Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - AXCESS

#1
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Telefónica, una multinacional española de telecomunicaciones, confirmó una filtración de datos de su sistema interno de tickets. La confirmación se produjo después de que los datos robados aparecieran en Breach Forums, un foro sobre cibercrimen y piratería informática.

Telefónica, la mayor empresa de telecomunicaciones de España, opera en doce países con más de 104.000 empleados.
El ciberataque a Telefónica

La compañía ha confirmado que su sistema de tickets fue vulnerado y que actualmente está investigando el alcance del incidente y ha tomado medidas para evitar más accesos no autorizados. La filtración en el foro de piratería incluía una base de datos Jira de Telefónica.

Cuatro personas que utilizan los alias DNA, Grep, Pryx y Rey se atribuyeron la responsabilidad de la vulneración. Según Pryx, uno de los atacantes, el "sistema de tickets interno" es un servidor interno de desarrollo y emisión de tickets de Jira utilizado por Telefónica para informar y resolver problemas internos.

Según las fuentes, se utilizaron credenciales de empleados comprometidas para vulnerar el sistema el día anterior. Telefónica respondió bloqueando su acceso y restableciendo las contraseñas de las cuentas afectadas. Los atacantes dicen que pudieron extraer aproximadamente 2,3 GB de documentos, tickets y varios datos utilizando las cuentas de empleados comprometidas. Si bien algunos de estos datos estaban etiquetados como clientes, los tickets se abrieron con direcciones de correo electrónico @telefonica.com, lo que indica que podrían haber sido abiertos en nombre de clientes.

Captura de pantalla de los datos filtrados
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Pryx afirma que no se puso en contacto con Telefónica ni intentó extorsionarla antes de filtrar los datos en línea. Tres personas detrás del ataque, Grep, Pryx y Rey, también forman parte de una operación de ransomware lanzada recientemente conocida como Hellcat Ransomware. Hellcat es responsable de una reciente violación de datos en Schneider Electric, donde se robaron 40 GB de datos del servidor JIRA de la empresa.

Este ciberataque a Telefónica supuestamente involucra a Fortinet, un componente crucial de la infraestructura de red de la empresa. Si bien el alcance de la violación de datos y la naturaleza de los datos comprometidos siguen sin revelarse, han surgido inquietudes con respecto al impacto potencial. A pesar de la afirmación, el sitio web oficial de Telefónica sigue funcionando, lo que plantea dudas sobre la autenticidad del supuesto ciberataque.

Sin embargo, esta no es la primera vez que Telefónica sufre una violación de datos. En julio de 2018, millones de clientes de Telefónica vieron expuestos sus datos después de una violación de seguridad. Sin embargo, mientras la industria de las telecomunicaciones enfrenta amenazas cibernéticas, las empresas deben mantener su colaboración para establecer medidas de ciberseguridad adecuadas contra la infraestructura crítica.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#2
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se han anunciado los ganadores oficiales del concurso de hacking Raspberry Pi y Hextree RP2350, que otorga 20.000 dólares.
En una entrada del blog del director de Raspberry Pi, Eben Upton, se describen los cuatro ganadores del premio.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Como Raspberry Pi quedó tan impresionada con la calidad de las propuestas, los cuatro ganadores recibirán el premio completo, en lugar de una parte.

Uno de los cuatro hackers competitivos que ganaron fue el ingeniero Aedan Cullen, con el detalle de la metodología de desenterrar el secreto OTP de su RP2350. Además, el pistolero a sueldo de Raspberry Pi, Hextree, logró eludir las medidas de seguridad OTP fuera del ámbito de la competición.

En un preámbulo a la designación de los ganadores del concurso de hacking RP2350, Upton nos recuerda el razonamiento detrás de la competición. El RP2350 se entregó en agosto pasado (a través del Raspberry Pi Pico 2) como sucesor del popular microcontrolador RP2040 (Raspberry Pi Pico). Tiene la ventaja de varias tecnologías, incluida la seguridad construida alrededor de Arm TrustZone para Cortex-M.

