Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Mensajes - AXCESS

Páginas: [1] 2 3 ... 71
1
Hacking / Re: Email Spoofing
« en: Octubre 19, 2021, 11:37:17 pm »
"Es fácil de hacer porque los protocolos básicos no tienen ningún mecanismo de autenticación"

Este detalle ha cambiado un mundo…

Mire las fechas del post y de las respuestas.

2
Él no está compartiendo ni regalando, él está vendiendo.
Establece el contacto a través de una dirección de dominio de email.

Lo que llama la atención es que tiene muchos interesados y potenciales compradores. No declara el precio, ni la forma en que vende la base de datos. Al parecer es personalizada.

Pero no obstante tener una fuente de ingresos bien elevada, está comercializando un exploit destinado a un dominio “militar” del gobierno.

Esto es muy extraño que un hacker delictivo “queme” todos sus recursos, y tan sensibles de un golpe.
Tal vez sienta ese impulso de codicia que pierde a muchos; tal vez sea estafa. Sí es cierto que se ha puesto bajo la luz del gobierno argentino y de la interpol de manera muy abrupta.

 Hay otras formas de hacer con más discreción y paciencia.

3
You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Además, “según declara él”, está vendiendo un exploit:

You are not allowed to view links. Register or Login

Vendo un exploit para restablecer cualquier contraseña de correo electrónico para un dominio militar del gobierno argentino.
Podría usarse para ingeniería social hacia otras entidades gubernamentales.


Es reciente de hace 7 horas.


4
You are not allowed to view links. Register or Login

El gobierno central de China en Beijing ha anunciado una decisión para permitir que las entidades extranjeras inviertan en la propiedad de los servicios de VPN (red privada virtual) en el país.

Bajo esta nueva política, los inversores extranjeros solo pueden poseer hasta el 50% de las empresas de VPN con sede en China. Esto permite que China retenga el control estatal sobre los productos locales y aprobados y, al mismo tiempo, ofrece un incentivo significativo para la inversión.

Zanahoria y palo

Además de las VPN, la actualización de la política también incluye cambios en los límites de inversión en servicios de información para tiendas de aplicaciones, servicios de conexión a Internet y más.

Esto es una sorpresa para un país que ha estado luchando contra las VPN extranjeras durante años, obstaculizando su presencia en China e imponiendo multas y otras sanciones a los usuarios que ignoraron las órdenes de prohibición.

El caso en contra de las VPN era que permitían a los usuarios anular el llamado "Gran Cortafuegos" (“Great Firewall”) y acceder a sitios en el extranjero que de otro modo estarían fuera de su alcance debido a la censura del gobierno.

Aunque las relajaciones seguramente traerán inversiones extranjeras que resultarán en el cambio de la dinámica administrativa y posiblemente también cambios en las políticas, China no está abandonando un estricto control sobre el acceso a Internet.

Por el contrario, el estado sigue presionando a las empresas extranjeras para que cumplan con:

-   Los requisitos de censura de Internet,

-   Mantener servidores locales donde los datos del usuario se almacenan y se ponen a disposición de las autoridades locales para acceder,

-   Bloquear e informar a los usuarios que parecen estar usando herramientas para eludir la censura.

La última entidad que decidió dejar de trabajar en China debido a estos estrictos requisitos es LinkedIn, la plataforma de redes sociales orientada al empleo de Microsoft.

Lo que China desea lograr a través de esta enmienda de política es impulsar sus diversas industrias de servicios.

Las ocho directivas anunciadas por el Consejo de Estado afectan a los siguientes sectores:

     Institutos educativos
     Empresas de telecomunicaciones
     Actuaciones comerciales
     Gestión de la calidad en proyectos de construcción
     Relevamiento y diseño de proyectos de construcción
     Agencias de viajes (Taiwán está excluido de la lista de destinos)

Abriendo el espacio de búsqueda

Al mismo tiempo, el gobierno chino está considerando romper los "jardines amurallados" de sus gigantes tecnológicos, especialmente Alibaba y Tencent, al abrir el espacio de los motores de búsqueda en el Internet chino.

El Ministerio de Industria y TI está redactando reglas que obligarían a todas las empresas chinas de Internet a aceptar mostrar el contenido de sus rivales en sus resultados de búsqueda.

Por ejemplo, ByteDance y Tencent tendrían que mostrar contenido de TikTok y WeChat dentro de los resultados de búsqueda del otro, y los motores de búsqueda independientes como el de Baidu tendrían que incluirlos a todos y tratarlos por igual en sus resultados también.

Si el ministerio procede con estas regulaciones, sería un movimiento de apertura sin precedentes para Internet chino, y uno que haría que dominarlo fuera mucho más difícil de lo que fue en la última década.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

5
You are not allowed to view links. Register or Login

Un delincuente informático ha violado la red de TI del gobierno argentino y ha robado los datos de los documentos de identificación de toda la población del país, datos que ahora se venden en círculos privados.

El hackeo, que tuvo lugar el mes pasado, apuntó a RENAPER (Registro Nacional de Personas) de Argentina. Esta agencia, que depende del Ministerio del Interior argentino, tiene la tarea de emitir tarjetas de identificación nacionales a todos los ciudadanos, datos que también almacena en formato digital como una base de datos accesible a otras agencias gubernamentales. Actúa como columna vertebral para la mayoría de las consultas gubernamentales. para la información personal del ciudadano.

La primera evidencia de que alguien violó RENAPER apareció a principios de este mes en Twitter cuando una cuenta recién registrada llamada @AnibalLeaks (ya eliminada) publicó fotos de los DNI y datos personales de 44 celebridades argentinas.
Esto incluyó detalles del presidente del país, Alberto Fernández, varios periodistas y figuras políticas, e incluso datos de las superestrellas del fútbol Lionel Messi y Sergio Agüero.
 
