENSIBLE Y MODIFICAR EL TRÁFICO INTERCAMBIADO ENTRE UN CLIENTE Y EL
SERVIDOR. SSH SE PREFIERE SOBRE TELNET, YA QUE PROTEGE LAS
CREDENCIALES DE ESCUCHAS ILEGALES Y PUEDEN TÚNEL DE FLUJOS DE DATOS
ADICIONALES TALES COMO UNA SESIÓN DE X11
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
IP
10.0.3.2
MAC ADRESS
00-1A-6B-5D-52-98
HOST NAME
NNEGRETE
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 7
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
2869/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
49158/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
NOT SHOWN: 995 FILTERED PORTS
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE
LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
IP
10.0.3.3
MAC ADRESS
00: 1A: 6B: 5D: 47: 6D
HOST NAME
GURCELAY
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
MICROSOFT WINDOWS XP SERVICE PACK 2, MICROSOFT WINDOWS XP
SERVICE PACK 3
997 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
NULO
EXPLOTACIONES
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL VENDEDOR.
COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS VULNERABILIDADES DE
SEGURIDAD. POR OTRA PARTE
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST.
EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA
'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES
(SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER
TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
IP
10.0.3.4
MAC ADRESS
00-0F-FE-00-DF-07
HOST NAME
PHERNANDEZ
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS XP SERVICE PACK 2, MICROSOFT WINDOWS XP
SERVICE PACK 3
2869/TCP CLOSED
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
997 FILTERED PORTS
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR.
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
IP
10.0.3.5
MAC ADRESS
00:25:11:A5:A1:D4
HOST NAME
A VARGAS
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 7 SP0 - SP1, WINDOWS SERVER 2008 SP1,
WINDOWS 8, OR WINDOWS 8.1 UPDATE 13
987 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP
OPEN
MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10
MICROSOFT-DS
554/TCP OPEN RTSP?
2869/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
8093/TCP OPEN HTTP
INDY HTTPD 9.00.10
49152/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49153/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49154/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49155/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49156/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49157/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR.
NOTA _ NO APARECIO EN EL SCANER DE NESUSS PÉRO SI EN EL NMPA
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
IP
10.0.3.8
MAC ADRESS
00-1A-6B-5D-47-BD
HOST NAME
VGONGORA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 7
997 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL HOST.
EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE DIRECTIVA
'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS COMUNICACIONES
(SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA DEL SERVIDOR '. VER
TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO.
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.3
HALLAZGOS ENCONTRADOS
IP
10.0.3.254
MAC ADRESS
00.0F-8F-A9-2C-80
HOST NAME
CISCO
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
EQUIPO CISCO 3
998 CLOSED PORTS
23/TCP OPEN TELNET CISCO ROUTER TELNETD
80/TCP OPEN HTTP CISCO IOS HTTP CONFIG 1.0(1) (IOS 12.1NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
EN LINUX, SE PUEDE DESACTIVAR EL REENVÍO DE IP HACIENDO: ECHO 0> /
PROC / SYS / NET / IPV4 / IP_FORWARD EN WINDOWS, ESTABLEZCA LA
CLAVE 'IPENABLEROUTER' HASTA 0ºC BAJOHKEY_LOCAL_MACHINE \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ TCPIP \ PARAMETERS EN MAC OS X,
PUEDE DESACTIVAR EL REENVÍO DE IP EJECUTANDO EL COMANDO: SYSCTL -W
NET.INET.IP.FORWARDING = 0 PARA OTROS SISTEMAS, CONSULTE CON SU
PROVEEDOR
EL HOST REMOTO HA HABILITADO EL REENVÍO DE IP. UN ATACANTE PUEDE
APROVECHAR ESTO PARA ENCAMINAR LOS PAQUETES A TRAVÉS DE LA
ACOGIDA Y POTENCIALMENTE EVITAR ALGUNOS CORTAFUEGOS / ROUTERS /
FILTRADO DE NAC. A MENOS QUE EL HOST REMOTO ES UN ROUTER, SE
RECOMIENDA QUE DESHABILITE EL REENVÍO DE IP
MEDIO
DESACTIVAR EL SERVICIO TELNET Y SSH UTILIZAR EN SU LUGAR.
