1.2 CVE-2008-4593

Ransomware Risk

Apple iPhone 2.1 con firmware 5F136, cuando Requerir código de acceso está habilitado y Mostrar vista previa de SMS está deshabilitado, permite que los atacantes cercanos físicamente obtengan información confidencial al realizar una llamada de emergencia y luego leer los mensajes SMS en la pantalla del dispositivo, también conocido como número de error de Apple 6267416.
https://nvd.nist.gov/vuln/detail/CVE-2008-4593

Categorías

CWE-200 : Exposición de información sensible a un agente no autorizado
El producto expone información sensible a un actor que no está explícitamente autorizado a tener acceso a esa información. Los desarrolladores pueden insertar información sensible que no creen, o pueden olvidarse de eliminar la información sensible después de haberla procesado Los errores o debilidades separadas podrían poner inadvertidamente la información sensible a disposición de un atacante, como en un mensaje de error detallado que puede ser leído por una parte no autorizada Este término se utiliza con frecuencia en los avisos de vulnerabilidad para describir una consecuencia o impacto técnico, para cualquier vulnerabilidad que tenga una pérdida de confidencialidad. A menudo, CWE-200 puede ser mal utilizado para representar la pérdida de confidencialidad, incluso cuando el error - es decir, la debilidad - no está directamente relacionada con el mal manejo de la información en sí, como una lectura fuera de los límites que accede a los contenidos sensibles de la memoria; aquí, la lectura fuera de los límites es la debilidad principal, no la revelación de la memoria. Además, esta frase también se utiliza con frecuencia en políticas y documentos legales, pero no se refiere a ninguna revelación de información relevante para la seguridad. Este es un término de uso frecuente, sin embargo el término "fuga" tiene múltiples usos dentro de la seguridad. En algunos casos se trata de la exposición accidental de información de una debilidad diferente, pero en otros casos (como "fuga de memoria"), se trata de un seguimiento inadecuado de los recursos, que puede conducir al agotamiento. Como resultado, CWE evita activamente el uso del término "fuga". Enumeración de nombres de usuario válidos basada en respuestas incoherentes Enumeración de números de cuenta a través de respuestas incoherentes. Enumeración de usuarios a través de discrepancias en los mensajes de error. El protocolo Telnet permite a los servidores obtener información sensible del entorno de los clientes. El producto establece un TTL diferente cuando un puerto está siendo filtrado que cuando no lo está, lo que permite a los atacantes remotos identificar los puertos filtrados comparando los TTL. El sistema de control de versiones permite a los atacantes remotos determinar la existencia de archivos y directorios arbitrarios a través del comando -X para un archivo histórico alternativo, lo que hace que se devuelvan diferentes mensajes de error. La máquina virtual permite a los operadores de sitios web maliciosos determinar la existencia de archivos en el cliente midiendo los retrasos en la ejecución del método getSystemResource. El producto envía inmediatamente un mensaje de error cuando un usuario no existe, lo que permite a los atacantes remotos determinar los nombres de usuario válidos mediante un ataque de sincronización. El servidor POP3 revela una contraseña en un mensaje de error después de enviar varios comandos APOP. Puede ser el resultado de otra debilidad. El programa revela la contraseña en un mensaje de error si el atacante puede provocar ciertos errores en la base de datos. Compuesto: la aplicación que se ejecuta con altos privilegios (CWE-250) permite al usuario especificar un archivo restringido para procesar, lo que genera un error de análisis que filtra el contenido del archivo (CWE-209). La petición directa a un archivo de biblioteca en una aplicación web provoca la filtración del nombre de la ruta en el mensaje de error. Una sintaxis regexp mal formada provoca la exposición de información en el mensaje de error. Contraseña expuesta en la información de depuración. El cliente FTP con la opción de depuración activada muestra la contraseña en la pantalla. La plataforma de colaboración no borra los correos electrónicos del equipo en una respuesta, lo que permite la fuga de direcciones de correo electrónico

Referencias

MISC

http://www.karlkraft.com/index.php/2008/10/03/yet-another-iphone-emergency-call-security-bug/

SECTRACK

1021021

XF

apple-iphone-sms-info-disclosure(46062)

CPE

cpe	iniciar	fin
Configuration 1
cpe:2.3:h:apple:iphone:2.1:::::::*

REMEDIACIÓN

EXPLOTA

Exploit-db.com

id	descripción	fecha
No hay exploits conocidos

Otros (github, ...)