Un día después de que las imágenes y los datos personales fueran publicados en Twitter, el delincuente también publicó un anuncio en un conocido foro de hacking, ofreciendo buscar los datos personales de cualquier usuario argentino. Tras las filtraciones de Twitter, el gobierno argentino confirmó una brecha de seguridad tres días después.

En un comunicado de prensa del 13 de octubre, el Ministerio del Interior dijo que su equipo de seguridad descubrió que una cuenta VPN asignada al Ministerio de Salud fue utilizada para consultar la base de datos de RENAPER por 19 fotos "en el momento exacto en que fueron publicadas en la red social".

Los funcionarios agregaron que "la base de datos [RENAPER] no sufrió ninguna filtración o filtración de datos y las autoridades ahora están investigando a ocho empleados del gobierno sobre su posible participación en la filtración".

Sin embargo, The Record se puso en contacto con la persona que vendía el acceso a la base de datos de RENAPER en foros de hacking. En una conversación, el delincuente informático dijo que tiene una copia de los datos de RENAPER, lo que contradice la declaración oficial del gobierno.

La persona acreditó su declaración aportando los datos personales, incluido el número de Trámite de alta sensibilidad, de un ciudadano argentino de nuestra elección.

"Quizás en unos días voy a publicar [los datos de] 1 millón o 2 millones de personas", dijo.

También dijeron que planean seguir vendiendo el acceso a estos datos a todos los compradores interesados.

Cuando The Record compartió un enlace al comunicado de prensa del gobierno en el que los funcionarios culparon de la intrusión a una cuenta VPN posiblemente comprometida, el delincuente simplemente respondió "empleados descuidados, sí", confirmando indirectamente el punto de entrada.

Según una muestra proporcionada por el pirata informático en línea, la información a la que tienen acceso en este momento incluye nombres completos, domicilios particulares, fechas de nacimiento, información de género, fechas de emisión y vencimiento del DNI, números de trámite y fotografía.

Argentina tiene actualmente una población estimada de más de 45 millones, aunque no está claro cuántas entradas hay en la base de datos, el delincuente afirmó tenerlo todo.

Fuente:
The Record
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

6
Noticias Informáticas / Windows 11 con vulnerabilidades y un zero day
« en: Octubre 19, 2021, 02:37:13 pm »
You are not allowed to view links. Register or Login

Apenas unos días después del lanzamiento de Windows 11, se han parcheado hasta 14 vulnerabilidades de seguridad en este nuevo sistema operativo de Microsoft.

Entre las más de 70 actualizaciones de seguridad publicadas por Microsoft en el mes de octubre se encuentran 14 parches para Windows 11, el último sistema operativo de la compañía. Entre las vulnerabilidades corregidas encontramos varias de alta gravedad, incluyéndose un zero-day.

A continuación se detallan los problemas de seguridad corregidos:

Tres vulnerabilidades que podrían permitir la elevación de privilegios en el sistema:

•   Un par de problemas relacionados con el parámetro IOCTL en el controlador de Windows Storport que causarían una escritura fuera de límites en el búfer (CVE-2021-26441 y CVE-2021-40489).

•   El uso de memoria previamente liberada en la función NtGdiResetDC del controlador Win32k (CVE-2021-40449).


Dos fallos de seguridad que permitirían la ejecución de código arbitrario:

•   Un problema en una función no especificada del componente Hyper-V (CVE-2021-38672).

•   Vulnerabilidad en el componente Windows MSHTML Platform (CVE-2021-41342).


Siete vulnerabilidades que podrían causar la revelación de información sensible:

•   Un fallo relacionado con el sistema de archivos exFAT (CVE-2021-38663).

•   Un problema de seguridad en el control del editor de texto enriquecido que permitiría recuperar contraseñas en texto plano desde la memoria (CVE-2021-40454).

•   Sendos fallos en funciones no especificadas de los componentes Windows Bind Filter Driver y Windows Cloud Files Mini Filter Driver que podrían permitir recuperar el contenido de la memoria del kernel (CVE-2021-40468 y CVE-2021-40475).

•   Fallo de seguridad relacionado con el administrador de colas de impresión de Windows al no inicializar adecuadamente la memoria (CVE-2021-41332).

•   Error no especificado en el Kernel que tendría repercusión sobre la confidencialidad del equipo afectado (CVE-2021-41336).

•   Un fallo relacionado con el controlador del sistema de archivos Fast FAT permitiría recuperar el contenido de la memoria del kernel (CVE-2021-41343).

Dos últimas vulnerabilidades que podrían permitir la omisión de características de seguridad:

•   Eludir la Protección Extendida para la Autenticación proporcionada por la validación de nombres de destino SPN del servidor (CVE-2021-40460).

•   Fallo no especificado relacionado con el componente AppContainer Firewall Rules (CVE-2021-41338).
Además una de ellas, la identificada como CVE-2021-40449, es una vulnerabilidad de día cero que se está explotando activamente.
Se trata de un fallo que puede conducir a la filtración de direcciones de módulos del kernel en la memoria del equipo que pueden ser utilizadas posteriormente para elevar los privilegios de otro proceso malicioso. Se tiene conocimiento de que incluso el malware MysterySnail, un troyano de acceso remoto (RAT), ha aprovechado esta vulnerabilidad que afecta a toda la familia de sistemas operativos de Microsoft desde Windows Vista hasta Windows 11, incluyendo a la rama Server.

Todas las actualizaciones de seguridad para las vulnerabilidades descritas se encuentran disponibles a través de los canales habituales que proporciona Microsoft, y se recomienda su aplicación para mantener el sistema seguro.

Fuente:
Hacking Land
You are not allowed to view links. Register or Login

7
You are not allowed to view links. Register or Login

El falso correo intenta engañar a usuarios desprevenidos haciéndoles creer que hay un envío del exterior esperando para ser entregado. El objetivo: robar datos sensibles y dinero.