EL HOST REMOTO SE ESTÁ EJECUTANDO UN SERVIDOR TELNET TRAVÉS DE UN
CANAL CIFRADO. USO DE TELNET TRAVÉS DE UN CANAL NO CIFRADO NO SE
RECOMIENDA COMO NOMBRES DE USUARIOS, CONTRASEÑAS, Y LOS
COMANDOS SE TRANSFIEREN EN TEXTO PLANO. ESTO PERMITE UN CONTROL
REMOTO, MAN-IN-THE-MIDDLE ATACANTE ESCUCHAR A ESCONDIDAS EN UNA
SESIÓN TELNET PARA OBTENER CREDENCIALES U OTRA INFORMACIÓN
SENSIBLE Y MODIFICAR EL TRÁFICO INTERCAMBIADO ENTRE UN CLIENTE Y EL
SERVIDOR. SSH SE PREFIERE SOBRE TELNET, YA QUE PROTEGE LAS
CREDENCIALES DE ESCUCHAS ILEGALES Y PUEDEN TÚNEL DE FLUJOS DE DATOS
ADICIONALES TALES COMO UNA SESIÓN DE X11
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
IP
10.0.4.2
MAC ADRESS
00-1A-6B-5D-46-3C
HOST NAME
JCARRION
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS XP SERVICE PACK 2, MICROSOFT WINDOWS XP
SERVICE PACK 3
997 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
IP
10.0.4.3
MAC ADRESS
00-1A-6B-5D-46-E3
HOST NAME
MOBILE PHONE SONY ERICSSON
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SONY ERICSSON
997 FILTERED PORTS
5225/TCP OPEN HP-SERVER?
5226/TCP OPEN HP-STATUS?
8008/TCP OPEN TCPWRAPPED
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
IP
10.0.4.4
MAC ADRESS
00-1A-6B-5D-47-9E
HOST NAME
NGOMEZ
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS XP SP2 OR SP3, OR WINDOWS SERVER 2003
997 CLOSED PORTS
135/TCP OPEN TCPWRAPPED
139/TCP OPEN TCPWRAPPED
445/TCP OPEN TCPWRAPPED
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
CRITICO
MICROSOFT HA PUBLICADO UN CONJUNTO DE PARCHES PARA WINDOWS
2000, XP, 2003, VISTA Y 2008
EL HOST REMOTO SE VE AFECTADO POR UNA VULNERABILIDAD DE
CORRUPCIÓN DE MEMORIA EN SMB QUE PUEDE PERMITIR A UN ATACANTE
EJECUTAR CÓDIGO ARBITRARIO O REALIZAR UNA DENEGACIÓN DE SERVICIO
CONTRA EL HOST REMOTO
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
EXPLOTABLE
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
EXPLOTABLE
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
EXPLOTABLE
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
IMPACTO NÚCLEO (VERDADERA) METASPLOIT (VERDADERO
CRITICO
MICROSOFT HA PUBLICADO UN CONJUNTO DE PARCHES PARA WINDOWS
2000, XP, 2003, VISTA Y 2008
EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD
DE EJECUCIÓN REMOTA DE CÓDIGO EN EL SERVICIO "SERVIDOR" DEBIDO A
UN MANEJO INADECUADO DE LAS SOLICITUDES RPC. UN ATACANTE REMOTO
NO AUTENTICADO PUEDE EXPLOTAR ESTO, A TRAVÉS DE UNA SOLICITUD RPC
ESPECIALMENTE DISEÑADO, PARA EJECUTAR CÓDIGO ARBITRARIO CON
"SISTEMA" PRIVILEGIOS
LONA (VERDADERO) CORE IMPACT (VERDADERO) METASPLOIT (VERDADERO
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR.
