jueves, 23 de mayo de 2019

Obtener un listado de números de serie y modelos de tus equipos

He aquí un pequeño script de Powershell para obtener, a partir de un listado previo de equipos en formato .txt, otro listado igual pero agregando a la lista el número de serie y modelo del equipo.


Ni que decir tiene que las máquinas, ya sean servidores o equipos, deben estar encendidas y accesibles desde tu red. Aquí va el script:

$file= "C:\listado.txt"
$inf = get-content $file
Out-File -FilePath C:\listadocompleto.txt -Append -InputObject "servidor;serial;modelo"
Foreach($server in $inf)

 {
$serial = gwmi win32_bios -computername $server |Select-Object -ExpandProperty SerialNumber
$model = Get-CimInstance -ClassName Win32_ComputerSystem -computername $server | Select-Object -ExpandProperty model


Out-File -FilePath C:\listadocompleto.txt -Append -InputObject "$server;$serial;$model"
}

Como ves, realmente el script ejecuta sobre cada una de las lineas del documento "listado.txt" los comandos gwmi win32_bios -computername, que te va los valores de versión de BIOS, fabricante, nombre de versión, Numero de Serie, y versión (que no es exactamente el modelo).


luego, al comando gwmi win32_bios -computername se le hace un "|" para indicarle que el único dato que queremos extraer es el SerialNumber. En la imagen superior puede ver los dos ejemplos, el comando ejecutado al completo, o sin la selección de SerialNumber.

Con la siguiente linea sucede lo mismo: tenemos Get-CimInstance -ClassName Win32_ComputerSystem -computername, que nos da una serie de valores como el nombre del equipo, propietario, dominio, memoria fisica, modelo (que es lo que nos interesa), y fabricante.


Igual que con el anterior comando, la primera parte nos da bastantes datos, y con el "|" agregamos el "Select-Object -ExpandProperty model" para obtener únicamente el modelo del equipo.

Finalmente, la ultima parte del script mete en un nuevo documento los equipos del listado inicial, y agrega el resto de campos solicitados.

jueves, 16 de mayo de 2019

Vulnerabilidad crítica en Servicio RDP de Windows

Microsoft acaba de publicar una vulnerabilidad 0-Day de carácter crítico, junto con el parche de aplicación.

Esta vulnerabilidad permite a un atacante no autenticado en el sistema realizar una peticion especial de servicio RDP que permitiría la ejecución de código arbitrario en el equipo, y por tanto, podria desde instalar programas, a crear nuevas cuenta de usuario con permisos de administrador.


Además, esta vulnerabilidad es preautenticación (como decía anteriormente basta con realizar una petición especial de servicio), y no requiere interacción por parte de los usuarios.

El boletín de seguridad de Microsoft con los parches a aplicar para distintos sistemas operativos puede encontrarse aquí:

Windows 7, Windows Server 2008, and Windows Server 2008 R2

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708


Windows XP, Windows Server 2003
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708


El parche es tan grave que, igual que pasó con el ransomware Wannacry, han publicado parches incluso para Windows Server 2003 y Windows XP

La buena noticia es que solo afecta a los sistemas operativos indicados, Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 y 2008 R2, todos ellos obsoletos, con lo que aunque el riesgo para estos sistemas es alto, no deberían estar funcionando ni en tu casa ni en tu empresa.

No se ven afectados por esta vulnerabilidad Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, ni Windows Server 2012.

Los parches específicos para equipos Windows 7 son el kb4499175-x64.msu y el kb4499175-x86.msu, asi como el kb4500331 para Windows XP, pero si dispones de la posibilidad de implementar el de los links superiores, donde se agregan a una monthly update, mejor que mejor.


Microsoft no ha liberado las PoC (Pruebas de concepto) para esta vulnerabilidad, con el objetivo de dar algo más de margen a los fabricantes de antivirus y antimalware a poner a punto sus soluciones.