Al menos desde agosto está circulando una campaña de phishing en Argentina en la cual se intenta suplantar la identidad de Correo Argentino para estafar a los usuarios. El asunto del correo suele ser “Información sobre su envío” y hace referencia a un supuesto paquete enviado desde el exterior que ya está en el centro de distribución logístico para su entrega. Por lo que hemos observado, existen dos modalidades distintas de lo que parecería ser la misma campaña, aunque el objetivo final es el mismo: robar datos sensibles de la víctima y también dinero.

En uno de los correos que observamos el mensaje indica al usuario que para poder entregar el supuesto paquete el destinatario deberá abonar aranceles de aduana para liberar el producto y que finalmente llegue a su domicilio o bien pueda retirarlo personalmente. Para ello, se solicita primero verificar algunos datos dentro de las próximas 72 horas para presionar a la víctima y que no tarde en hacerlo.

You are not allowed to view links. Register or Login

Como se observa en la Imagen 1, el correo, muy bien redactado, solicita a la potencial víctima que para poder realizar el pago de los aranceles aduaneros deberá responder el correo adjuntando una foto del frente y dorso del documento de identidad, y también una selfie sosteniendo el documento en una mano.

Vale la pena mencionar que varios servicios solicitan una imagen del documento como parte del proceso de verificación de una cuenta, como es el caso de MercadoLibre, por poner un ejemplo, por lo que para muchos usuarios esta solicitud no sería una novedad.

Por otra parte, el dominio del correo parece ser legítimo, ya que a simple vista es el mismo que el dominio oficial. Esto es así porque los atacantes están utilizando una técnica conocida como email spoofing, que como explica la investigadora de ESET Martina López, permite ocultar la verdadera dirección del remitente en un correo malicioso y sustituirla por una legítima suplantando la identidad de una empresa o un usuario al utilizar un dominio auténtico. Esto lo logran abusando de uno de los protocolos involucrados en el envío de correos para enviarlos desde una dirección sin necesidad de estar autenticado.

En el otro modelo de correo que vimos suplantando la identidad del Correo Argentino, el asunto es el mismo y la excusa utilizada también: la existencia de un envío proveniente del exterior en el centro de distribución y la necesidad de verificar información del destinatario para poder entregarlo. Sin embargo, a diferencia del ejemplo anterior, en este correo no se hace referencia al pago de un arancel, sino que se solicita directamente que responda el correo enviando en este caso la fotografía del frente y dorso del documento, y una selfie sosteniendo en una mano el DNI y en otra mano una nota que diga “Quiero comprar criptomonedas en Satoshi Tango”, supuestamente como clave de seguridad.

Vale la pena aclarar que Satoshi Tango es una plataforma para la compra y venta de criptomonedas popular en Argentina.

You are not allowed to view links. Register or Login

En agosto Correo Argentino publicó un comunicado alertando sobre esta campaña y aseguró que reportó esta actividad con la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).
 
Por su parte, desde UFECI también lanzaron hace unos días una advertencia sobre este fraude de suplantación de identidad del Correo Argentino y explicaron que los pagos solicitados de manera engañosa se concretaban mediante depósitos o transferencias a billeteras virtuales. Lamentablemente, muchas personas que efectivamente esperaban un envío a través de esa empresa transfirieron el dinero creyendo que se trataba de una comunicación oficial, explicaron.

Asimismo, como bien señalan desde el organismo, las imágenes con el DNI pueden ser utilizadas en contra de los propios usuarios para suplantar su identidad y validar la creación de cuentas bancarias que se utilizarán para cometer otros fraudes. Asimismo, señalan que si alguna persona transfirió dinero o envió las fotos del DNI se comuniquen a través de [email protected] con el asunto FALSO EMAIL DEL CORREO ARGENTINO explicando lo que ocurrió y proporcionando datos de contacto.

Si estás esperando un envío desde el exterior a través de Correo Argentino recomendamos visitar el Portal de Envíos Internacionales donde se explica los pasos a seguir o comunicarse telefónicamente con atención al cliente. Ante la más mínima duda, no responder el correo y tampoco enviar información o hacer clic en cualquier enlace proporcionado.

Fuente
:
WeLiveSecurity by ESET
You are not allowed to view links. Register or Login

8
You are not allowed to view links. Register or Login

Los investigadores de Jetpack han compartido detalles sobre múltiples vulnerabilidades que encontraron en el complemento WP Fastest Cache.

Es un complemento popular, que cuenta con más de 1 millón de instalaciones activas, potencia la velocidad de los sitios web con tiempos de carga de página más cortos. Como se detalla en la publicación de su blog, los investigadores detectaron dos errores de seguridad diferentes en el complemento.

Uno de ellos incluye una vulnerabilidad de inyección de SQL (CVE-2021-24869).
 
Habiendo alcanzado una puntuación CVSS de 7,7, esta vulnerabilidad permitiría a un adversario autenticado acceder a datos confidenciales de la base de datos del sitio de destino, incluidos nombres de usuario y contraseñas.
 
La otra vulnerabilidad, CVE-2021-24869, es un XSS almacenado crítico a través de la vulnerabilidad CSRF que recibió una puntuación CVSS de 9,6. Debido a la falta de validación durante las verificaciones de privilegios del usuario, el complemento permitió que un adversario realizara cualquier acción deseada en el sitio web de destino. Por lo tanto, un adversario podría incluso almacenar códigos JavaScript maliciosos en el sitio.
 
Al describir los detalles de este problema, los investigadores declararon:

El método CdnWPFC ::save_cdn_integration () es utilizado por la acción AJAX wp_ajax_wpfc_save_cdn_integration para configurar opciones específicas de CDN. Si bien realizó verificaciones de privilegios como current_user_can () para garantizar que quien envió esa solicitud pueda cambiar esa configuración, no validó lo que pretendían, que es lo que hacen las verificaciones de nonce.