"Nuestro objetivo era descubrir las debilidades de forma temprana, para poder solucionarlas antes de que el RP2350 se implementara ampliamente en aplicaciones seguras", dijo Upton sobre el desafío del hackeo. De esta forma, el RP2350 debería obtener "seguridad a través de la transparencia", que Upton prefiere a la filosofía de "seguridad a través de la oscuridad" adoptada por algunos proveedores.

Raspberry Pi y Hextree anunciaron el desafío de piratería RP2350, anunciado en DEF CON en agosto, con un premio de $10,000. El premio se duplicó y Raspberry Pi contrató a Hextree como competidor fuera del campo, para garantizar que algunos resultados de piratería útiles estuvieran disponibles en enero de 2025. La competencia cerró el último día de diciembre de 2024.

Para recapitular, los competidores tenían la tarea de recuperar un valor secreto de la memoria programable una sola vez (OTP) en el RP2350. Además, se observa que las cuatro presentaciones válidas requerían acceso físico al chip.

Primer Ganador: Aedan Cullen


Cullen aisló físicamente el pin 53 del chip RP2350 cortando una pista de PCB, y luego utilizó un ataque de inyección de voltaje para activar los núcleos RISC-V "permanentemente desactivados" y su puerto de acceso de depuración, lo que le permitió leer el secreto.

El jefe de Raspberry Pi, Eben Upton, admite que aún no hay mitigación para esta vulnerabilidad, pero dice que "es probable que se resuelva en una futura versión de RP2350".

Segundo Ganador: Marius Muench


Muench emitió un comando de reinicio normal al cargador de arranque USB y luego empleó la inyección de errores mediante un error en el voltaje de suministro para omitir una instrucción. Con el tiempo correcto y al precargar el código malicioso en la RAM, el código podría ejecutarse y extraer el secreto OTP.

Este ataque ha sido designado E20 y ahora se puede mitigar configurando el indicador OTP BOOT_FLAGS0.DISABLE_WATCHDOG_SCRATCH.

Tercer Ganador: Kévin Courdesses

Inmediatamente después de que el firmware que se va a validar se haya cargado en la RAM, y justo antes de que se calcule la función hash necesaria para la comprobación de la firma, hay una debilidad explotable en la ruta de arranque segura.

Courdesses construyó un sistema de inyección de fallas láser personalizado para evitar la detección de fallas. Un breve pulso de luz láser en la parte posterior del chip, revelado al pulir parte de la superficie del paquete, introdujo una falla breve, lo que provocó que la lógica digital del chip se comportara mal y abriera la puerta a este ataque.

Al igual que con el ataque al RP2350 de Cullen, todavía no hay mitigación para esta vulnerabilidad (E24), pero dice que es probable que se resuelva en una futura versión del RP2350.

Método de haz de iones enfocado (FIB) de IOActive

Cuarto Ganador: IOActive

Los bits de datos almacenados en las memorias OPT del RP2350, basadas en antifusibles, se extrajeron utilizando una conocida técnica de análisis de fallos de semiconductores que aprovecha el contraste de voltaje pasivo (PVC) con un haz de iones enfocado (FIB).

El equipo de cinco miembros de IOActive considera que su vector de ataque único es lo suficientemente potente como para aplicarse a otros sistemas que utilizan memoria antifusible para la confidencialidad. Por lo tanto, las organizaciones que utilizan memoria antifusible de esta manera deberían "reevaluar inmediatamente su postura de seguridad", dice IOActive, y al menos utilizar técnicas de manipulación para dificultar a los atacantes la recuperación de datos.

El pistolero a sueldo también tiene éxito: Hextree

Las investigaciones de Hextree destacaron que la tasa de fallos no detectados del RP2350 era lo suficientemente alta como para que los fallos fueran un vector de ataque que valiera la pena. Con este descubrimiento inicial en mente, la empresa comenzó a centrar sus esfuerzos en la inyección de fallos electromagnéticos (EMFI).