Url
No hay exploits conocidos

CAPEC

Common Attack Pattern Enumerations and Classifications

id	descripción	gravedad
116	Excavación Un adversario sondea activamente el objetivo de una manera que está diseñada para solicitar información que podría ser aprovechada con fines maliciosos.	Medio
13	Subvertir los valores de las variables de entorno El adversario modifica directa o indirectamente las variables de entorno utilizadas por el software objetivo o que lo controlan. El objetivo del adversario es hacer que el software objetivo se desvíe de su funcionamiento esperado de manera que beneficie al adversario. [El adversario primero sondea la aplicación objetivo para determinar información importante sobre el objetivo. Esta información podría incluir los tipos de software utilizados, las versiones de software, qué entradas de usuario consume la aplicación, etc. Lo más importante es que el adversario intenta determinar qué variables de entorno podría utilizar el software subyacente, o incluso la propia aplicación. [Usando la información encontrada al sondear la aplicación, el adversario intenta manipular cualquier variable de entorno controlada por el usuario que haya encontrado que está siendo utilizada por la aplicación, o que sospeche que está siendo utilizada por la aplicación, y observar los efectos de estos cambios. Si el adversario nota algún cambio significativo en la aplicación, sabrá que una determinada variable de entorno es importante para el comportamiento de la aplicación e indica un posible vector de ataque. [Manipular variables de entorno controladas por el usuario] El adversario manipula la(s) variable(s) de entorno encontrada(s) para abusar del flujo normal de los procesos o para obtener acceso a recursos privilegiados.	Muy alto
169	Huella Un adversario realiza actividades de sondeo y exploración para identificar componentes y propiedades del objetivo. [El atacante examina la información y el código fuente del sitio web y utiliza herramientas automatizadas para obtener toda la información posible sobre el sistema y la organización.	Muy bajo
22	Explotación de la confianza en el cliente Un ataque de este tipo aprovecha las vulnerabilidades en la autenticación del canal de comunicación cliente/servidor y la integridad de los datos. Aprovecha la confianza implícita que un servidor deposita en el cliente, o más aún, lo que el servidor cree que es el cliente. Un atacante ejecuta este tipo de ataque comunicándose directamente con el servidor cuando éste cree que se está comunicando sólo con un cliente válido. Existen numerosas variantes de este tipo de ataque.	Alto
224	Huellas dactilares Un adversario compara los resultados de un sistema objetivo con indicadores conocidos que identifican de forma exclusiva detalles específicos del objetivo. Lo más habitual es que la huella digital se realice para determinar las versiones del sistema operativo y de las aplicaciones. La toma de huellas dactilares puede realizarse tanto de forma pasiva como activa. La toma de huellas por sí misma no suele ser perjudicial para el objetivo. Sin embargo, la información recopilada a través de las huellas dactilares a menudo permite a un adversario descubrir las debilidades existentes en el objetivo.	Muy bajo
285	ICMP Echo Request Ping Un adversario envía una solicitud de eco ICMP de tipo 8, comúnmente conocida como "ping", para determinar si un sistema objetivo responde. Si la solicitud no es bloqueada por un firewall o ACL, el host objetivo responderá con un datagrama ICMP Type 0 Echo Reply. Este tipo de intercambio se suele denominar "Ping" debido a la utilidad Ping presente en casi todos los sistemas operativos. Ping, como se implementa comúnmente, permite a un usuario probar si hay hosts vivos, medir el tiempo de ida y vuelta, y medir el porcentaje de pérdida de paquetes.	Bajo
287	TCP SYN Scan Un adversario utiliza un escaneo SYN para determinar el estado de los puertos en el objetivo remoto. El escaneo SYN es el tipo más común de escaneo de puertos que se utiliza debido a sus muchas ventajas y pocos inconvenientes. Como resultado, los atacantes novatos tienden a confiar excesivamente en el escaneo SYN mientras realizan el reconocimiento del sistema. Como método de escaneo, las principales ventajas del escaneo SYN son su universalidad y velocidad. Un adversario envía paquetes SYN a los puertos que quiere escanear y comprueba la respuesta sin completar el handshake TCP. El adversario utiliza la respuesta del objetivo para determinar el estado del puerto. El adversario puede determinar el estado de un puerto basándose en las siguientes respuestas. Cuando se envía un SYN a un puerto abierto y sin filtrar, se genera un SYN/ACK. Cuando se envía un paquete SYN a un puerto cerrado se genera un RST, indicando que el puerto está cerrado. Cuando el escaneo SYN a un puerto concreto no genera respuesta, o cuando la petición desencadena errores ICMP Tipo 3 inalcanzable, el puerto es filtrado.	Bajo
290	Enumerar registros de Mail Exchange (MX) Un adversario enumera los registros MX de un determinado mediante una consulta DNS. Este tipo de recopilación de información devuelve los nombres de los servidores de correo en la red. Los servidores de correo no suelen estar expuestos a Internet, sino que se encuentran en la DMZ de una red protegida por un cortafuegos. Un efecto secundario de esta configuración es que la enumeración de los registros MX de una organización puede revelar la dirección IP del cortafuegos o posiblemente de otros sistemas internos. Los atacantes suelen recurrir a la enumeración de registros MX cuando no es posible realizar una transferencia de zona DNS.	Bajo
291	Transferencias de zonas DNS Un atacante se aprovecha de una desconfiguración del DNS que permite una transferencia de ZONA. Algunos servidores DNS externos devolverán una lista de direcciones IP y nombres de host válidos. Bajo ciertas condiciones, puede incluso ser posible obtener datos de la zona sobre la red interna de la organización. Cuando tiene éxito, el atacante aprende información valiosa sobre la topología de la organización objetivo, incluyendo información sobre servidores particulares, su papel dentro de la estructura de TI, y posiblemente información sobre los sistemas operativos que se ejecutan en la red. Este comportamiento depende de la configuración, por lo que también puede ser necesario buscar varios servidores DNS mientras se intenta encontrar uno con transferencias de ZONA permitidas.	Bajo
292	Host Discovery Un adversario envía una sonda a una dirección IP para determinar si el host está vivo. El descubrimiento de hosts es una de las primeras fases del reconocimiento de la red. El adversario suele comenzar con un rango de direcciones IP pertenecientes a una red objetivo y utiliza varios métodos para determinar si hay un host en esa dirección IP. El descubrimiento de hosts se suele denominar escaneo "Ping" utilizando una analogía con el sonar. El objetivo es enviar un paquete a través de la dirección IP y solicitar una respuesta del host. Por lo tanto, un "ping" puede ser prácticamente cualquier paquete diseñado, siempre que el adversario pueda identificar un host funcional basado en su respuesta. Un ataque de esta naturaleza suele llevarse a cabo con un "barrido de ping", en el que se envía un tipo de ping concreto a un rango de direcciones IP.	Bajo