Los proveedores corrigieron los errores

Al descubrir las vulnerabilidades, Jetpack informó a los desarrolladores sobre el asunto. Como se mencionó, los autores inicialmente dudaron en reconocer el CSRF. Sin embargo, más tarde reconocieron la falla después de que los investigadores les proporcionaron una prueba de concepto (PoC).

En consecuencia, parchearon los errores y lanzaron correcciones con la versión 0.9.5 de WP Fastest Cache.
Todos los usuarios de WordPress que tengan este complemento ejecutándose en sus sitios web deben actualizar la versión del complemento para permanecer protegidos.

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login

9
 You are not allowed to view links. Register or Login

Si aún no los conoces, presentamos la 4ª edición del evento Kavacon Cybersecurity Conference, que se lleva a cabo desde hoy, día 18 de octubre, con una duración continua hasta el próximo viernes 22 de octubre de 2021.

KavaCon es el seminario de ciberseguridad más importante del Paraguay, y es considerado como uno de los eventos más importantes de la región. Se caracteriza por su enfoque altamente técnico y académico, y por ofrecer una plataforma ideal para que expertos en la materia puedan compartir experiencias y fomentar la colaboración entre los diferentes actores de la ciberseguridad, tanto a nivel nacional como internacional.

Durante de los días del evento, expertos reconocidos a nivel local e internacional compartirán charlas de relacionadas a sus investigaciones, trabajos y, sobre todo, sus experiencias dando un valor agregado importantísimo a los participantes.

También se desarrollará un CTF (Capture the Flag) donde los competidores probarán sus habilidades en un ambiente controlado y conseguirán diferentes premios de acuerdo a su rendimiento en la competición.

Dentro del temario de la conferencia de este año se encuentran los siguientes contenidos:

• Evaluación de ciberseguridad de sistemas web y móviles.
• Exploits, vulnerabilidades y riesgos de ciberseguridad.
• Técnicas de explotación de vulnerabilidades.
• Marcos de referencia y buenas prácticas de ciberseguridad.
• Presentación de investigaciones en el marco de la ciberseguridad.
• Aspectos de ciberseguridad en entornos virtuales, DevOps, Cloud, microservicios, entre otros.
• Análisis de eventos e incidentes de ciberseguridad.
• Inteligencia de amenazas y gestión de crisis de ciberseguridad.
• Caza de amenazas avanzadas y colaboración de ciberseguridad.
• Inteligencia artificial y ciberseguridad.

Pueden conseguir entrada ya directamente desde la web de inscripción de KavaCon:

You are not allowed to view links. Register or Login

También puedes seguir todas sus novedades en directo desde su canal de Discord:

You are not allowed to view links. Register or Login

Fuente:
Hacking Land
You are not allowed to view links. Register or Login

10
You are not allowed to view links. Register or Login

Hackers (White Hat) ganaron 1,88 millones de dólares en el concurso de hacking de la Copa Tianfu en China, al encontrar vulnerabilidades en software populares. Incluso hackearon un iOS 15 completamente parcheado que se ejecuta en iPhone 13.

La Copa Tianfu es el concurso de hacking más importante celebrado en China. La edición de este año tuvo lugar los días 16 y 17 de octubre en la ciudad de Chengdu y los participantes tuvieron tres intentos de 5 minutos para demostrar sus hazañas.

You are not allowed to view links. Register or Login

El ganador es la empresa de seguridad Kunlun Lab, que ganó U$S 654.500 con el asombroso experto @mj0011 CEO de Cyber-Kunlun & Kunlun Lab y ex CTO de Qihoo360 y fundador del equipo 360Vulcan.

You are not allowed to view links. Register or Login

La edición de este año incluyó una lista de 16 posibles objetivos, los participantes demostraron con éxito exploits contra 13 de ellos:

•   Windows 10: 5 veces
•   Adobe PDF Reader - 4 veces
•   Ubuntu 20 - 4 veces
•   Parallels VM - 3 veces
•   iOS 15 - 3 veces
•   Apple Safari - 2 veces
•   Google Chrome - 2 veces
•   Enrutador ASUS AX56U - 2 veces
•   Docker CE - 1 vez
•   VMWare ESXi - 1 vez
•   Estación de trabajo VMWare - 1 vez
•   qemu VM - 1 vez
•   Microsoft Exchange: 1 vez

You are not allowed to view links. Register or Login

Uno de los exploits demostrados en el concurso atrajo inmediatamente la atención de los medios de comunicación: es un exploit de ejecución remota de código sin hacer clic contra un iOS 15 completamente parcheado que se ejecuta en el último iPhone 13.

El Chian Pangu ganó el bono individual más alto de la historia en esta competencia por este exploit, U$S 300.000.

Los participantes también demostraron una cadena de exploits de ejecución remota de código contra Google Chrome, esta es la primera vez que se demostró este tipo de exploit en la Copa Tianfu.

Fuente:
Security Affairs
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

11
You are not allowed to view links. Register or Login

Los investigadores han demostrado que es posible entrenar un algoritmo de aprendizaje profundo de propósito especial que puede adivinar los PIN de tarjetas de 4 dígitos el 41% del tiempo, incluso si la víctima está cubriendo el teclado con las manos.

El ataque requiere la configuración de una réplica del cajero automático objetivo porque entrenar el algoritmo para las dimensiones específicas y el espaciado de teclas de los diferentes PIN pads es de crucial importancia.

A continuación, el modelo de aprendizaje automático está capacitado para reconocer las pulsaciones de la almohadilla y asignar probabilidades específicas en un conjunto de conjeturas, utilizando un video de personas que escriben PIN en la almohadilla del cajero automático.