De manera crucial, Hextree aprendió a usar fallas EMFI cronometradas con precisión para evitar que el OTP se bloquee correctamente. Por lo tanto, el secreto del OTP quedó abierto para leer.

Upton señala que existen varias mitigaciones contra este ataque (E21). Sin embargo, las mitigaciones actuales pueden evitar que los usuarios actualicen el firmware del dispositivo a través de USB.

Conclusión

El equipo de Raspberry Pi ha descubierto que el esquema de detección de fallas del RP2350 no es tan efectivo como esperaban. Si ha leído lo anterior, comprenderá que varios de los ataques de piratería pasaron por alto esta protección prevista.

Raspberry Pi está preparando otra competencia. Tiene una implementación de AES en el RP2350 que se dice que está reforzada contra ataques de canal lateral, y le gustaría desafiar a los piratas informáticos para que la derroten.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#3
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Ahora que la IA puede imitar a los humanos de forma fiable en determinadas situaciones, no sorprende oír que la están utilizando estafadores humanos de verdad. Según un artículo de The Express, una mujer francesa de 53 años que se identificó como "Anne" en el canal francés TF1 fue estafada por un monto de 830.000 euros (851.355 dólares) durante dos años utilizando imágenes de Brad Pitt generadas por IA. Anne fue convencida de entregar el dinero porque pensó que "Brad" lo necesitaba para el tratamiento del cáncer.

El estafador empleó tácticas que iban más allá de la simple fotografía y el vídeo de IA, incluida una extensa relación basada en texto con la víctima, que incluía el envío regular de poesía (probablemente también generada por IA) y, finalmente, una historia fingida de cáncer de riñón, completa con una foto generada por IA. La verdad es que ninguna de las fotos generadas parece algo que no se pueda hacer con Photoshop, pero al menos el trabajo típico de Photoshop requiere un poco más de esfuerzo que una rápida indicación de texto.

Anne pasó por alto una señal de alerta clave que es común en esquemas como este: la falta total de comunicación telefónica en tiempo real. Sin embargo, incluso si hubiera considerado eso, simular una llamada de voz no está fuera del rango de opciones disponibles para aquellos dispuestos a explotar la IA para ganar dinero rápido.

Otras formas en que los cibercriminales han mejorado su juego con la IA incluyen cometer fraude electrónico contra plataformas de música mediante la transmisión de música con bots y, por supuesto, generar spam, incluido contenido incendiario e ilegal para su uso con correos electrónicos de phishing, anuncios maliciosos, etc. Si bien la IA no ha cambiado mucho el panorama general del spam y el cibercrimen, la IA ha aumentado la velocidad y la eficiencia con la que ahora se pueden ejecutar los ataques.

Desafortunadamente para Anne, solo descubrió que era víctima de una elaborada estafa en línea cuando vio a su novio famoso perfectamente vivo y saludable con una nueva novia en la televisión, aproximadamente dos años después de que ella desembolsara el dinero. A pesar de acudir a las autoridades con su historia, Anne no pudo recuperar nada del dinero que perdió. Una buena parte de ello procedía de un acuerdo de divorcio con su ex marido millonario, cuyo conocimiento parece haber alentado a la estafadora a llegar a tales extremos.

Fuente
:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#4
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Algunos usuarios de Samsung podrán vender ahora sus smartphones usados a la empresa.

El programa "Galaxy Easy Compensation" de Samsung se lanzará el 14 de enero de 2025 y estará disponible primero para los usuarios de Corea del Sur. La empresa planea ampliar el servicio a otros países en una fecha posterior.

El programa permite a los usuarios vender sus viejos smartphones Samsung sin tener que comprar uno nuevo.

El programa está disponible para varios modelos de smartphones Samsung: Galaxy S23, Galaxy S22, Galaxy S21, Galaxy S20, Galaxy Z Fold 5, Galaxy Z Fold 4, Galaxy Z Fold 3, Galaxy Z Flip 5, Galaxy Z Flip 4, Galaxy Z Flip 3. La disponibilidad de los modelos puede depender del país.