293	Enumeración de rutas Traceroute Un adversario utiliza una utilidad de rastreo (traceroute) para trazar la ruta por la que fluyen los datos a través de la red en dirección a un destino objetivo. El tracerouting puede permitir al adversario construir una topología de trabajo de los sistemas y routers, enumerando los sistemas por los que pasan los datos en su camino hacia la máquina objetivo. Este ataque puede devolver resultados variados dependiendo del tipo de traceroute que se realice. Traceroute funciona enviando paquetes a un objetivo mientras se incrementa el campo Time-to-Live en la cabecera del paquete. A medida que el paquete atraviesa cada salto en su camino hacia el destino, su TTL expira generando un mensaje de diagnóstico ICMP que identifica dónde expiró el paquete. Las técnicas tradicionales de tracerouting implicaban el uso de ICMP y UDP, pero a medida que más cortafuegos comenzaron a filtrar el ICMP de entrada, se desarrollaron métodos de traceroute utilizando TCP.	Bajo
294	ICMP Address Mask Request Un adversario envía una solicitud de máscara de dirección ICMP de tipo 17 para obtener información sobre la configuración de red de un objetivo. Las solicitudes de máscara de dirección ICMP están definidas en el RFC-950, "Internet Standard Subnetting Procedure". Una solicitud de máscara de dirección es un mensaje ICMP de tipo 17 que hace que un sistema remoto responda con una lista de sus subredes relacionadas, así como su puerta de enlace predeterminada y su dirección de difusión a través de un datagrama de respuesta de máscara de dirección ICMP de tipo 18. La recopilación de este tipo de información ayuda al adversario a planificar ataques basados en el router, así como ataques de denegación de servicio contra la dirección de difusión.	Bajo
295	Timestamp Request Este patrón de ataque aprovecha las peticiones estándar para conocer la hora exacta asociada a un sistema objetivo. Un adversario podría utilizar la marca de tiempo devuelta por el objetivo para atacar algoritmos de seguridad basados en el tiempo, como generadores de números aleatorios, o mecanismos de autenticación basados en el tiempo.	Bajo
296	Solicitud de información ICMP Un adversario envía una solicitud de información ICMP a un host para determinar si responderá a este mecanismo obsoleto. Las solicitudes de información ICMP son un tipo de mensaje obsoleto. Las solicitudes de información se utilizaban originalmente para que las máquinas sin disco obtuvieran automáticamente su configuración de red, pero este tipo de mensaje ha sido sustituido por implementaciones de protocolo más robustas como DHCP.	Bajo
297	TCP ACK Ping Un adversario envía un segmento TCP con la bandera ACK activada a un host remoto con el propósito de determinar si el host está vivo. Este es uno de los varios tipos de "ping" TCP. El comportamiento esperado por el RFC 793 para un servicio es responder con un paquete RST 'reset' a cualquier segmento ACK no solicitado que no sea parte de una conexión existente. Así, al enviar un segmento ACK a un puerto, el adversario puede identificar que el host está vivo buscando un paquete RST. Normalmente, un servidor remoto responderá con un RST independientemente de si un puerto está abierto o cerrado. De este modo, los pings TCP ACK no pueden descubrir el estado de un puerto remoto porque el comportamiento es el mismo en ambos casos. El cortafuegos buscará el paquete ACK en su tabla de estados y descartará el segmento porque no corresponde a ninguna conexión activa. Un Ping TCP ACK puede ser usado para descubrir si un host está vivo a través de paquetes de respuesta RST enviados desde el host.	Bajo
298	UDP Ping Un adversario envía un datagrama UDP al host remoto para determinar si el host está vivo. Si se envía un datagrama UDP a un puerto UDP abierto, muy a menudo no hay respuesta, por lo que una estrategia típica para utilizar un ping UDP es enviar el datagrama a un puerto alto aleatorio en el objetivo. El objetivo es solicitar un mensaje 'ICMP port unreachable' del objetivo, indicando que el host está vivo. Los pings UDP son útiles porque algunos cortafuegos no están configurados para bloquear los datagramas UDP enviados a puertos extraños o normalmente no utilizados, como los puertos en el rango 65K. Además, aunque algunos cortafuegos pueden filtrar el ICMP entrante, los puntos débiles de los conjuntos de reglas de los cortafuegos pueden permitir ciertos tipos de ICMP (host inalcanzable, puerto inalcanzable) que son útiles para los intentos de ping UDP.	Bajo
299	TCP SYN Ping Un adversario utiliza los paquetes TCP SYN como medio para el descubrimiento de hosts. El comportamiento típico de la RFC 793 especifica que cuando un puerto TCP está abierto, un host debe responder a un paquete SYN "synchronize" entrante completando la etapa dos del 'handshake' de tres vías - enviando un SYN/ACK en respuesta. Cuando un puerto está cerrado, el comportamiento del RFC 793 es responder con un paquete RST "reset". Este comportamiento se puede utilizar para hacer "ping" a un objetivo para ver si está vivo enviando un paquete TCP SYN a un puerto y luego buscando un paquete RST o ACK como respuesta.	Bajo
300	Escaneo de puertos Un adversario utiliza una combinación de técnicas para determinar el estado de los puertos en un objetivo remoto. Cualquier servicio o aplicación disponible para la red TCP o UDP tendrá un puerto abierto para las comunicaciones a través de la red.	Bajo
301	TCP Connect Scan Un adversario utiliza intentos de conexión TCP completos para determinar si un puerto está abierto en el sistema objetivo. El proceso de escaneo implica completar un "apretón de manos a tres bandas" con un puerto remoto, e informa del puerto como cerrado si no se puede establecer el apretón de manos completo. Una ventaja del escaneo de conexión TCP es que funciona contra cualquier pila TCP/IP. Un adversario intenta inicializar una conexión TCP con el puerto objetivo. Un adversario utiliza el resultado de su conexión TCP para determinar el estado del puerto objetivo. Una conexión exitosa indica que el puerto está abierto con un servicio escuchando en él, mientras que una conexión fallida indica que el puerto no está abierto.	Bajo
302	TCP FIN Scan Un adversario utiliza un escaneo TCP FIN para determinar si los puertos están cerrados en la máquina objetivo. Este tipo de escaneo se realiza enviando segmentos TCP con el bit FIN establecido en la cabecera del paquete. El comportamiento esperado por el RFC 793 es que cualquier segmento TCP con una bandera fuera de estado enviado a un puerto abierto sea descartado, mientras que los segmentos con banderas fuera de estado enviados a puertos cerrados deben ser manejados con un RST como respuesta. Este comportamiento debería permitir al adversario buscar puertos cerrados enviando ciertos tipos de paquetes que rompen las reglas (fuera de sincronización o no permitidos por el TCB) y detectar puertos cerrados mediante paquetes RST. Un adversario envía paquetes TCP con la bandera FIN pero no asociados a una conexión existente a los puertos objetivo. Un adversario utiliza la respuesta del objetivo para determinar el estado del puerto. Si no se recibe ninguna respuesta, el puerto está abierto. Si se recibe un paquete RST, el puerto está cerrado.	Bajo