You are not allowed to view links. Register or Login

Para el experimento, los investigadores recopilaron 5.800 videos de 58 personas diferentes de diversos grupos demográficos, ingresando PIN de 4 y 5 dígitos.

La máquina que ejecutó el modelo de predicción fue un Xeon E5-2670 con 128 GB de RAM y tres Tesla K20m con 5 GB de RAM cada uno.

Al utilizar tres intentos, que suele ser el número máximo permitido de intentos antes de que se retenga la tarjeta, los investigadores reconstruyeron la secuencia correcta para los PIN de 5 dígitos el 30% del tiempo y alcanzaron el 41% para los PIN de 4 dígitos.

El modelo puede excluir teclas basándose en la cobertura de la mano que no escribe y deduce los dígitos presionados de los movimientos de la otra mano evaluando la distancia topológica entre dos teclas.

La ubicación de la cámara que captura los intentos, juega un papel clave, especialmente si se graba a personas zurdas o diestras. Se determinó que ocultar una cámara en la parte superior del cajero automático era el mejor enfoque para el atacante.

Si la cámara también es capaz de capturar audio, el modelo también podría usar la retroalimentación de sonido al presionar que es ligeramente diferente para cada dígito, lo que hace que las predicciones sean mucho más precisas.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

12
You are not allowed to view links. Register or Login

Microsoft ha pedido a los administradores de sistemas que parcheen PowerShell 7 contra dos vulnerabilidades que permitan a los atacantes eludir las implementaciones del Control de aplicaciones de Windows Defender (WDAC) y obtener acceso a credenciales de texto sin formato.

PowerShell es una solución multiplataforma que proporciona un shell de línea de comandos, un marco y un lenguaje de scripting centrado en la automatización para procesar cmdlets de PowerShell.

Redmond lanzó PowerShell 7.0.8 y PowerShell 7.1.5 para abordar estas fallas de seguridad en las ramas de PowerShell 7 y PowerShell 7.1 en septiembre y octubre.

Contraseñas filtradas y omisión de WDAC

WDAC está diseñado para proteger los dispositivos Windows contra software potencialmente malicioso al garantizar que solo se puedan ejecutar aplicaciones y controladores confiables, bloqueando así el lanzamiento de malware y software no deseado.

Cuando la capa de seguridad WDAC basada en software está habilitada en Windows, PowerShell pasa automáticamente al modo de lenguaje restringido, restringiendo el acceso solo a un conjunto limitado de la API de Windows.

Al explotar la vulnerabilidad de omisión de la función de seguridad de control de aplicaciones de Windows Defender rastreada como CVE-2020-0951, los actores de amenazas pueden eludir la lista de permisos de WDAC, que les permite ejecutar comandos de PowerShell que de otro modo se bloquearían cuando WDAC está habilitado.

"Para aprovechar la vulnerabilidad, un atacante necesita acceso de administrador en una máquina local donde se ejecuta PowerShell. El atacante podría conectarse a una sesión de PowerShell y enviar comandos para ejecutar código arbitrario", explica Microsoft.

La segunda falla, rastreada como CVE-2021-41355, es una vulnerabilidad de divulgación de información en .NET Core donde las credenciales podrían filtrarse en texto sin cifrar en dispositivos que ejecutan plataformas que no son Windows.

"Existe una vulnerabilidad de divulgación de información en .NET donde System.DirectoryServices.Protocols.LdapConnection puede enviar credenciales en texto plano en sistemas operativos que no son Windows", dijo Microsoft.

Cómo saber si está afectado

La vulnerabilidad CVE-2020-0951 afecta a las versiones de PowerShell 7 y PowerShell 7.1, mientras que CVE-2021-41355 solo afecta a los usuarios de PowerShell 7.1.

Para verificar la versión de PowerShell que está ejecutando y determinar si es vulnerable a los ataques que explotan estos dos errores, puede ejecutar el comando pwsh -v desde un símbolo del sistema.

Microsoft dice que actualmente no hay medidas de mitigación disponibles para bloquear la explotación de estas fallas de seguridad.

Se recomienda a los administradores que instalen las versiones actualizadas de PowerShell 7.0.8 y 7.1.5 lo antes posible para proteger los sistemas de posibles ataques.

"Se recomienda a los administradores del sistema que actualicen PowerShell 7 a una versión que no se vea afectada", agregó Microsoft.
En julio, Microsoft advirtió sobre otra vulnerabilidad de ejecución remota de código .NET Core de alta gravedad en PowerShell 7.

Microsoft anunció recientemente que facilitaría la actualización de PowerShell para los clientes de Windows 10 y Windows Server al lanzar actualizaciones futuras a través del servicio Microsoft Update.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

13
Dudas y pedidos generales / Re: He perdido mis llaves!!!!
« en: Octubre 17, 2021, 04:00:58 pm »
Sus opciones:

Por esa laptop no puede trabajar, a no ser que saque el visual (vídeo) por una toma VGA o HDMI si es que la laptop las tiene, pues hay minis que no, hacia un Tv o monitor externo.

No hay otro modo.

Abrir la laptop y extraer el disco duro. Ponerlo en un caddy o adaptador y conectarlo a otro pc o laptop con la cual se pueda trabajar (visual).

Puede ser una laptop que le extraigan el disco duro y le pongan el suyo. Una vez hecho, debe bootear desde una live, pues si bootea desde el disco duro le dará problemas por la diferencia de hardware de la nueva laptop anfitriona que, si es muy distante en tecnología (generación) de la suya, le pondrá a su Sistema Operativo en conflicto.

Realizaría el backup de la información hacia un pendrive usb u otro disco duro externo, si estuviere disponible.