Puedes obtener más informacion en el blog de Microsoft, AQUI,

lunes, 6 de mayo de 2019

La VM no arranca con "This virtual machine appears to be in use"

Recientemente me he encontrado con el problema de VM´s funcionando en los equipos locales de algunos usuarios, que reportaban un fallo a la hora de encender la VM. Concretamente, el fallo era "This virtual machine appears to be in use"


Las opciones son, cancelar, para evitar daños, o tomar la propiedad del objeto, el archivo .vmx.
Si seleccionar "tomar la propiedad del objeto", inmediatamente saldrá otro mensaje indicando que la acción ha fallado, imposibilitando la ejecución de la VM. Incluso si revisas los permisos del archivo, verás que probablemente el objeto tenga los permisos adecuados. Entonces, ¿cómo se solventa esto?

La solución es fácil: Si tomases el archivo .vmdk y montases una nueva VM, el problema se solventaría, pero hay una solución más elegante. En los archivos de la VM con el fallo, debemos buscar los archivos .lck o .lock, y eliminarlos. Para eliminarlos, debemos tener cerrado VMware Workstation, o bien hacer retirado la VM de VMware Workstation, aunque luego tendremos que volver a agregarla. Lo que prefieras.
Puedes ser que .lck sea una carpeta, en cuyo caso, la eliminamos igualmente, con todos sus archivos.
Tras esto, ya podrás abrir VMware, o bien agregar de nuevo la VM e iniciarla.

Tras investigar la causa por la que este archivo se queda bloqueado, resultó que el usuario que suele tener este error, en vez de apagar la VM con el "shut down guest file system", solía apagarla con el botón de power off, en algunos casos, seguido del apagado del equipo que ejecuta VMware, sin esperar al cierre de procesos.

domingo, 5 de mayo de 2019

Solventar el problema del "Client integration plugin upgrade" de vSphere Web Client

Aunque VMware en su última version de vCenter Server elimina la necesidad del plugin Shockwave Flash a favor de html5, todavia hay muchas instalaciones que funcionan con sistemas ESXi 5.0, 5.5 e incluso 6.0.

Todas estas instalaciones venian experimentando problemas cada vez que el navegador web se actualizaba, y es que el client integration plugin se ponia "tontorrón", obligando muchas veces a reinstalarlo para funcionar nuevamente en condiciones. Esto es especialmente una faena en versiones de vCenter 5.5 y 6.0, ya que VMware, en su carrera por acabar con el vSphere Client instalable, iba agregando nuevas funciones sólo accesibles desde la consola web.


Ultimamente, con las últimas actualizaciones, se hacia imposible hacer funcionar correctamente este plugin, en la lucha de los navegadores principales (firefox, chrome, explorer) por acabar con Flash y sus múltiples vulnerabilidades. De hecho, te recomiendo que no pierdas tiempo con soluciones como trastear el about:config en los navegadores para forzar la activacion de Flash, porque aunque aparentemente lo vuelva a aceptar, nuestro querido plugin de VMware seguirá dando problemas.

Entonces, ¿cual es la solucion?¿Sigo utilizando el vSphere Client instalado en local, o actualizo el servidor? Pues si tienes dinero y recursos disponibles de hardware, actualiza a la nueva versión de vSphere. Recuerda que la nueva versión consume más RAM que la version antigua de vCenter y ESXi, asi que si vas apurado de recursos, ni siquiera actualizar sea una opción válida.

De forma que la unica opcion para por... volver a una versión antigua de navegador. Más o menos es la misma sugerencia que hace VMware en su knowledge base, como podeis comprobar en ESTE enlace.

En mi caso ,utilizo Chrome, por su consumo, para navegar, pero utilizo firefox para acceder a la consola de VMware. Puedes acceder a una versión válida de Firefox AQUI. Es la version 38.8, última versión funcional antes del comienzo de los problemas con el plugin. No es necesario desinstalar la versión que tengas instalada, sobreescribe los archivos y mantiene favoritos y opciones, incluso los plugins instalados (plugins, no complementos).


Ten en cuenta que es probable que tengas que darle al menos un reinicio a la maquina para que detecte bien el plugin, y eliminar la caché del navegador, que muchas veces, aunque muestra el plugin funcionando correctamente, se empeña en seguir mostrando el mensaje de error

jueves, 18 de abril de 2019

Solucion al ransomware Planetary

Desde el año pasado se vive un aumento notable de ataques de ransomware en prácticamente todo el mundo, produciéndose ya no por delincuentes en solitario, sino por el trabajo de bandas organizadas de ciberdelincuentes. Y como el ransomware con sus pagos en bitcoin para dificultar la trazabilidad del pago, no hay nada mejor para sus fines.