303	TCP Xmas Scan Un adversario utiliza un escaneo TCP XMAS para determinar si los puertos están cerrados en la máquina objetivo. Este tipo de escaneo se realiza enviando segmentos TCP con todas las banderas posibles establecidas en la cabecera del paquete, generando paquetes que son ilegales según el RFC 793. El comportamiento esperado por el RFC 793 es que cualquier segmento TCP con una bandera fuera de estado enviado a un puerto abierto sea descartado, mientras que los segmentos con banderas fuera de estado enviados a puertos cerrados deben ser manejados con un RST como respuesta. Este comportamiento debería permitir a un atacante buscar puertos cerrados enviando ciertos tipos de paquetes que rompen las reglas (fuera de sincronización o no permitidos por el TCB) y detectar puertos cerrados a través de paquetes RST. Un adversario envía paquetes TCP con todas las banderas establecidas pero no asociadas a una conexión existente a los puertos objetivo. Un adversario utiliza la respuesta del objetivo para determinar el estado del puerto. Si no se recibe ninguna respuesta, el puerto está abierto. Si se recibe un paquete RST, el puerto está cerrado.	Bajo
304	TCP Null Scan Un adversario utiliza un escaneo TCP NULL para determinar si los puertos están cerrados en la máquina objetivo. Este tipo de escaneo se realiza enviando segmentos TCP sin banderas en la cabecera del paquete, generando paquetes que son ilegales según el RFC 793. El comportamiento esperado por el RFC 793 es que cualquier segmento TCP con una bandera fuera de estado enviado a un puerto abierto sea descartado, mientras que los segmentos con banderas fuera de estado enviados a puertos cerrados deben ser manejados con un RST como respuesta. Este comportamiento debería permitir a un atacante buscar puertos cerrados enviando ciertos tipos de paquetes que rompen las reglas (fuera de sincronización o no permitidos por el TCB) y detectar puertos cerrados a través de paquetes RST. Un adversario envía paquetes TCP sin banderas establecidas y que no están asociados con una conexión existente a los puertos objetivo. Un adversario utiliza la respuesta del objetivo para determinar el estado del puerto. Si no se recibe ninguna respuesta, el puerto está abierto. Si se recibe un paquete RST, el puerto está cerrado.	Bajo
305	TCP ACK Scan Un adversario utiliza segmentos TCP ACK para reunir información sobre la configuración del cortafuegos o ACL. El propósito de este tipo de escaneo es descubrir información sobre las configuraciones de los filtros más que sobre el estado de los puertos. Este tipo de escaneo rara vez es útil por sí solo, pero cuando se combina con el escaneo SYN, da una imagen más completa del tipo de reglas de cortafuegos que están presentes. Un adversario envía paquetes TCP con la bandera ACK activada y que no están asociados a una conexión existente a los puertos objetivo. Un adversario utiliza la respuesta del objetivo para determinar el estado del puerto. Si se recibe un paquete RST, el puerto de destino está cerrado o el ACK se envió fuera de sincronización. Si no se recibe ninguna respuesta, es probable que el objetivo esté utilizando un cortafuegos con estado.	Bajo
306	TCP Window Scan Un adversario realiza un escaneo TCP Window para analizar el estado del puerto y el tipo de sistema operativo. El escaneo de ventanas TCP utiliza el método de escaneo ACK pero examina el campo TCP Window Size de los paquetes RST de respuesta para hacer ciertas inferencias. Aunque los escaneos de ventana TCP son rápidos y relativamente sigilosos, funcionan contra menos implementaciones de pila TCP que cualquier otro tipo de escaneo. Algunos sistemas operativos devuelven un tamaño de ventana TCP positivo cuando un paquete RST se envía desde un puerto abierto, y un valor negativo cuando el RST se origina en un puerto cerrado. El escaneo de ventanas TCP es uno de los tipos de escaneo más complejos, y sus resultados son difíciles de interpretar. El escaneo de ventanas por sí solo rara vez arroja información útil, pero cuando se combina con otros tipos de escaneo es más útil. En general, es un medio más fiable para hacer inferencias sobre las versiones del sistema operativo que el estado de los puertos. Un adversario envía paquetes TCP con la bandera ACK activada y que no están asociados a una conexión existente a los puertos objetivo. Un adversario utiliza la respuesta del objetivo para determinar el estado del puerto. Específicamente, el adversario ve el tamaño de la ventana TCP del paquete RST devuelto si se recibió uno. Dependiendo del sistema operativo de destino, un tamaño de ventana positivo puede indicar un puerto abierto mientras que un tamaño de ventana negativo puede indicar un puerto cerrado.	Bajo
307	TCP RPC Scan Un adversario escanea el listado de servicios RPC en un host Unix/Linux. Un adversario envía paquetes RCP a los puertos objetivo. Un adversario utiliza la respuesta del objetivo para determinar qué servicio RPC, si es que hay alguno, se está ejecutando en ese puerto. Las respuestas variarán en función del servicio RPC que se esté ejecutando.	Bajo
308	UDP Scan Un adversario realiza un escaneo UDP para reunir información sobre el estado del puerto UDP en el sistema objetivo. Los métodos de escaneo UDP implican el envío de un datagrama UDP al puerto objetivo y la búsqueda de pruebas de que el puerto está cerrado. Los puertos UDP abiertos normalmente no responden a los datagramas UDP ya que no hay ningún mecanismo de estado dentro del protocolo que requiera construir o establecer una sesión. Las respuestas a los datagramas UDP son, por tanto, específicas de la aplicación y no se puede confiar en ellas como método para detectar un puerto abierto. El escaneo UDP depende en gran medida de los mensajes de diagnóstico ICMP para determinar el estado de un puerto remoto. Un adversario envía paquetes UDP a los puertos objetivo. El adversario utiliza la respuesta del objetivo para determinar el estado del puerto. El hecho de que un puerto responda a un paquete UDP depende de la aplicación que esté escuchando en ese puerto. La ausencia de respuesta no indica que el puerto no esté abierto.	Bajo
309	Mapeo de la topología de la red Un adversario realiza actividades de escaneo para mapear nodos, hosts, dispositivos y rutas de la red. Los adversarios suelen realizar este tipo de reconocimiento de la red durante las primeras etapas del ataque contra una red externa. Se suelen emplear muchos tipos de utilidades de escaneo, incluyendo herramientas ICMP, mapeadores de red, escáneres de puertos y utilidades de comprobación de rutas como traceroute.	Bajo