14
Dudas y pedidos generales / Re: He perdido mis llaves!!!!
« en: Octubre 16, 2021, 10:12:39 pm »
Disculpe, pero no le entiendo bien:

El problema radica en que no puede acceder a Windows porque no tiene las contraseñas de usuario? Pero llega hasta la ventana de logueo.
O no le llega la ventana de logueo por mal configuración de Windows debido al problema que tuvo?

El objetivo si es extraer el contenido del disco duro, con ponerlo en otro pc ya debe tener acceso. Bootear desde otro sistema como un live puede acceder sin pasar por Windows.

Si el disco duro perdió la configuración, sí debe usar una live para restaurar la partición, recuperándola en el proceso.
Es esta última situación la que presenta?

15
You are not allowed to view links. Register or Login

MOSCÚ, 14 oct (Reuters) - El presidente ruso Vladimir Putin dijo que las criptomonedas eran demasiado inestables para ser utilizadas para liquidar contratos petroleros, pero que aún merecían un lugar como medio de pago.

El líder ruso hizo los comentarios en una entrevista con CNBC que se publicó en el sitio web del Kremlin el jueves. Se le preguntó si podía ver los contratos petroleros denominados en criptomonedas en lugar de dólares en el futuro.

Rusia ha estado tratando durante años de reducir su dependencia del dólar estadounidense, que se usa ampliamente para liquidar contratos petroleros, pero no ha logrado lograrlo a gran escala a pesar de que algunas empresas han cambiado a la comercialización de productos básicos en euros.

"Es demasiado pronto para hablar de eso por ahora porque la criptomoneda puede, por supuesto, ser una unidad de pago, pero es muy inestable. Transferir fondos de un lugar a otro, sí, pero creo que aún es prematuro comerciar, especialmente intercambiar energía y recursos ", dijo Putin.

Rusia introdujo la regulación de las criptomonedas este año y ha hecho que sea ilegal pagar bienes y servicios en criptomonedas en el país, aunque es legal invertir en ellas.

"Tiene un lugar para existir y se puede utilizar como medio de pago, por supuesto, pero el comercio de petróleo, digamos, u otras materias primas y fuentes de energía, todavía me parece que es un poco pronto para hablar de esto ", dijo Putin.

El banco central ha dicho que los rusos que invierten en criptomonedas tienen el potencial de convertirse en un problema importante. Señala la falta de transparencia en los mercados de cifrado, así como los enormes riesgos involucrados debido a la volatilidad allí.

Aunque Rusia podría tomar medidas para prohibir las compras de criptomonedas, los rusos aún podrían comprar las monedas a través de intermediarios extranjeros, dijo el banco.

Fuente:
Reuters
You are not allowed to view links. Register or Login

16
You are not allowed to view links. Register or Login

Apple ha solucionado silenciosamente una vulnerabilidad de día cero 'gamed' con el lanzamiento de iOS 15.0.2, el lunes, una falla de seguridad que podría permitir a los atacantes obtener acceso a información confidencial de los usuarios.

La compañía abordó el error sin reconocer ni acreditar al desarrollador de software Denis Tokarev (Illusion Of Chaos – Twitter) por el descubrimiento, a pesar de que informó sobre el error siete meses antes del lanzamiento de iOS 15.0.2.

No acreditar los informes de errores


En julio, Apple también reparó silenciosamente una falla de día cero 'analítica' con el lanzamiento de 14.7 sin acreditar a Tokarev en el aviso de seguridad, en lugar de prometer reconocer su informe en los avisos de seguridad para una próxima actualización.

Desde entonces, Apple publicó múltiples advertencias de seguridad (iOS 14.7.1, iOS 14.8, iOS 15.0 e iOS 15.0.1) que abordan las vulnerabilidades de iOS pero, cada vez, fallaron en acreditar su informante de errores.

"Debido a un problema de procesamiento, su crédito se incluirá en los avisos de seguridad en una próxima actualización. Nos disculpamos por las molestias", le dijo Apple cuando se le preguntó por qué la lista de errores de seguridad de iOS corregidos no incluía su día cero.

Hace dos días, después del lanzamiento de iOS 15.0.2, Tokarev volvió a enviar un correo electrónico sobre la falta de crédito por las fallas de juego y análisis en los avisos de seguridad. Apple respondió, pidiéndole que tratara el contenido de su intercambio de correo electrónico como confidencial.

Esta no sería la primera vez que el equipo de seguridad de Apple solicita confidencialidad: la primera vez sucedió en agosto, cuando le dijeron que el día cero “gamed” se solucionaría en una futura actualización de seguridad y se le instó a no divulgar el error públicamente.

"A fin de cuentas, tratan la vulnerabilidad de los juegos un poco mejor que la analítica, al menos no me ignoran y me mienten esta vez", dijo Tokarev.

You are not allowed to view links. Register or Login

Otros cazarrecompensas de errores e investigadores de seguridad también han informado que han tenido experiencias similares al informar vulnerabilidades al equipo de seguridad de productos de Apple a través del Programa de recompensas de seguridad de Apple.

Algunos dijeron que los errores informados a Apple se solucionaron en silencio, y la compañía no les dio crédito, tal como sucedió en este caso.

A otros no se les pagó la cantidad que figura en la página oficial de recompensas de Apple o no han recibido ningún pago, mientras que algunos se han mantenido en la oscuridad durante meses sin respuestas a sus correos electrónicos.

Quedan dos días cero para parchear (silenciosamente)


En total, Tokarev encontró cuatro días cero de iOS y los informó a Apple entre el 10 de marzo y el 4 de mayo. En septiembre, publicó un código de explotación (prueba de concepto) y detalles sobre todas las vulnerabilidades de iOS después de que la compañía no lo acreditara después de parchear  el día cero en julio.

Si los atacantes aprovecharan con éxito las cuatro vulnerabilidades en dispositivos iOS sin parchear (es decir, iPhones y iPads), podrían obtener acceso y recopilar correos electrónicos de ID de Apple, nombres completos, tokens de autenticación de ID de Apple, información de aplicaciones instaladas, información de WiFi y registros de análisis (incluidos información médica y de dispositivos).