La lista de smartphones aceptados revela que Samsung está aceptando dispositivos más nuevos lanzados en los últimos cinco años y que siguen recibiendo actualizaciones del sistema operativo.

Los smartphones usados serán valorados según su estado. La empresa clasificará los dispositivos como excelentes, buenos o aptos para reciclar. El precio de los smartphones usados aún no se conoce.

El nuevo programa podría ser otro paso hacia la simplificación del proceso para que los usuarios se deshagan de sus viejos dispositivos y las empresas que los utilicen, tal vez para reacondicionarlos y luego revenderlos, dándoles una segunda vida.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Por ejemplo, Google inició el año pasado un programa de Teléfonos reacondicionados certificados, a través del cual los usuarios pueden comprar dispositivos Pixel a precios más económicos.

La empresa también ha iniciado su programa Longevity GFR (Google Requirements Freeze), que permite a los dispositivos Android obtener una actualización de software de siete años.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#5
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Al explotar esta vulnerabilidad, los atacantes podrían eludir la característica de seguridad vital de Apple, conocida como SIP.

La Protección de integridad del sistema (SIP) de MacOS es crucial para proteger el sistema operativo contra malware y un puñado de otras amenazas. SIP impone restricciones en las operaciones a nivel del sistema, incluso para usuarios con privilegios de root.

Microsoft Threat Intelligence descubrió una vulnerabilidad, ahora identificada como CVE-2024-44243, que podría usarse para eludir el escudo de seguridad SIP. Si se explota, permitiría la carga de extensiones de kernel de terceros, lo que resultaría en graves implicaciones de seguridad para los usuarios.

Una omisión de SIP afecta a todo el sistema operativo macOS y podría dar como resultado lo siguiente:

Instalación de malware o rootkits.

Eludir el marco de transparencia, consentimiento y control (TCC) de MacOS. El marco TCC evita que las aplicaciones accedan a la información personal de los usuarios, como la ubicación, el historial de navegación, la cámara, el micrófono u otros, sin su consentimiento. Eludirlo podría dar como resultado violaciones de datos privados. Deshabilitar o alterar las herramientas de seguridad para evitar la detección.

Crear más oportunidades para ataques adicionales.

Los investigadores identificaron una vulnerabilidad en el demonio Storage Kit, un proceso crítico de macOS responsable de administrar las operaciones de estado del disco.

Esta falla podría permitir a los atacantes con acceso root eludir las protecciones SIP inyectando y activando paquetes de sistemas de archivos personalizados para realizar acciones no autorizadas.

El equipo también encontró que varias implementaciones de sistemas de archivos de terceros, incluidas las de Tuxera, Paragon, EaseUS e iBoysoft, eran vulnerables a la explotación.

Al incorporar código personalizado en estos sistemas de archivos y utilizar herramientas como Disk Utility o el comando "diskutil", los atacantes podrían eludir SIP y anular la lista de exclusión de extensiones del kernel de Apple.

Tras la divulgación responsable de Microsoft y el investigador de seguridad Mickey Jin, Apple lanzó un parche para la vulnerabilidad en diciembre de 2024. Los usuarios deben mantener sus sistemas actualizados para evitar riesgos.

Los investigadores de Microsoft han encontrado anteriormente una técnica de omisión que elimina la protección TCC para el directorio del navegador Safari. Tras una divulgación responsable, Apple lanzó una solución para la vulnerabilidad el 16 de septiembre.

En agosto, un informe mostró que seis aplicaciones de Microsoft en macOS (Outlook, Teams, PowerPoint, OneNote, Excel y Word) son vulnerables a exploits que podrían otorgar a los atacantes acceso a información confidencial, enviar correos electrónicos y grabar video y audio sin ninguna interacción del usuario.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#6
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todavía no está claro si TikTok será prohibida en Estados Unidos. Pero China, donde tiene su sede la empresa matriz de la aplicación, ByteDance, tiene una idea: vender TikTok a Elon Musk.