310	Búsqueda de software vulnerable Un atacante realiza una actividad de exploración para encontrar versiones o tipos de software vulnerables, como versiones de sistemas operativos o servicios de red. Las configuraciones de red vulnerables o explotables, como los sistemas con cortafuegos inadecuados, o los sistemas mal configurados en la DMZ o en la red externa, proporcionan ventanas de oportunidad para un atacante. Los tipos más comunes de software vulnerable incluyen sistemas operativos sin parches o servicios (por ejemplo, FTP, Telnet, SMTP, SNMP) que se ejecutan en puertos abiertos que el atacante ha identificado. Los atacantes suelen empezar a sondear el software vulnerable una vez que se ha escaneado el puerto de la red externa y se han revelado los objetivos potenciales.	Bajo
312	Active OS Fingerprinting Un adversario realiza una actividad para detectar el sistema operativo o la versión del firmware de un objetivo remoto interrogando a un dispositivo, servidor o plataforma con una sonda diseñada para solicitar un comportamiento que revele información sobre los sistemas operativos o el firmware del entorno. La detección del sistema operativo es posible porque las implementaciones de los protocolos comunes (como IP o TCP) difieren de distintas maneras. Aunque las diferencias de implementación no son suficientes para "romper" la compatibilidad con el protocolo, las diferencias son detectables porque el objetivo responderá de forma única a la actividad de sondeo específica que rompe las reglas semánticas o lógicas de construcción de paquetes para un protocolo. Los diferentes sistemas operativos tendrán una respuesta única a la entrada anómala, lo que proporciona la base para identificar el comportamiento del sistema operativo. Este tipo de huella digital del sistema operativo puede distinguir entre tipos y versiones de sistemas operativos.	Bajo
313	Huellas digitales pasivas del SO Un adversario realiza una actividad para detectar la versión o el tipo de software del sistema operativo en un entorno mediante la monitorización pasiva de la comunicación entre dispositivos, nodos o aplicaciones. Las técnicas pasivas de detección de sistemas operativos no envían sondas reales a un objetivo, sino que supervisan la red o la comunicación cliente-servidor entre nodos para identificar los sistemas operativos en función del comportamiento observado en comparación con una base de datos de firmas o valores conocidos. Aunque las huellas digitales pasivas del sistema operativo no suelen ser tan fiables como los métodos activos, suelen ser más capaces de evadir la detección.	Bajo
317	Sonda de secuenciación IP ID Esta sonda de huellas digitales del sistema operativo analiza el algoritmo de generación de números de secuencia del campo 'ID' de la IP de un host remoto. Los sistemas operativos generan los números de "ID" IP de forma diferente, lo que permite a un atacante identificar el sistema operativo del host examinando cómo asigna los números de ID al generar los paquetes de respuesta. El RFC 791 no especifica cómo se eligen los números de ID o sus rangos, por lo que la generación de la secuencia de ID difiere de una implementación a otra. Hay dos tipos de análisis de números de secuencia IP 'ID' - Secuenciación IP 'ID': analizar el algoritmo de generación de secuencias IP 'ID' para un protocolo utilizado por un host y Secuenciación IP 'ID' compartida: analizar el ordenamiento de paquetes a través de valores IP 'ID' que abarcan múltiples protocolos, como entre ICMP y TCP.	Bajo
318	IP 'ID' Echoed Byte-Order Probe Esta sonda de huella del SO comprueba si el host remoto devuelve el valor de "ID" de la IP del paquete de la sonda. Un atacante envía un datagrama UDP con un valor de "ID" de IP arbitrario a un puerto cerrado en el host remoto para observar la forma en que este bit se devuelve en el mensaje de error ICMP. El campo de identificación (ID) se utiliza normalmente para reensamblar un paquete fragmentado. Algunos sistemas operativos o el firmware del router invierten el orden de los bits del campo ID cuando se hace eco de la parte de la cabecera IP del datagrama original dentro de un mensaje de error ICMP.	Bajo
319	IP (DF) 'Don't Fragment Bit' Echoing Probe Esta sonda de huellas del sistema operativo comprueba si el host remoto devuelve el bit 'DF' (Don't Fragment) de IP en un paquete de respuesta. Un atacante envía un datagrama UDP con el bit DF activado a un puerto cerrado en el host remoto para observar si el bit 'DF' está activado en el paquete de respuesta. Algunos sistemas operativos se harán eco del bit en el mensaje de error ICMP mientras que otros pondrán a cero el bit en el paquete de respuesta.	Bajo
320	TCP Timestamp Probe Esta sonda de huellas del sistema operativo examina la implementación de las marcas de tiempo TCP del servidor remoto. No todos los sistemas operativos implementan marcas de tiempo en la cabecera TCP, pero cuando se utilizan marcas de tiempo, esto proporciona al atacante un medio para adivinar el sistema operativo del objetivo. El atacante comienza por sondear cualquier servicio TCP activo para obtener una respuesta que contenga una marca de tiempo TCP. Los diferentes sistemas operativos actualizan el valor de la marca de tiempo utilizando diferentes intervalos. Este tipo de análisis es más preciso cuando se reciben múltiples respuestas de marca de tiempo y luego se analizan. Las marcas de tiempo TCP pueden encontrarse en el campo Opciones TCP de la cabecera TCP. [El adversario envía un paquete de sondeo al host remoto para identificar si las marcas de tiempo están presentes. [Registre y analice los valores de las marcas de tiempo.] Si el host remoto utiliza marcas de tiempo, obtenga varias marcas de tiempo, analícelas y compárelas con valores conocidos.	Bajo
321	Sonda de número de secuencia TCP Esta sonda de huellas del sistema operativo comprueba la asignación de números de secuencia TCP del sistema de destino. Una forma común de probar la generación de números de secuencia TCP es enviar un paquete de sondeo a un puerto abierto en el objetivo y luego comparar la relación entre el número de secuencia generado por el objetivo y el número de confirmación en el paquete de sondeo. Los distintos sistemas operativos asignan los números de secuencia de manera diferente, por lo que se puede obtener una huella digital del sistema operativo clasificando la relación entre el número de acuse de recibo y el número de secuencia de la siguiente manera: 1) el número de secuencia generado por el objetivo es cero, 2) el número de secuencia generado por el objetivo es el mismo que el número de acuse de recibo en la sonda, 3) el número de secuencia generado por el objetivo es el número de acuse de recibo más uno, o 4) el número de secuencia es cualquier otro número distinto de cero.	Bajo
322	Sonda TCP (ISN) Greatest Common Divisor Esta sonda de huellas del sistema operativo envía una serie de paquetes TCP SYN a un puerto abierto de una máquina remota. El número de secuencia inicial (ISN) en cada uno de los paquetes de respuesta SYN/ACK se analiza para determinar el número más pequeño que el host de destino utiliza al incrementar los números de secuencia. Esta información puede ser útil para identificar un sistema operativo, ya que determinados sistemas operativos y versiones incrementan los números de secuencia utilizando valores diferentes. El resultado del análisis se compara con una base de datos de comportamientos del sistema operativo para determinar el tipo y/o la versión del mismo.	Bajo