La lista completa de días cero de iOS informados por Tokarev incluye:

    - Día 0 en juego (solucionado en iOS 15.0.2): error explotable a través de aplicaciones instaladas por el usuario desde App Store y dando acceso no autorizado a datos confidenciales normalmente protegidos por un mensaje de TCC o the platform sandbox de la plataforma ($ 100,000 en la página del Programa de recompensas de seguridad de Apple)

   -  Nehelper Enumerate Installed Apps 0-day (iOS 15.0): permite que cualquier aplicación instalada por el usuario determine si alguna aplicación está instalada en el dispositivo dado su ID de paquete.

   -  Nehelper Wifi Info 0-day (iOS 15.0): hace posible que cualquier aplicación que califique (por ejemplo, que posea autorización de acceso a la ubicación) obtenga acceso a la información de Wifi sin la autorización requerida.

   -  Analyticsd (corregido en iOS 14.7): permite que cualquier aplicación instalada por el usuario acceda a los registros de análisis.

"Vimos la publicación de su blog con respecto a este problema y sus otros informes. Nos disculpamos por la demora en responderle", dijo Apple a Tokarev 24 horas después de publicar los días cero y el código de explotación en su blog.

"Queremos informarle que todavía estamos investigando estos problemas y cómo podemos abordarlos para proteger a los clientes. Gracias nuevamente por tomarse el tiempo para informarnos sobre estos problemas. Agradecemos su ayuda".

Apple también ha corregido una segunda vulnerabilidad de día cero en iOS 15.0.2 y iPadOS 15.0.2, explotada activamente en la naturaleza para atacar iPhones y iPads.

Este error, registrado como CVE-2021-30883, es una falla crítica de corrupción de memoria en IOMobileFrameBuffer, que permite que aplicaciones maliciosas ejecuten comandos en dispositivos vulnerables con privilegios de kernel.

Apple no ha respondido a los correos electrónicos enviados desde el 24 de septiembre, solicitando una declaración oficial y más detalles.

Fuente
:
BleepingComputer
You are not allowed to view links. Register or Login

17
Noticias Informáticas / Nuevo ransomware Yanluowang
« en: Octubre 14, 2021, 11:29:55 pm »
You are not allowed to view links. Register or Login

Una nueva variedad de ransomware, que aún está en desarrollo, se está utilizando en ataques altamente dirigidos contra entidades empresariales, como descubrió el equipo de Symantec Threat Hunter de Broadcom.

El malware, denominado ransomware Yanluowang (en honor a una deidad china Yanluo Wang, uno de los diez reyes del infierno) se basa en la extensión que agrega a los archivos cifrados en los sistemas comprometidos.

Recientemente se detectó mientras se investigaba un incidente que involucraba a una organización de alto perfil después de detectar una actividad sospechosa que involucraba la herramienta legítima de consulta de Active Directory de línea de comandos AdFind.

Los operadores de ransomware suelen utilizar AdFind para tareas de reconocimiento, incluido el acceso a la información necesaria para el movimiento lateral a través de las redes de sus víctimas.

Se advirtió a las víctimas que no pidieran ayuda

A los pocos días de que los investigadores detectaran el uso sospechoso de AdFind, los atacantes también intentaron implementar sus cargas útiles de ransomware Yanluowang en los sistemas de la organización vulnerada.

Antes de ser implementado en dispositivos comprometidos, los operadores de ransomware lanzan una herramienta maliciosa diseñada para llevar a cabo las siguientes acciones:

   -  Crea un archivo .txt con la cantidad de máquinas remotas para verificar en la línea de comando

   -  Utiliza Instrumental de administración de Windows (WMI) para obtener una lista de los procesos que se ejecutan en las máquinas remotas enumeradas en el archivo .txt

   -  Registra todos los procesos y nombres de máquinas remotas en process.txt

Una vez implementado, Yanluowang detendrá las máquinas virtuales del hipervisor, finalizará todos los procesos recolectados por la herramienta precursora (incluidos SQL y Veeam), encriptará archivos y agregará la extensión .yanluowang.

En los sistemas encriptados, Yanluowang también deja caer una nota de rescate llamada README.txt que advierte a sus víctimas que no se comuniquen con las fuerzas del orden o pidan ayuda a las firmas de negociación de ransomware.

Amenazas de ataques DDoS


"Si se rompen las reglas de los atacantes, los operadores de ransomware dicen que llevarán a cabo ataques distribuidos de denegación de servicio (DDoS) contra la víctima, así como que harán 'llamadas a empleados y socios comerciales'", agregaron los investigadores de Broadcom.

"Los delincuentes también amenazan con repetir el ataque" en unas pocas semanas "y eliminar los datos de la víctima", una táctica común utilizada por la mayoría de las bandas de ransomware para presionar a sus víctimas para que paguen el rescate.

Los indicadores de compromiso, incluidos los hash de malware, se pueden encontrar al final del informe del equipo de Symantec Threat Hunter:

You are not allowed to view links. Register or Login

Aunque está en desarrollo, Yanluowang sigue siendo un malware peligroso dado que el ransomware es una de las mayores amenazas a las que se enfrentan las organizaciones en todo el mundo.

El Consejo de Seguridad Nacional de la Casa Blanca facilita esta semana una serie de reuniones entre altos funcionarios de más de 30 países en un evento virtual internacional contra el ransomware para unirse a los esfuerzos de Estados Unidos para acabar con los grupos de delitos informáticos de ransomware.

Después de los ataques de ransomware contra Colonial Pipeline y JBS este verano, la asesora adjunta de seguridad nacional Anne Neuberger también les dijo a las empresas estadounidenses que se tomaran en serio al ransomware.