El destino de TikTok todavía se decidirá en la Corte Suprema de Estados Unidos, que está deliberando sobre la apelación de la empresa a la inminente prohibición. Sin embargo, los jueces señalaron firmemente la semana pasada que es probable que respeten la ley.

Esta última prohibiría la plataforma TikTok en Estados Unidos si su empresa matriz china no la vende antes del 19 de enero.

ByteDance probablemente hubiera preferido que el tribunal se centrara en la libertad de expresión, pero la mayoría de los jueces consideran que las preocupaciones de seguridad nacional de Estados Unidos son más importantes porque ByteDance, según el Congreso de Estados Unidos, tiene vínculos peligrosamente estrechos con el gobierno comunista de China.

El tiempo avanza rápido. Si TikTok fuera prohibida, no desaparecería inmediatamente para los usuarios, pero no habría actualizaciones disponibles y su rendimiento probablemente se deterioraría. Para evitar multas masivas, Google y Apple ya no alojarían ni distribuirían TikTok ni las actualizaciones de la aplicación.

Por eso, aunque la empresa china ha insistido constantemente en que no considerará la venta de TikTok que exige la ley, los funcionarios ahora están haciendo planes de contingencia urgentes, según fuentes de Bloomberg.

Uno de los escenarios supuestamente discutidos en los círculos del gobierno de China, que también demostraría que ByteDance no es exactamente independiente, alegaría un acuerdo para vender TikTok a Musk, un multimillonario con vínculos extremadamente estrechos con el presidente electo de Estados Unidos, Donald Trump.

Las personas involucradas en discusiones confidenciales dicen que X de Musk, anteriormente conocida como Twitter, tomaría el control de TikTok US y administraría estas plataformas juntas.

Según Bloomberg, hay zanahorias involucradas para hacer que el posible acuerdo sea más atractivo para Musk. Los 170 millones de usuarios de TikTok en Estados Unidos podrían ayudar a X a atraer más anunciantes, y la empresa de inteligencia artificial de Musk, xAI, podría beneficiarse de las grandes cantidades de datos generados por TikTok.

No está claro si Musk, ByteDance y TikTok han hablado sobre los términos del acuerdo, y TikTok ha declarado firmemente que los informes de una posible tasa son "pura ficción". Pero las estrellas están alineadas: Musk dijo en abril que no quería que TikTok se prohibiera en Estados Unidos, y Trump claramente prefiere que siga disponible en el país.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Trump ya había vilipendiado a TikTok como una amenaza a la seguridad nacional e incluso intentó prohibirla, pero ahora está defendiendo la plataforma e incluso pidió a la Corte Suprema en diciembre que suspendiera la prohibición.

Inmediatamente después de su investidura, Trump también podría intentar convencer al Congreso controlado por los republicanos de que derogue la ley original de 2024. Sin embargo, eso sería tremendamente difícil políticamente, por lo que su otra opción es simplemente ordenar al Departamento de Justicia que no aplique la ley.

Las operaciones de TikTok en Estados Unidos podrían estar valoradas en alrededor de 40.000 a 50.000 millones de dólares, según las estimaciones del año pasado. Pero si Musk tenía dinero para adquirir Twitter, seguramente también tiene el efectivo para pagar por TikTok. Además, es muy querido en China y tiene experiencia en el trato con el gobierno chino.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#7
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las personas que intenten desbloquear los servicios de inteligencia artificial de Microsoft se enfrentarán a acciones legales, según ha declarado la Unidad de Delitos Digitales (DCU) del gigante tecnológico, señalando a actores de amenazas extranjeros que abusan de los servicios de la empresa y los utilizan como armas.

La DCU de Microsoft quiere crear un precedente que permita emprender acciones legales contra actores maliciosos que desarrollen jailbreaks de inteligencia artificial que permitan la creación de contenido dañino. Los atacantes de inteligencia artificial han ideado varios métodos para eludir las medidas de seguridad integradas, lo que permite a los actores de amenazas utilizar la herramienta de una forma que sus creadores no pretendían que lo hicieran los usuarios.