Pero estamos de enhorabuena para el caso del ransomware Planetary, ya que se ha publicado un decryptor para los archivos infectados. Reconoceremos este ransomware porque las extensiones modificadas de los archivos tienen nombres de planetas: neptune, pluto, mira (este es de un videojuego), o bien .planetary, que fue el nombre original de la extensión. En cada nueva iteración van modificando el nombre de la extensión.

Como pasa con todos los ransomware, si tu equipo ha sido infectado, en la carpeta de los archivos infectados encontraras un fichero readme, donde se indica como contactar con los delincuentes para efectuar el pago.


Lo primero que debemos hacer es descargar el desencriptador desde ESTE ENLACE. Cuando lo ejecutemos ,veremos que nos pide lo habitual en este tipo de programas: un archivo infectado, el mismo archivo sin infectar (algo que te copiases en un pendrive vale, por ejemplo, mientras fuera el mismo archivo), y el archivo readme, que contiene un código que los delincuentes utilizan para generar el código de desencriptado, igual que este programa.


Con estos datos, le llevará un poco de tiempo dar con el código de desencriptado. Una vez lo descubre, la pantalla del programa cambia a una de ruta de archivos infectados, para que indiques dónde debe actuar.

IMPORTANTE: este programa desencripta tus archivos, pero no elimina el ransomware. ¡Tenlo en cuenta! Lo segundo a tener en cuenta es que a veces se generan varios archivos readme, con lo que es posible que debas generar varias claves de desencriptado para distintas carpetas o unidades de disco.

domingo, 14 de abril de 2019

El libro de VMware por vExperts

Hace unos meses, un grupo de los más destacados divulgadores de VMware y reconocidos blogueros tanto de España como de America latina, coincidiendo en uno de los eventos del VMworld, empezaron a desarrollar la idea de crear un "libro definitivo" sobre VMware, un Vademecum sobre las distintas herramientas que ofrece esta empresa. Ademas, este libro se basaría en dos premisas. Por una parte, ayudar a la comunidad informática, y por otra, más importante, ofrecer los beneficios que este libro pueda generar, a dos ONG: la primera es CEAFA (confederación no gubernamental de ayuda a personas y familiares con Alzheimer) y la segunda elegida es  El Proyecto Banani (que su principal objetivo es ayudar a construir la casa de maternidad / hospital Banani en el País Dogon, en Mali).



 Sinceramente, cuando me enteré del proyecto, pensé que las intenciones eran buenas, pero el libro seria una mezcla de diferentes artículos introductorios a distintas tecnologías de VMware, en cierto modo potenciaba esta idea al saber que iba a ser creado por 14 blogueros distintos. Que sí, todos ellos publicando unos artículos excelentes en sus respectivas webs, pero suponiendo que lo que se publicaría serian sus artículos básicos sobre ,por ejemplo, como instalar un ESXi, y cosas asi.

Craso error, por mi parte. Después de dedicarle un par de horas iniciales a la lectura del libro, todavía quiero leer mas, necesito leer capítulos de partes de VMware que todavía no he tocado en mi vida profesional, y quiero repasar conocimientos de lo que toco prácticamente todos los dias en mi entorno de trabajo. Es mas, me atrevería a decir que este libro debería ser una biblia de VMware, el manual de referencia básico para esta tecnología.

Cada autor (mejor dicho, co-autor) del libro ha realizado un excelente trabajo con cada uno de sus capítulos, pudiéndose notar la diferencia de estilos de cada uno. Si bien un capítulo parece que hayan esquematizado la lección, como si te presentaran unos apuntes, eso si, perfectamente explicados y concisos, en otro nos podemos encontrar un estilo mas "paso a paso" del montaje de algo. No queda para nada mal, y si ya eras lector habitual de las webs de los autores, detectarás de quien es cada artículo fácilmente.

 Descarga vmware por vExperts

Si pulsas sobre la imagen superior accederás a la web del libro, donde podrás descargarlo, sin coste alguno, en formato .pdf y .epub. También te encontrarás una encuesta donde podrás valorar si te interesa la salida en papel de este libro.