Fuente:
Symantec Threat Hunter
You are not allowed to view links. Register or Login

Vía:
BleepingComputer
You are not allowed to view links. Register or Login

18
You are not allowed to view links. Register or Login

Un equipo de investigadores universitarios del Reino Unido (University of Edinburgh, UK 2Trinity College Dublin, Ireland) ha publicado un estudio que pone de manifiesto los problemas de privacidad que surgen al utilizar smartphones Android.

Los expertos se han centrado en los dispositivos Android de Samsung, Xiaomi, Realme y Huawei, así como en LineageOS y /e/OS, dos forks de Android que pretenden ofrecer un soporte a largo plazo y una experiencia sin Google.
 
Con la excepción de /e/OS, el resto de variantes de Android transmiten cantidades sustanciales de información al desarrollador del sistema operativo y también a terceros (Google, Microsoft, LinkedIn, Facebook, etc.) cuyas aplicaciones vienen preinstaladas, incluso cuando están mínimamente configuradas y el teléfono está en reposo.
 
Como indica la siguiente tabla resumen, los datos sensibles del usuario, como los identificadores persistentes, los detalles de uso de las aplicaciones y la información telemétrica, no sólo se comparten con los fabricantes del dispositivo, sino que también van a parar a varios terceros, como Microsoft, LinkedIn y Facebook.

You are not allowed to view links. Register or Login

Y para empeorar las cosas, Google aparece en el extremo receptor de todos los datos recogidos casi en toda la tabla. Es importante señalar que se trata de la recopilación de datos para la que no hay opción de exclusión, por lo que los usuarios de Android están indefensos ante este tipo de telemetría.
 
Esto es especialmente preocupante cuando los vendedores de teléfonos inteligentes incluyen aplicaciones de terceros que recopilan datos de forma silenciosa incluso si no son utilizadas por el propietario del dispositivo, y que no pueden ser desinstaladas.
 
En el caso de algunas de las aplicaciones integradas en el sistema, como miui.analytics (Xiaomi), Heytap (Realme) e Hicloud (Huawei), los investigadores descubrieron que los datos cifrados pueden descifrarse en ocasiones, lo que supone un riesgo para los ataques de tipo Man-in-the-Middle (MitM).

Como señala el estudio, incluso si el usuario restablece los identificadores publicitarios de su cuenta de Google en Android, el sistema de recogida de datos puede volver a vincular trivialmente el nuevo identificador al mismo dispositivo y añadirlo al historial de seguimiento original.
La mayoría de los usuarios de Android siguen atrapados en un flujo interminable de recopilación de datos, que es donde los reguladores y las organizaciones de protección de los consumidores tienen que intervenir y poner fin a esto.

Un portavoz de Google ha declarado lo siguiente sobre las conclusiones del estudio:

Aunque apreciamos el trabajo de los investigadores, no estamos de acuerdo en que este comportamiento sea inesperado: así es como funcionan los smartphones modernos.
Como se explica en nuestro artículo del Centro de ayuda de los servicios de Google Play, estos datos son esenciales para los servicios básicos del dispositivo, como las notificaciones push y las actualizaciones de software, en un ecosistema diverso de dispositivos y versiones de software.
Por ejemplo, los servicios de Google Play utilizan los datos de los dispositivos Android certificados para respaldar las funciones principales del dispositivo. La recopilación de información básica limitada, como el IMEI de un dispositivo, es necesaria para ofrecer actualizaciones críticas de forma fiable en todos los dispositivos y aplicaciones Android.


Fuente:
Hacking Land
You are not allowed to view links. Register or Login

19
Bugs y Exploits / Re: obteniendo contraseñas via inyección SQL
« en: Octubre 13, 2021, 07:42:30 pm »
Está muy bien hecho!! y explicado.
Buen trabajo!

Gracias por compartirlo.

Buenos Deseos.

20
You are not allowed to view links. Register or Login

Apple ha lanzado recientemente iOS 15.0.2 y iPadOS 15.0.2 para todos los iPhones y iPads compatibles, abordando una vulnerabilidad de día cero.
 
Como se detalla en su aviso, la vulnerabilidad, CVE-2021-30883, informada por un investigador anónimo, afecta a la mayoría de los dispositivos Apple más recientes.
 
El error generalmente afecta al kernel del sistema y podría permitir ataques de ejecución de código arbitrario. Al describir la vulnerabilidad, Apple declaró en el aviso:

Una aplicación puede ejecutar código arbitrario con privilegios del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.

Apple corrigió este "problema de corrupción de memoria" mejorando el manejo de la memoria y lanzó la solución con actualizaciones de emergencia. Las últimas versiones están disponibles para iPhone 6 y posteriores, todos los modelos de iPad Pro, iPad de quinta generación y posteriores, iPad Air 2 y posteriores, iPad mini 4 y posteriores, y iPod touch de séptima generación.

Por ahora, Apple no ha compartido detalles sobre la vulnerabilidad para minimizar posibles exploits en la naturaleza y dar a los usuarios más tiempo para actualizar sus dispositivos.

No obstante, el investigador de seguridad Saar Amar ha profundizado sobre el error en una publicación reciente de blog.
Amar también ha compartido el exploit de PoC deducido después de aplicar ingeniería inversa al parche.

Según el investigador, esta vulnerabilidad potencialmente desencadena el jailbreak y funciona incluso para los dispositivos que ejecutan el último iOS 15.
 
Específicamente, Amar probó el exploit contra iOS 14.7.1 a 15.0.1 y encontró que funciona para todas las versiones. Si bien sospecha que el error podría existir en las versiones anteriores, no las probó.

Dada esta gravedad, los usuarios de iPhone y iPad deben actualizar sus dispositivos lo antes posible para evitar posibles ataques.

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login

Páginas: [1] 2 3 ... 71