323	TCP (ISN) Counter Rate Probe Esta sonda de detección del SO mide la tasa media de incrementos del número de secuencia inicial durante un periodo de tiempo. Los números de secuencia se incrementan utilizando un algoritmo basado en el tiempo y son susceptibles de un análisis de tiempo que puede determinar el número de incrementos por unidad de tiempo. El resultado de este análisis se compara con una base de datos de sistemas operativos y versiones para determinar las posibles coincidencias del sistema operativo.	Bajo
324	TCP (ISN) Sequence Predictability Probe Este tipo de sondeo del sistema operativo intenta determinar una estimación de lo predecible que es el algoritmo de generación de números de secuencia para un host remoto. Se pueden utilizar técnicas estadísticas, como la desviación estándar, para determinar el grado de previsibilidad de la generación de números de secuencia de un sistema. Este resultado puede compararse con una base de datos de comportamientos del sistema operativo para determinar una probable coincidencia de sistema operativo y versión.	Bajo
325	Sonda de Control de Congestión TCP (ECN) Esta sonda de huellas del sistema operativo comprueba si el host remoto admite la mensajería de notificación explícita de congestión (ECN). La mensajería ECN fue diseñada para permitir a los routers notificar a un host remoto cuando se producen problemas de congestión de la señal. La mensajería de notificación de congestión explícita se define en el RFC 3168. Diferentes sistemas operativos y versiones pueden o no implementar las notificaciones ECN, o pueden responder de forma única a determinados tipos de bandera ECN.	Bajo
326	TCP Initial Window Size Probe Esta sonda de huellas del sistema operativo comprueba el tamaño inicial de la ventana TCP. Las pilas TCP limitan el rango de números de secuencia permitidos dentro de una sesión para mantener el estado "conectado" dentro de la lógica del protocolo TCP. El tamaño de la ventana inicial especifica un rango de números de secuencia aceptables que calificarán como una respuesta a un paquete ACK dentro de una sesión. Varios sistemas operativos utilizan diferentes tamaños de ventana inicial. El tamaño de la ventana inicial puede ser muestreado al establecer una conexión TCP ordinaria.	Bajo
327	Sonda de Opciones TCP Esta sonda de huellas del sistema operativo analiza el tipo y el orden de cualquier opción de cabecera TCP presente en un segmento de respuesta. La mayoría de los sistemas operativos utilizan una ordenación única y diferentes conjuntos de opciones cuando éstas están presentes. El RFC 793 no especifica un orden requerido cuando las opciones están presentes, por lo que diferentes implementaciones utilizan formas únicas de ordenar o estructurar las opciones TCP. Las opciones TCP pueden ser generadas por el tráfico TCP ordinario.	Bajo
328	TCP 'RST' Flag Checksum Probe Esta sonda de huellas del SO realiza una suma de comprobación en cualquier dato ASCII contenido en la parte de datos o en un paquete RST. Algunos sistemas operativos informan de un mensaje de texto legible en la carga útil de un paquete "RST" (reset) cuando se producen determinados tipos de errores de conexión. El RFC 1122 permite cargas útiles de texto dentro de los paquetes de restablecimiento, pero no todos los sistemas operativos o routers implementan esta funcionalidad.	Bajo
329	Sonda de citación de mensajes de error ICMP Un adversario utiliza una técnica para generar un mensaje de error ICMP (Puerto inalcanzable, Destino inalcanzable, Redirección, Apagado de la fuente, Tiempo excedido, Problema de parámetros) de un objetivo y luego analizar la cantidad de datos devueltos o "Quoted" de la solicitud originaria que generó el mensaje de error ICMP.	Bajo
330	ICMP Error Message Echoing Integrity Probe Un adversario utiliza una técnica para generar un mensaje de error ICMP (Puerto inalcanzable, Destino inalcanzable, Redirección, Apagado de origen, Tiempo excedido, Problema de parámetros) de un objetivo y luego analizar la integridad de los datos devueltos o "cotizados" de la solicitud originaria que generó el mensaje de error.	Bajo
472	Browser Fingerprinting Un atacante crea cuidadosamente pequeños fragmentos de Java Script para detectar eficazmente el tipo de navegador que utiliza la víctima potencial. Muchos ataques basados en la web necesitan un conocimiento previo del navegador web, incluyendo la versión del mismo, para asegurar la explotación exitosa de una vulnerabilidad. Tener este conocimiento permite a un atacante dirigirse a la víctima con ataques que explotan específicamente debilidades conocidas o de día cero en el tipo y la versión del navegador utilizado por la víctima. La automatización de este proceso a través de Java Script como parte del mismo sistema de entrega utilizado para explotar el navegador se considera más eficiente, ya que el atacante puede suministrar un método de huella digital del navegador e integrarlo con el código de explotación, todo ello contenido en Java Script y en respuesta a la misma solicitud de página web por parte del navegador.	Bajo
497	Descubrimiento de archivos Un adversario realiza actividades de sondeo y exploración para determinar si existen archivos clave comunes. Dichos archivos suelen contener parámetros de configuración y seguridad de la aplicación, el sistema o la red a la que van dirigidos. El uso de este conocimiento a menudo puede allanar el camino para ataques más dañinos.	Muy bajo
508	Surf de hombros En un ataque de "shoulder surfing", un adversario observa las pulsaciones del teclado, el contenido de la pantalla o las conversaciones de una persona que no es consciente de ello, con el objetivo de obtener información sensible. Uno de los motivos de este ataque es obtener información sensible sobre el objetivo para obtener beneficios financieros, personales, políticos o de otro tipo. Desde el punto de vista de las amenazas internas, un motivo adicional podría ser obtener credenciales de sistemas/aplicaciones o claves criptográficas. Los ataques de Shoulder Surfing se llevan a cabo observando el contenido "por encima del hombro de la víctima", como implica el nombre de este ataque.	Alto
573	Huella de procesos Un adversario explota la funcionalidad destinada a identificar la información sobre los procesos que se están ejecutando en el sistema objetivo a un usuario autorizado. Al saber qué procesos se están ejecutando en el sistema de destino, el adversario puede aprender sobre el entorno de destino como un medio para un comportamiento malicioso adicional.	Bajo
574	Servicios Footprinting Un adversario explota la funcionalidad destinada a identificar la información sobre los servicios en el sistema objetivo a un usuario autorizado. Al saber qué servicios están registrados en el sistema de destino, el adversario puede aprender sobre el entorno de destino como un medio para un comportamiento malicioso adicional. Dependiendo del sistema operativo, los comandos que pueden obtener información sobre los servicios incluyen "sc" y "tasklist/svc" utilizando Tasklist, y "net start" utilizando Net.	Bajo