Ten en cuenta que tras este libro hay un trabajo colosal de horas, y nadie gana nada con ello, puesto que es un trabajo solidario, de manera que os animo a realizar una donación benéfica en el link de Paypal que ponen en su web, que es ESTA URL. Veréis que es una enlace de donación de Amafestival, un festival organizado para financiar la primera fase de ayuda en Mali.

Venga, rascaos un poco el bolsillo, aunque sea por el importe de un café, puesto que tanto el libro como el uso que se le dará a ese dinero merecerá la pena.

martes, 2 de abril de 2019

Multiples vulnerabilidades en productos de VMware

El Instituto Nacional de Ciberseguridad (INCIBE) ha anunciado una serie de vulnerabilidades que afectan a una variada gama de productos de VMware, incluyendo los más actuales.

El anuncio de estas vulnerabilidades se ha producido el 29 de Marzo, y como se ve en la imagen, se ha marcado como de importancia crítica. Este es el anuncio del INCIBE, con los enlaces de los distintos parches de seguridad a aplicar:

Recursos afectados:

VMware vCloud Director for Service Providers (vCD), versión 9.5.x;
VMware vSphere ESXi (ESXi), versiones 6.0, 6.5 y 6.7 en cualquier plataforma;
VMware Workstation Pro / Player (Workstation), versiones 14.x y 15.x en cualquier plataforma;
VMware Fusion Pro / Fusion (Fusion), versiones 10.x y 11.x en OSX.

A continuación se encuentran las distintas soluciones publicadas:


VMware vCloud Director para proveedores de servicios (vCD), actualizar a la versión 9.5.0.3;
VMware vSphere ESXi (ESXi):
para la versión 6.0, aplicar el parche ESXi600-201903001
para la versión 6.5, aplicar el parche ESXi650-201903001
para la versión 6.7, aplicar el parche ESXi670-201903001
VMware Workstation Pro (Workstation):para las versiones 14.x, actualizar a 14.1.7
para las versiones 15.x, actualizar a 15.0.4
VMware Workstation Player (Workstation):para las versiones 14.x, actualizar a 14.1.7
para las versiones 15.x, actualizar a 15.0.4
VMware Fusion Pro / Fusion (Fusion):para las versiones 10.x, actualizar a la versión 10.1.6
para las versiones 11.x, actualizar a la versión 11.0.3


VMware vCloud Director para proveedores de servicio contiene una vulnerabilidad de secuestro de sesión remota en los portales Tenant y Provider. La explotación de esta vulnerabilidad podría permitir a un atacante malicioso acceder a dichos portales, haciéndose pasar por un usuario con la sesión iniciada en ese momento. Se ha reservado el identificador CVE-2019-5523 para esta vulnerabilidad.
Un atacante con acceso a una máquina virtual en VMware ESXi, Workstation o Fusion que disponga de un controlador USB 1.1 virtual, podría explotar una vulnerabilidad de lectura/escritura fuera de límites o una de Time-of-check Time-of-use (TOCTOU), que le permitiría ejecutar código en el host. Se han reservado los identificadores CVE-2019-5518 y CVE-2019-5519 para estas vulnerabilidades.
VMware Workstation y Fusion tienen una vulnerabilidad de escritura fuera de límites en el adaptador de red virtual e1000, que podría permitir a un atacante ejecutar código en el host. Se ha reservado el identificador CVE-2019-5524 para esta vulnerabilidad.

VMware Workstation y Fusion tienen una vulnerabilidad de escritura fuera de límites en los adaptadores de red virtuales e1000 y e1000e, que podría permitir a un atacante ejecutar código en el host, aunque es más probable que resulte en una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-5515 para esta vulnerabilidad.

VMware Fusion tiene una vulnerabilidad de falta de autenticación en las API a las que se puede acceder a través de un web socket. Un atacante podría explotar esta vulnerabilidad engañando al usuario del host para que ejecute un JavaScript con el fin de realizar funciones no autorizadas en el equipo invitado en el que está instalado VMware Tools. Se ha reservado el identificador CVE-2019-5514 para esta vulnerabilidad.

Enlace original del Incibe