Norton Endpoint, el Backdoor de Citrix.

No, no se preocupen, hoy no vengo a asustaros ni a meteros miedo como posiblemente ocurrió en mi primera entrada, simplemente tenía ganas de hablar de Citrix y claro… no podía permitirme el lujo de no criticar el más mínimo despiste, que un administrador de sistemas podría tener en este tipo de entornos virtualizados.

Mientras tiraba de Bing Hacking para mostrar en uno de mis cursos algún ejemplo de ficheros de conexión ICA inseguros, me tope con una herramienta bastante popular, ya que encontré varios servidores que la daban uso. Cuya funcionalidad era tan simple como la de mostrar imágenes de planos, la cual también permitía interactuar con ellos para rotar los bocetos o maximizarlos.

En la parte superior izquierda, se encontraba listada la unidad X:, desde la que se muestran los planos disponibles, con lo que intenté como todo hijo de vecino… probar si también me permitía de alguna manera la escalada de directorios. Después de someter a la aplicación a peor tortura que la de Snake, probando de todas las maneras posibles con el fin de encontrar algún punto débil de la aplicación, me di por vencido ya que parecía bastante controlada. Sin embargo se activó mi sentido arácnido al ver un icono de Norton en el tray de mi PC.

No tuve más remedio que hacer doble clic a ver de que se trataba.

¿Endpoint Protection? Parece que la aplicación levanta consigo misma el antivirus de la máquina Citrix, con lo que una buena configuración de la consola, podría evitar mostrar el proceso. Así que dando un paseo por el Antivirus, nada más apropiado que pedir ayuda desde Help de Norton Endpoint.

¿Se imaginan que divertido sería pasar el antivirus desde varias conexiones mientras trabajan con los planos?

Automáticamente se abrirá una venta de Internet Explorer con el soporte de Symantec, pero no equivocarnos, porque el navegador no es el nuestro, ¡si no el utilizado en la máquina Citrix! 

Así que se pueden imaginar lo divertido que puede ser mirar el historial de navegación, contraseñas recordadas…

Rutas de sistema y listado de ficheros…

Ejecutar una consola con total acceso al sistema…

Abrir el panel de red y ver los equipos disponibles, lanzarles un Autopwn descargándonos desde el navegador metasploit…  ¡no nos pasemos!

Utilizar la máquina y todos los GBs que pone a nuestra disposición para instalar un servidor Apache y compartir Wikileaks... ¡He dicho que no sean malos!

Viendo detalladamente el fichero de conexión, nos topamos con el parámetro InitialProgram, el cual también nos puede ayudar en ejecutar aplicaciones al inicio del sistema Citrix, en el caso de que tampoco esté controlado. Para ello, nada mejor que utilizar CACA, la herramienta que Informática64 ha desarrollado y que ha dado mucho juego en elladodelmal para probar y capturar pantallazos con los resultados de cada uno de los intentos de ejecución de diferentes aplicaciones desde InitialProgram.

En algunos casos, conseguiremos ejecutar la consola del sistema, aunque en este otro en concreto, los administradores se tomaron la molestia de prohibir el command prompt.

Lo que no se imaginan sus administradores, es de qué forma voy a tipear los comandos en su consola, y es que desde InitialProgram podemos crearnos todo un fichero por lotes desde una línea concatenando comandos.

Así que saltando a Program Files con variables de entorno, podremos buscar alternativas como Firefox para hacer el jailbreak con la consiguiente navegación de directorios o que mínimo que utilizar el Citrix a modo proxy… aunque Estados Unidos no es un buen sitio desde el que realizar ataques ¿O si? ;)

¡Y no sean malos!

Saludos 4n4les! ;)