575	Huella de cuentas Un adversario explota la funcionalidad destinada a identificar la información sobre las cuentas de dominio y sus permisos en el sistema de destino a un usuario autorizado. Al saber qué cuentas están registradas en el sistema de destino, el adversario puede informar de un comportamiento malicioso más específico. Ejemplos de comandos de Windows que pueden adquirir esta información son: "net user" y "dsquery".	Bajo
576	Huella de Permiso de Grupo Un adversario explota la funcionalidad destinada a identificar la información sobre los grupos de usuarios y sus permisos en el sistema de destino a un usuario autorizado. Al saber qué usuarios/permisos están registrados en el sistema objetivo, el adversario puede informar de un comportamiento malicioso más específico. Un ejemplo de comando de Windows que puede listar los grupos locales es "net localgroup".	Bajo
577	Huella del propietario Un adversario explota una funcionalidad destinada a identificar información sobre los usuarios principales del sistema objetivo a un usuario autorizado. Pueden hacer esto, por ejemplo, revisando los inicios de sesión o los tiempos de modificación de archivos. Al saber qué propietarios utilizan el sistema de destino, el adversario puede informar de un comportamiento malicioso más específico. Un ejemplo de comando de Windows que puede lograr esto es "dir /A ntuser.dat". Que mostrará la última hora de modificación del archivo ntuser.dat de un usuario cuando se ejecute dentro de la carpeta raíz de un usuario. Esta hora es sinónimo de la última vez que ese usuario se conectó.	Bajo
59	Falsificación de credenciales de sesión mediante predicción Este ataque se dirige a un ID de sesión predecible para obtener privilegios. El atacante puede predecir el ID de sesión utilizado durante una transacción para realizar el spoofing y el secuestro de sesión. Encontrar IDs de sesión] El atacante interactúa con el host objetivo y encuentra que los IDs de sesión se utilizan para autenticar a los usuarios. Caracterizar IDs] El atacante estudia las características del ID de sesión (tamaño, formato, etc.). Como resultado, el atacante descubre que los ID de sesión legítimos son predecibles. [Emparejar IDs emitidos] El atacante hace fuerza bruta con diferentes valores de ID de sesión y consigue predecir un ID de sesión válido. [Use matched Session ID] El atacante utiliza el ID de sesión falsificado para acceder al sistema objetivo.	Alto
60	Reutilización de identificadores de sesión (también conocida como repetición de sesión) Este ataque tiene como objetivo la reutilización de un ID de sesión válido para suplantar el sistema objetivo con el fin de obtener privilegios. El atacante intenta reutilizar un ID de sesión robado y utilizado previamente durante una transacción para realizar el spoofing y el secuestro de la sesión. Otro nombre para este tipo de ataque es Session Replay. El atacante interactúa con el host objetivo y descubre que los ID de sesión se utilizan para autenticar a los usuarios. El atacante roba un ID de sesión de un usuario válido. El atacante intenta utilizar el ID de sesión robado para obtener acceso al sistema con los privilegios del propietario original del ID de sesión.	Alto
616	Establecer la ubicación de Rogue Un adversario proporciona una versión maliciosa de un recurso en una ubicación que es similar a la ubicación esperada de un recurso legítimo. Después de establecer la ubicación falsa, el adversario espera a que una víctima visite la ubicación y acceda al recurso malicioso.	Medio
643	Identificar archivos/directorios compartidos en el sistema Un adversario descubre las conexiones entre sistemas explotando la práctica estándar del sistema objetivo de revelarlas en áreas comunes que se pueden buscar. A través de la identificación de carpetas/unidades de disco compartidas entre sistemas, el adversario puede avanzar en sus objetivos de localizar y recopilar información/archivos sensibles, o trazar rutas potenciales para el movimiento lateral dentro de la red.	Medio
646	Huella Periférica Los adversarios pueden intentar obtener información sobre los dispositivos periféricos y componentes conectados a un sistema informático. Los ejemplos pueden incluir el descubrimiento de la presencia de dispositivos iOS mediante la búsqueda de copias de seguridad, el análisis del registro de Windows para determinar qué dispositivos USB se han conectado, o la infección de un sistema víctima con malware para informar cuando se ha conectado un dispositivo USB. Esto puede permitir al adversario obtener información adicional sobre el sistema o el entorno de la red, que puede ser útil para construir otros ataques.	Medio
651	Eavesdropping Un adversario intercepta una forma de comunicación (por ejemplo, texto, audio, vídeo) mediante software (por ejemplo, micrófono y aplicación de grabación de audio), hardware (por ejemplo, equipo de grabación) o medios físicos (por ejemplo, proximidad física). El objetivo de las escuchas suele ser obtener acceso no autorizado a información sensible sobre el objetivo para obtener beneficios financieros, personales, políticos o de otro tipo. Las escuchas se diferencian de los ataques de sniffing, ya que no tienen lugar en un canal de comunicación basado en la red (por ejemplo, el tráfico IP). En cambio, se trata de escuchar la fuente de audio en bruto de una conversación entre dos o más partes.	Medio
79	Uso de barras inclinadas en la codificación alternativa Este ataque se dirige a la codificación de los caracteres de la barra diagonal. Un adversario trataría de explotar los problemas de filtrado comunes relacionados con el uso de los caracteres de barra para obtener acceso a los recursos en el host objetivo. Los sistemas basados en directorios, como los sistemas de archivos y las bases de datos, suelen utilizar el carácter de barra para indicar el paso entre directorios u otros componentes del contenedor. Por turbias razones históricas, los PC (y, en consecuencia, los SO de Microsoft) optan por utilizar una barra invertida, mientras que el mundo UNIX suele hacer uso de la barra diagonal. El resultado esquizofrénico es que muchos sistemas basados en MS deben entender ambas formas de la barra. Esto da al adversario muchas oportunidades para descubrir y abusar de una serie de problemas de filtrado comunes. El objetivo de este patrón es descubrir el software del servidor que sólo aplica filtros a una versión, pero no a la otra. [Inspeccionar la aplicación en busca de entradas controlables por el usuario] Utilizando un navegador, una herramienta automatizada o inspeccionando la aplicación, un adversario registra todos los puntos de entrada a la aplicación. [El adversario utiliza los puntos de entrada recogidos en la fase de "exploración" como una lista de objetivos y busca las áreas en las que la entrada del usuario se utiliza para acceder a los recursos en el host de destino. El adversario intenta diferentes codificaciones de caracteres de barra para evitar los filtros de entrada. [Una vez que el adversario determina cómo eludir los filtros que filtran los caracteres de barra, manipulará la entrada del usuario para incluir barras con el fin de atravesar los directorios y acceder a los recursos que no están destinados al usuario.	Alto