METASPLOIT (VERDADERO)
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
IP
10.0.4.5
MAC ADRESS
00-1A-6B-5D-45-82
HOST NAME
AQUINTERO
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 2008|7|PHONE|VISTA
996 FILTERED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
49156/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
EXPLOTABLE
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE
LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
METASPLOIT (VERDADERO)
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
IP
10.0.4.6
MAC ADRESS
00-25-11-AB-4B-45
HOST NAME
LOCMAN
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS 7|2008|8.1
988 CLOSED PORTS
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP
OPEN MICROSOFT-DS MICROSOFT WINDOWS 7 OR 10
MICROSOFT-DS
554/TCP OPEN RTSP?
2869/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
10243/TCP OPEN HTTP MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
|_HTTP-SERVER-HEADER: MICROSOFT-HTTPAPI/2.0
|_HTTP-TITLE: NOT FOUND
49152/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49153/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49154/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49157/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49158/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
49159/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE
LAS COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
EXPLOTABLE
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
METASPLOIT (VERDADERO)
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
IP
10.0.4.8
MAC ADRESS
00-1A-6B-5D-53-30
HOST NAME
BROBLES
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
SESIONES OBTENIDAS
MICROSOFT WINDOWS XP|2003
997 CLOSED PORTS
135/TCP OPEN TCPWRAPPED
139/TCP OPEN TCPWRAPPED
445/TCP OPEN TCPWRAPPED
NULO
0
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE.
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES.
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.4
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS.
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.5
HALLAZGOS ENCONTRADOS
IP
10.0.5.2
MAC ADRESS
00: 1A: 6B: 5D: 46: C4
HOST NAME
JREGALADO
SISTEMA OPERATIVO
_________________
PUERTOS
CLOSED
_________________
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
ALL 1000 SCANNED PORTS ON 10.0.5.2 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.5
HALLAZGOS ENCONTRADOS
IP
10.0.5.3
MAC ADRESS
00-1A-6B-5D-47-65
HOST NAME
HCABRERA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
WINDOWS 7 ULTIMATE
NULO
ALL 1000 SCANNED PORTS ON 10.0.5.2 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
EXPLOTABLE
FACTOR DE RIESGO
SOLUCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
METASPLOIT (VERDADERO)
MEDIO
MICROSOFT HA PUBLICADO UN CONJUNTO DE PARCHES PARA WINDOWS
VISTA, 2008, 7, 2008 R2, 2012, 8.1, 8.1 RT 2012 R2, Y 10
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.5
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
EL HOST REMOTO DE WINDOWS ESTÁ AFECTADO POR UNA VULNERABILIDAD
DE ELEVACIÓN DE PRIVILEGIOS EN EL ADMINISTRADOR DE CUENTAS DE
SEGURIDAD (SAM) Y LA AUTORIDAD DE SEGURIDAD LOCAL (DIRECTIVA DE
DOMINIO) (LSAD) PROTOCOLOS POR ACUMULACIÓN INDEBIDA DE
NEGOCIACIÓN NIVEL DE AUTENTICACIÓN A TRAVÉS DE CANALES DE LLAMADA
A PROCEDIMIENTO REMOTO (RPC).UN HOMBRE-EN-EL-MEDIO ATACANTE
PUEDE INTERCEPTAR LAS COMUNICACIONES ENTRE UN CLIENTE Y UN
SERVIDOR QUE ALOJA UNA BASE DE DATOS SAM PUEDE APROVECHAR ESTO
PARA FORZAR EL NIVEL DE AUTENTICACIÓN DE REBAJAR, PERMITIENDO AL
ATACANTE HACERSE PASAR POR UN USUARIO AUTENTICADO Y ACCEDER A LA
BASE DE DATOS SAM
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.5
HALLAZGOS ENCONTRADOS
IP
10.0.5.4
MAC ADRESS
00-1A-6B-5D-45-89
HOST NAME
ILANDA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
WINDOWS XP SP3
NULO
ALL 1000 SCANNED PORTS ON 10.0.5.4 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
CRITICO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA ACTUALMENTE.
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.5
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO.
