En el anterior post sea hablado sobre los parámetros de búsqueda que utiliza Bing los cuales con un poco de imaginación permite conseguir información suficiente sobre una entidad ya sea gubernamental o no, en esta ocasión trataremos una vulnerabilidad muy conocida que afecta principalmente a los Servidores en Windows que utilizan Terminal Services o Citrix
A día de hoy es muy común que los trabajadores dispongan de una computadora ya sea en su área de trabajo o en el hogar con el fin de nunca perder el contacto con la oficina, o con el simple hecho de estar en contacto a través de las redes sociales,actualmente la mayor parte de los sistemas tienden a estar centralizados con el motivo de tener mayor flexibilidad en la movilidad para los usuarios y mayor control por parte del administrador del sistema, por esta razón nacen los sistemas en la nube, los cuales llevan a multinacionales de todo tipo a adoptar soluciones que van desde la publicación de aplicaciones hasta la virtualización de escritorios.
Todo esto con el fin de que sus empleados y usuarios se puedan conectarse desde la comodidad de sus hogares al trabajo o a los servicios prestados por la entidad.
Este tipo de soluciones se han desempeñado desde hace años por parte del personal técnico en cargado de la administración de Sistemas Informáticos , utilizando aplicaciones gráficas en sistemas X-Windows System y Linux , que securizan la conexión tunelizando el trafico a través de conexiones Cifradas o Encriptadas,una de las soluciones frecuentes es la utilización de protocolos tales como RDP "Remote Desktop Protocol", que permiten el control de un equipo de forma remota.
Las dos principales Soluciones empleadas para este tipo de Son las basadas en Terminal Services de Microsoft y Citrix XenAPP. cada una de Ellas Con protocolos exclusivos de sus propietarios.
A continuación abordaremos los problemas de seguridad que se pueden encontrar en las soluciones expuestas anteriormente
¿Que es Citrix y que es el protocolo ICA?
Independent Computing Architecture (ICA), es un protocolo propietario para un sistema servidor de aplicaciones diseñado por Citrix Systems. El protocolo crea una especificación para pasar datos entre el servidor y los clientes, pero no esta ligado a ninguna plataforma en peculiar.
la publicación de dichas aplicaciones se puede realizar de distintas maneras,entre las que se destacan:
Ficheros de Conexión a una aplicación remota a través de Citrix
Para realizar una correcta conexión a una aplicación que es publicada a través de Citrix, Comúnmente se utiliza un fichero de extensión .ica en donde se encuentra toda la información necesaria para establecer la conexión con la aplicación publicada. estos ficheros se encuentran en formato de texto plano, lo cual facilita información tal como dirección IP, contraseñas,usuarios,puertos de conexión,rutas de aplicaciones ,protocolos utilizados entre muchas otras cosas
En la anterior figura se puede observar claramente el usuario y el password utiliza Citrix para realizar la conexión con la aplicación que maneja internamente el servidor.
Los ficheros de conexión .ica contienen parámetros utilizados los cuales se destacan a simple vista, y de los cuales hablaremos a continuación.
Version= version del software cliente
TcpBrowserAddress= Es la direccion del servidor Citrix, que se usa para el descubrimiento de applicaciones publicadas Via HTTP
Address= Direccion IP del servidor en donde se incluye el puerto de conexión
InitialProgram= muestra la ruta exacta de la aplicación a iniciar en la conexión
WinStationDriver=indica la versión de Citrix utilizado
Username= Usuario con el cual se va a realizar la autentificación
Domain= Dominio al cual pertenece
Password= Contraseña de el usuario
para tener mas información sobre los parámetros de configuración utilizados recomiendo leer el libro de Configuracion de Citrix Metaframe Para windows Terminal Services
En los siguientes Post hablare mas sobre este tema en particular y mostrare como te puedes defender y como puedes atacar estos entornos..
Hasta Pronto...
A día de hoy es muy común que los trabajadores dispongan de una computadora ya sea en su área de trabajo o en el hogar con el fin de nunca perder el contacto con la oficina, o con el simple hecho de estar en contacto a través de las redes sociales,actualmente la mayor parte de los sistemas tienden a estar centralizados con el motivo de tener mayor flexibilidad en la movilidad para los usuarios y mayor control por parte del administrador del sistema, por esta razón nacen los sistemas en la nube, los cuales llevan a multinacionales de todo tipo a adoptar soluciones que van desde la publicación de aplicaciones hasta la virtualización de escritorios.
Todo esto con el fin de que sus empleados y usuarios se puedan conectarse desde la comodidad de sus hogares al trabajo o a los servicios prestados por la entidad.
Este tipo de soluciones se han desempeñado desde hace años por parte del personal técnico en cargado de la administración de Sistemas Informáticos , utilizando aplicaciones gráficas en sistemas X-Windows System y Linux , que securizan la conexión tunelizando el trafico a través de conexiones Cifradas o Encriptadas,una de las soluciones frecuentes es la utilización de protocolos tales como RDP "Remote Desktop Protocol", que permiten el control de un equipo de forma remota.
Las dos principales Soluciones empleadas para este tipo de Son las basadas en Terminal Services de Microsoft y Citrix XenAPP. cada una de Ellas Con protocolos exclusivos de sus propietarios.
A continuación abordaremos los problemas de seguridad que se pueden encontrar en las soluciones expuestas anteriormente
¿Que es Citrix y que es el protocolo ICA?
Independent Computing Architecture (ICA), es un protocolo propietario para un sistema servidor de aplicaciones diseñado por Citrix Systems. El protocolo crea una especificación para pasar datos entre el servidor y los clientes, pero no esta ligado a ninguna plataforma en peculiar.
la publicación de dichas aplicaciones se puede realizar de distintas maneras,entre las que se destacan:
- Publicación de ficheros de conexión con los datos de la conexión
- Publicación a través de un panel Web
- Publicación a través de Ejecutables msi
Ficheros de Conexión a una aplicación remota a través de Citrix
Para realizar una correcta conexión a una aplicación que es publicada a través de Citrix, Comúnmente se utiliza un fichero de extensión .ica en donde se encuentra toda la información necesaria para establecer la conexión con la aplicación publicada. estos ficheros se encuentran en formato de texto plano, lo cual facilita información tal como dirección IP, contraseñas,usuarios,puertos de conexión,rutas de aplicaciones ,protocolos utilizados entre muchas otras cosas
Figura 1. Fichero de configuración extensión .ICA
Los ficheros de conexión .ica contienen parámetros utilizados los cuales se destacan a simple vista, y de los cuales hablaremos a continuación.
Version= version del software cliente
TcpBrowserAddress= Es la direccion del servidor Citrix, que se usa para el descubrimiento de applicaciones publicadas Via HTTP
Address= Direccion IP del servidor en donde se incluye el puerto de conexión
InitialProgram= muestra la ruta exacta de la aplicación a iniciar en la conexión
WinStationDriver=indica la versión de Citrix utilizado
Username= Usuario con el cual se va a realizar la autentificación
Domain= Dominio al cual pertenece
Password= Contraseña de el usuario
para tener mas información sobre los parámetros de configuración utilizados recomiendo leer el libro de Configuracion de Citrix Metaframe Para windows Terminal Services
En los siguientes Post hablare mas sobre este tema en particular y mostrare como te puedes defender y como puedes atacar estos entornos..
Hasta Pronto...
No hay comentarios:
Tu Comentario Es Importante