MITRE

Técnicas

id	descripción
T1007	Descubrimiento de servicios del sistema
T1016	Detección de la configuración de red del sistema
T1018	Detección remota del sistema
T1033	Descubrimiento del propietario/usuario del sistema
T1036.005	Enmascaramiento: Coincidir con el nombre o la ubicación legítimos
T1046	Exploración de servicios de red
T1049	Sistema de descubrimiento de conexiones de red
T1057	Descubrimiento de procesos
T1069	Descubrimiento de grupos de permisos
T1082	Descubrimiento de información del sistema
T1083	Descubrimiento de archivos y directorios
T1087	Descubrimiento de cuentas
T1111	Interceptación de autenticación multifactor
T1120	Descubrimiento de dispositivos periféricos
T1124	Descubrimiento de la hora del sistema
T1134.001	Manipulación de tokens de acceso: suplantación/robo de tokens
T1135	Descubrimiento de recursos compartidos de red
T1217	Descubrimiento de marcadores del navegador
T1550.004	Utilizar material de autenticación alternativo:Cookie de sesión web
T1562.003	Impedir defensas:Impedir el registro del historial de comandos
T1574.006	Secuestro del flujo de ejecución: Secuestro del enlazador dinámico
T1574.007	Flujo de ejecución de secuestros: interceptación de rutas mediante la variable de entorno PATH
T1590	Recopilar información sobre la red de víctimas
T1592	Recopilar información sobre la víctima
T1595	Escaneado activo
T1615	Descubrimiento de directivas de grupo
© 2022 The MITRE Corporation. Esta obra se reproduce y distribuye con el permiso de The MITRE Corporation.

Mitigación

id	descripción
T1036.005
T1046
T1087	Evita que las cuentas de administrador se enumeren cuando una aplicación se eleva a través de UAC, ya que puede conducir a la divulgación de nombres de cuenta. La clave del Registro se encuentra en <code>HKLM SOFTWAREMicrosoftWindowsCurrentVersionPoliciesCredUIEnumerateAdministrators</code>. Se puede desactivar a través de GPO: Configuración del equipo > [Directivas] > Plantillas administrativas > Componentes de Windows > Interfaz de usuario de credenciales: E numerar cuentas de administrador en elevación.
T1111	Retire las tarjetas inteligentes cuando no las utilice.
T1134.001	Un adversario ya debe tener acceso de nivel de administrador en el sistema local para hacer pleno uso de esta técnica; asegúrese de restringir los usuarios y las cuentas a los menores privilegios que requieran.
T1135	Active la configuración de seguridad de la directiva de grupo de Windows "No permitir la enumeración anónima de cuentas y recursos compartidos de SAM" para limitar los usuarios que pueden enumerar los recursos compartidos de red.
T1550.004
T1562.003	Asegúrese de que la variable de entorno <code>HISTCONTROL</code> está configurada como "ignoredups" en lugar de "ignoreboth" o "ignorespace".
T1574.006	Cuando la protección de integridad del sistema (SIP) está activada en macOS, las variables de entorno antes mencionadas se ignoran al ejecutar binarios protegidos. Las aplicaciones de terceros también pueden aprovechar el Hardened Runtime de Apple, asegurando que estas variables de entorno están sujetas a las restricciones impuestas. Los administradores pueden añadir restricciones a las aplicaciones configurando los bits setuid y/o setgid, utilizar derechos o tener un segmento __RESTRICT en el binario de macOS.
T1574.007
T1590	Esta técnica no puede mitigarse fácilmente con controles preventivos, ya que se basa en comportamientos realizados fuera del alcance de las defensas y controles de la empresa. Los esfuerzos deben centrarse en minimizar la cantidad y la sensibilidad de los datos disponibles para las partes externas.
T1592	Esta técnica no puede mitigarse fácilmente con controles preventivos, ya que se basa en comportamientos realizados fuera del alcance de las defensas y controles de la empresa. Los esfuerzos deben centrarse en minimizar la cantidad y la sensibilidad de los datos disponibles para las partes externas.
T1595	Esta técnica no puede mitigarse fácilmente con controles preventivos, ya que se basa en comportamientos realizados fuera del alcance de las defensas y controles de la empresa. Los esfuerzos deben centrarse en minimizar la cantidad y la sensibilidad de los datos disponibles para las partes externas.
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Sherlock® flash

Haz una foto de tu red informática en unos pocos clics !

La solución de auditoría Sherlock® flash le permite realizar una auditoría para reforzar la seguridad de sus activos informáticos. Escaneo de vulnerabilidad de sus equipos físicos y virtuales. Planificación de parches por nivel de prioridad y tiempo disponible. Informes detallados e intuitivos.

Descubra esta oferta

Sherlock® flash: primera solución de auditoría de ciberseguridad instantánea