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.5
HALLAZGOS ENCONTRADOS
IP
10.0.5.5
MAC ADRESS
00-1A-6B-5D-47-FB
HOST NAME
GUARDADO
SISTEMA OPERATIVO
WINDOWS 7
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
NULO
ALL 1000 SCANNED PORTS ON 10.0.5.5 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.5
HALLAZGOS ENCONTRADOS
IP
10.0.5.9
MAC ADRESS
00-25-11-A5-A4-CB
HOST NAME
BJIMENEZ
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
WINDOWS 7
NULO
ALL 1000 SCANNED PORTS ON 10.0.5.9 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
EXPLOTABLE
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO Y
DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
METASPLOIT (VERDADERO)
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.5
HALLAZGOS ENCONTRADOS
IP
10.0.5.10
MAC ADRESS
28-92-4A-46-12-C9
HOST NAME
PAVILION
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 10 HOME
NULO
ALL 1000 SCANNED PORTS ON 10.0.5.10 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA FIRMA
DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER MÁS
DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.2
MAC ADRESS
00:1A:6B:5D:46:6B
HOST NAME
BECHEVERRIA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 7 ULTIMATE
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
49157/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
996 FILTERED PORTS
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.3
MAC ADRESS
00: 1A: 6B: 5D: 53: 0E
HOST NAME
JREYES
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS 7
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS 10 MICROSOFT-DS
2869/TCP OPEN HTTP
MICROSOFT HTTPAPI HTTPD 2.0 (SSDP/UPNP)
996 FILTERED PORTS
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB.
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.6
MAC ADRESS
00: 1A: 6B: 5D: 47: 50
HOST NAME
____________________
SISTEMA OPERATIVO
____________________
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
ALL 1000 SCANNED PORTS ON 10.0.6.6 ARE FILTERED
NULO
0
SESIONES OBTENIDAS
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
IP
10.0.6.11
MAC ADRESS
00:1A:6B:5D:45:D0
HOST NAME
ASOSA
SISTEMA OPERATIVO
PUERTOS
CLOSED
PUERTOS ABIERTOS
Y
FILTRADOS
POSITIVO A
EXPLOTACIONES
MICROSOFT WINDOWS XP
1 CLOSED PORT
135/TCP OPEN MSRPC
MICROSOFT WINDOWS RPC
139/TCP OPEN NETBIOS-SSN MICROSOFT WINDOWS 98 NETBIOS-SSN
445/TCP OPEN MICROSOFT-DS MICROSOFT WINDOWS XP MICROSOFT-DS
996 FILTERED PORTS
NULO
0
SESIONES OBTENIDAS
RESUMEN Y RECOMENDACIÓN NESUSS
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
ALTO
ACTUALIZAR A UNA VERSIÓN DE WINDOWS QUE SE SOPORTA
ACTUALMENTE
EL HOST REMOTO SE ESTÁ EJECUTANDO MICROSOFT WINDOWS XP. EL
APOYO A ESTE SISTEMA OPERATIVO DE MICROSOFT TERMINÓ 8 DE ABRIL DE
2014. LA FALTA DE APOYO IMPLICA QUE NO HAY NUEVOS PARCHES DE
SEGURIDAD PARA EL PRODUCTO SERÁN LIBERADOS POR EL
VENDEDOR. COMO RESULTADO, ES PROBABLE QUE CONTENGA LAS
VULNERABILIDADES DE SEGURIDAD. POR OTRA PARTE, MICROSOFT ES POCO
PROBABLE PARA INVESTIGAR O ACUSAR INFORMES DE VULNERABILIDADES
MEDIO
HACER CUMPLIR LA FIRMA DE MENSAJES EN LA CONFIGURACIÓN DEL
HOST. EN WINDOWS, ESTO SE ENCUENTRA EN LA CONFIGURACIÓN DE
DIRECTIVA 'SERVIDOR DE RED MICROSOFT: FIRMAR DIGITALMENTE LAS
COMUNICACIONES (SIEMPRE) ". EN LA SAMBA, EL AJUSTE SE LLAMA "LA
FIRMA DEL SERVIDOR '. VER TABLA "VER TAMBIÉN" ENLACES PARA OBTENER
MÁS DETALLES.
FIRMA NO ES NECESARIA EN EL SERVIDOR SMB REMOTO. UN ATACANTE
REMOTO NO AUTENTICADO PUEDE APROVECHAR ESTO PARA REALIZAR
ATAQUES MAN-IN-THE-MIDDLE CONTRA EL SERVIDOR SMB
MEDIO
APLICAR LOS SIGUIENTES CAMBIOS EN EL REGISTRO POR LOS AVISOS DE
TECHNET REFERENCIA: AJUSTE: - HKLM \ SYSTEM \ CURRENTCONTROLSET \
CONTROL \ LSA \ RESTRICTANONYMOUS = 1 - HKLM \ SYSTEM \
CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
RESTRICTNULLSESSACCESS = 1 RETIRE EL NAVEGADOR DE: - HKLM \ SYSTEM
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
INFORME EJECUTIVO
FECHA :29/04/2016
VLAN 10.0.6
HALLAZGOS ENCONTRADOS
DESCRIPCIÓN
FACTOR DE RIESGO
SOLUCIÓN
DESCRIPCIÓN
\ CURRENTCONTROLSET \ SERVICES \ LANMANSERVER \ PARÁMETROS \
NULLSESSIONPIPES REINICIAR UNA VEZ QUE LOS CAMBIOS EN EL REGISTRO
SON COMPLETAS
EL HOST REMOTO SE EJECUTA MICROSOFT WINDOWS. ES POSIBLE ACCEDER
A ÉL MEDIANTE UNA SESIÓN NULL (ES DECIR, SIN NINGÚN USUARIO O
CONTRASEÑA). DEPENDIENDO DE LA CONFIGURACIÓN, PUEDE SER POSIBLE
QUE UN ATACANTE REMOTO NO AUTENTICADO PARA APROVECHAR ESTE
TEMA PARA OBTENER INFORMACIÓN SOBRE EL HOST REMOTO.
MEDIO
EN LA DIRECTIVA DE GRUPO PARA CAMBIAR EL AJUSTE DE "ACCESO DE RED:
MODELO DE SEGURIDAD Y RECURSOS COMPARTIDOS PARA CUENTAS
LOCALES" DE LOS "SÓLO INVITADO - USUARIOS LOCALES AUTENTICADOS
COMO INVITADO 'A' CLÁSICO - USUARIOS LOCALES AUTENTICADOS COMO
ELLOS MISMOS '. DESACTIVAR LA CUENTA DE INVITADO EN SU CASO. SI EL
DEMONIO SAMBA ESTÁ EN MARCHA, COMPRUEBE DE NUEVO LA
CONFIGURACIÓN DE SAMBA EN TORNO AL ACCESO DE USUARIO INVITADO
Y DESHABILITAR EL ACCESO PARA INVITADOS EN SU CASO
EL HOST REMOTO SE ESTÁ EJECUTANDO UNO DE LOS SISTEMAS OPERATIVOS
MICROSOFT WINDOWS O EL DEMONIO SAMBA. FUE POSIBLE ACCEDER A ÉL
COMO UN USUARIO INVITADO CON UNA CUENTA DE AZAR.
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
INFORME EJECUTIVO
RESUMEN GENERAL
NO SE PUDO COMPLETAR EL ESCANEO DE VULNERABILIDAD PARA LAS SIGUIENTES V-LAN
10.0.2/10.0.3/10.0.4/10.0.5/10.06/10.0.7/10.0.9/10.0.1, YA QUE NO SE CUENTAN CON LAS
CREDENCIALES DE ADMINISTRADOR PARA UN ESCANEO MAS PROFUNDO, Y ASI OBTENER QUE
PUEDE COMPROMETER LA SEGURIDAD DEL ENTORNO DE LA RED EN DIFERENTES ESCENARIO.
HOJA DE FORMULARIO ORIGINAL Y DATOS PARA SU EXPLICACIÓN
SISTEMA NASS:
RESPALDO FTP:
RESPALDO CARPETA DE RED:
RESPALDO EN MEDIOS EXTRAIBLES:
OTRO:
NO SE CUENTA:
NESSUS HOST DISCOVERY
RECOMENDACIONES
VULNERABILIDADES DETECTADAS:
NESSUS NETWORK SCAN
RECOMENDACIONES
ESTA EXPUESTO A EXPLOTACIONES:
NESSUS NETWORK SCAN
RECOMENDACIONES
SE DETECTARON SERVICIOS Y PUERTOS EXPLOTABLES:
SE DETECTARON PROGRAMAS EXPLOTABLES:
NESSUS MALWARE SCAN
RECOMENDACIONES
SE DETECTO ACTIVIDAD DE MALWARE:
NESSUS BASH SHELLSHOCK DETECTION
RECOMENDACIONES
HALLAZGOS ENCONTRADOS:
NESSUS CREDENTIALED PATCH AUDIT
RECOMENDACIONES
HALLAZGOS ENCONTRADOS:
2 de 2
NO SE PUDO DETERMINAR SI EN LOS EQUIPOS EXISTEN PROGRAMAS QUE COMPROMETAN LA
SEGURIDAD COMO SON EL CASO DE, P2P, TUNELING, SNIFERS DE RED ENTRE OTROS LOS CUALES
PODRIAN CAUSAR DAÑOS MODERADOS.
1
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
INFORME EJECUTIVO
RESUMEN GENERAL
SE DETECTARON EN PRUEBAS AL FIREWALL SOBRE BLOQUEOS Y TRAFICOS DE RED COMO ACCESOS
A PAGINAS YOUTUBE, FACEBOOK DICHAS PAGINAS ESTAN BLOQUEADOS VIA WEB, PERO DIO
POSITIVO SALTANDOSE LAS REGLAS DE SEGURIDAD USANDO UN PROGRAMA “ULTRASURF” QUE
PERMITE LA NAVEGACION Y TRAFICO LIBRE DE STREAMING.
ANEXO HOJA
SE DETECTO QUE LA APP DE YOUTUBE PARA SMARTPHONE, SIN LA NECESIDAD DE PROXY
FUNCIONA TRANSPARENTEMENTE, PUDIENDO REPRODUCIR LOS VIDEOS AUN QUE SE TENGAN LAS
REGLAS LEVANTADAS EN EL FIREWALL.
2
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
FECHA :29/04/2016
INFORME EJECUTIVO
RESUMEN GENERAL
SE DETECTÓ A TRAVEZ DE UNA EXPLOTACIÓN QUE EN LA V-LAN SEG. 4, LOS USUARIOS PUEDEN
ENTRAR A DIVERSAS OPCIONES VIA WEB PARA REPRODUCIR MULTIMEDIA, ANEXA SCREENSHOT EN
INFORME TECNICO, SE RECOMIENDA UNA SOLUCION VIA FIREWALL O UNA SOLUCION LOCAL
INSTALADA EN CADA EQUIPO.
ANEXO HOJAS
SE DETECTARON EQUIPOS QUE SE ENCUENTRAN CORRIENDO WIN XP, EL CUAL ES UN SISTEMA
OPERATIVO VULNERABLE YA QUE NO CUENTA CON ACTUALIZACIONES Y SOPORTE EN LAS
DIVERSAS V-LAN DE LA INSTITUCIÓN
SE DETECTO QUE EN LA V-LAN 10.0.6.X EL EQUIPO 10.0.6.17 CON NOMBRE “HOSTNAME” TIENE
NOMBRE DEL SERVICIO QUE SE ENCUENTRA CORRIENDO “NOMINA PC” /ROSARIO CASTILLO, EL
CUAL REPRESENTA UN RIESGO DENTRO DE LA RED INTERNA YA QUE UN USUARIO CON ACCESO A
LA RED PODRIA ATACAR EL EQUIPO EN CUESTIÓN.
SE RECOMIENDA USAR NOMENCLATURAS PARA DISFRAZAR LOS NOMBRES DE LAS PC´S Y DE ESTE
MODO NO SER RELACIONADOS CON LOS CARGOS O PERSONAS QUE LA ADMINISTRA.
3
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
FECHA :29/04/2016
INFORME EJECUTIVO
RESUMEN GENERAL
LOS ACCESS POINT DE LAS VLAN , UTIE , SECRETARIAS, ADMINCONT,SALA DE SESIONES,
ORGANIZACIÒN, RECURSOS HUMANOS Y PRENSA CUENTAN CON UNA SEGURIDAD WEP, LA
CUAL YA NO ES PROTOCOLO DE SEGURIDAD CONFIABLE, DADO A QUE EXISTEN SMARTHPHONE
APLICACIONES PARA SMARTPHONE Y DIVERSOS PROGRAMAS QUE ROMPEN ESA SEGURIDAD Y EL
ALCANCE DE RADIO DE LAS AP ANTES MENCIONANDAS PUEDEN SER ALCANZADAS POR INTRUSOS
Y DE ESTE MODO SOMETER LOS EQUIPOS A DIVERSAS EXPLOTACIONES Y COMPROMETER LOS
SISTEMAS QUE AHÍ SE ENCUENTREN.
ANEXO HOJA
RASGOS DE SEGURIDAD MAS COMUNES
ENTRE LOS ERRORES DE SEGURIDAD MÁS COMUNES, ESTÁ EL DE INSTALAR CUALQUIER SOFTWARE
DEL SISTEMA SIN QUITAR LOS SERVICIOS INNECESARIOS, NI INSTALAR TODOS LOS PARCHES DE
SEGURIDAD RECOMENDADOS.
TAMBIÉN LA FALTA DE CONTRASEÑAS, O EL USO DE ESTAS CON POCOS CARACTERES, ES UN
PROBLEMA DE SEGURIDAD ENORME PARA CUALQUIER CORPORACIÓN. TAMBIÉN DEBERÍAN
EVITARSE LAS CONTRASEÑAS PREDEFINIDAS O POR DEFECTO.
DEMASIADOS PUERTOS ABIERTOS PARA QUE ALGÚN USUARIO PUEDA CONECTARSE A SU PC ES
CONTRAPRODUCENTE. LAS RECOMENDACIONES OBVIAS SON CERRAR TODOS LOS PUERTOS Y
LUEGO
SOLO
ABRIR
LOS
QUE
REALMENTE
SE
NECESITEN.
MEDIDAS DE SEGURIDAD ELEMENTALES
UTILICE CONTRASEÑAS MÁS FUERTES. ESCOJA AQUELLAS QUE SEAN DIFÍCILES O IMPOSIBLE DE
SUPONER.
PÓNGALE CONTRASEÑAS DIFERENTES A CADA UNA DE LAS CUENTAS. REALICE RESPALDOS
REGULARES DE DATOS CRÍTICOS. ESTOS RESPALDOS DEBEN HACERSE POR LO MENOS UNA VEZ AL
DÍA EN EL CASO DE USUARIOS O EMPRESAS PEQUEÑAS. PARA ORGANIZACIONES MÁS GRANDES
Y COMPLEJAS, DEBEN REALIZARSE RESPALDOS COMPLETOS POR LO MENOS UNA VEZ A LA
SEMANA, Y RESPALDOS INCREMENTALES TODOS LOS DÍAS.
4
TEST DE VULNERABILIDAD
INSTITUTO ELECTORAL DEL ESTADO DE QUINTANA ROO
CALLE VERACRUZ NUMERO 26B INT. D
ENTRE ECUADOR Y PANAMA
COL. SANTA ANA C.P 24050
FECHA :29/04/2016
INFORME EJECUTIVO
RESUMEN GENERAL
UTILICE UN ANTIVIRUS MONITOREANDO TODA ACTIVIDAD DE ARCHIVOS, ACTUALIZÁNDOLO
PERIÓDICAMENTE (SUGERIDO UNA VEZ A LA SEMANA, LO IDEAL ES DIARIAMENTE).
UTILICE CORTAFUEGOS COMO BARRERA ENTRE SU COMPUTADORA E INTERNET. LOS
CORTAFUEGOS NORMALMENTE SON PRODUCTOS DE SOFTWARE. ELLOS SON ESENCIALES PARA
AQUÉLLOS QUE POSEEN ENLACES DE BANDA ANCHA CON CONEXIONES LAS 24 HORAS (DSL,
CABLE MÓDEM, ETC.), Y MUY RECOMENDADOS PARA TODOS LOS QUE UTILICEN INTERNET, AÚN A
TRAVÉS DE LA LÍNEA TELEFÓNICA.
NO DEJE QUE LAS COMPUTADORAS SIGAN ON-LINE CUANDO NO ESTÁN EN USO. FÍSICAMENTE
DESCONÉCTELAS DE LA CONEXIÓN DE INTERNET SI FUERA NECESARIO.
NO ABRA BAJO NINGÚN CONCEPTO, ADJUNTOS EN EL CORREO ELECTRÓNICO QUE VENGA DE
EXTRAÑOS, SIN IMPORTAR LO QUE MENCIONE SU ASUNTO O EL ARCHIVO ADJUNTO. SOSPECHE
SIEMPRE DE CUALQUIER ADJUNTO DE ALGUIEN CONOCIDO, QUE LE ENVÍA UN ADJUNTO QUE
USTED NO SOLICITÓ. ESA PERSONA PODRÍA ESTAR INFECTADA, Y ENVIAR EL CORREO INFECTADO
SIN SIQUIERA PERCATARSE DEL ERROR. SOSPECHE DE CUALQUIER ADJUNTO NO ESPERADO, DE
ALGUIEN QUE USTED CONOCE PORQUE SE PUEDE HABER ENVIADO SIN EL CONOCIMIENTO DE ESA
PERSONA DESDE UNA MÁQUINA INFECTADA.
BAJE E INSTALE REGULARMENTE LOS PARCHES NECESARIOS A MEDIDA QUE ESTOS VAYAN
APARECIENDO.
EN CONCRETO, ESTAS POCAS VULNERABILIDADES SON LA BASE DE LA MAYORÍA DE LOS ATAQUES
EXITOSOS, QUE SUELEN APROVECHARSE DE LAS BRECHAS MÁS CONOCIDAS CON LAS
HERRAMIENTAS DE ATAQUE MÁS EFECTIVAS Y FÁCILES DE CONSEGUIR. LA MAYORÍA DE LOS
ATACANTES, SIMPLEMENTE SE APROVECHA DE QUIENES NO ACTUALIZAN SU SOFTWARE, CASI
SIEMPRE POR PEREZA.
PUNTOS A CONSIDERAR.
LICENCIAMIENTO DE ANTIVIRUS CORPORATIVO PARA LA INSTITUCIÓN, DEBIDO A SER PUBLICA Y
GUBERNAMENTAL, YA QUE LA INFORMACION PODRIA ESTAR TRANSITANDO ENTRE LOS EQUIPOS
VIA CORREO, USB Y VISEVERSA.
EN CASO DE TENER UN ARCHIVO O DOC. INFECTADO ESTE PODRIA EXTENDERSE DE MANERA RAPIDA POR
LOS EQUIPOS CAUSANDO ASI PERDIDAS TOTALES Y/O PARCIALES.
ESET CUENTA CON UN SERVICIO DE APLICACIÓN DE POLITICAS PARA STREAMING (PAGINAS NO
PERMITIDAS) A DEMAS DE CONTAR CON UNA CONSOLA DE ADMINISTRACION DONDE SE
APLICARIAN LAS POLITICAS DE FORMA TRANSPARENTE A LOS EQUIPOS, DE ESTA MANERA SE
REGULARIZARIA EL ANCHO DE BANDA EVITANDO ASI INFECCIONES FUTURAS.
5