La medida de la empresa indica que incluso las empresas tecnológicas más ricas son incapaces de poner un límite a la creatividad humana para convertir la nueva tecnología en un arma. Como dijo la propia Microsoft: "Los ciberdelincuentes siguen siendo persistentes e innovan sin descanso". Especialmente cuando el esfuerzo está coordinado en los niveles más altos.

Por ejemplo, Microsoft señala a un "grupo de actores de amenazas con base en el extranjero" que desarrolló un software "sofisticado" que permitía extraer credenciales de sitios web públicos, lo que conducía al acceso no autorizado a cuentas "con ciertos servicios de inteligencia artificial generativa".

Una vez dentro, los actores maliciosos modificaban las capacidades de la inteligencia artificial y procedían a vender el acceso a dichas cuentas. Con esas herramientas a mano, dijo Microsoft, los cibercriminales podían idear contenido dañino e ilícito. Si bien el fabricante de Windows finalmente revocó el acceso de los piratas informáticos al servicio modificado, la acción legal permitió a la empresa confiscar un sitio web que los delincuentes usaban para discutir y organizar el crimen.

"La orden judicial nos ha permitido confiscar un sitio web fundamental para la operación criminal que nos permitirá reunir evidencia crucial sobre las personas detrás de estas operaciones, descifrar cómo se monetizan estos servicios y desmantelar la infraestructura técnica adicional que encontremos", dijo Microsoft.

Si bien la compañía no identificó qué tipo de acciones maliciosas se iniciaron utilizando sus herramientas, a principios de este año, OpenAI, respaldada por Microsoft, dijo que había desmantelado cinco operaciones de influencia encubiertas que buscaban utilizar sus modelos de IA para "actividades engañosas" en Internet.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#8
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hoy es el martes de parches de enero de 2025 de Microsoft, que incluye actualizaciones de seguridad para 159 fallas, incluidas ocho vulnerabilidades de día cero, tres de las cuales se explotan activamente en ataques.

Este martes de parches también corrige doce vulnerabilidades "críticas", incluidas las fallas de divulgación de información, elevación de privilegios y ejecución remota de código.

A continuación, se muestra la cantidad de errores en cada categoría de vulnerabilidad:

40 vulnerabilidades de elevación de privilegios

14 vulnerabilidades de omisión de funciones de seguridad

58 vulnerabilidades de ejecución remota de código

24 vulnerabilidades de divulgación de información

20 vulnerabilidades de denegación de servicio

5 vulnerabilidades de suplantación de identidad

Se revelan tres vulnerabilidades de día cero explotadas activamente

El parche del martes de este mes corrige tres vulnerabilidades de día cero explotadas activamente y cinco expuestas públicamente.

Microsoft clasifica una falla de día cero como una que se divulga públicamente o se explota activamente sin que haya una solución oficial disponible.

Las vulnerabilidades de día cero explotadas activamente en las actualizaciones de hoy son:

CVE-2025-21333, CVE-2025-21334, CVE-2025-21335: vulnerabilidad de elevación de privilegios de Windows Hyper-V NT Kernel Integration VSP

Microsoft ha corregido tres vulnerabilidades de elevación de privilegios en Windows Hyper-V que se explotaron en ataques para obtener privilegios de SYSTEM en dispositivos Windows.

No se ha publicado información sobre cómo se explotaron estas fallas en los ataques, y todas muestran que se divulgaron de forma anónima.

Como los CVE de estas tres vulnerabilidades son secuenciales y corresponden a la misma función, es probable que todas se hayan encontrado o descubierto mediante los mismos ataques.

Las vulnerabilidades de día cero divulgadas públicamente son:

CVE-2025-21275: vulnerabilidad de elevación de privilegios en el instalador de paquetes de aplicaciones de Windows

Microsoft corrigió una falla de elevación de privilegios en el instalador de paquetes de aplicaciones de Windows que podría generar privilegios de SISTEMA.

"Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios de SYSTEM", explica el aviso de Microsoft.

La vulnerabilidad se envió de forma anónima a Microsoft.

CVE-2025-21308 - Vulnerabilidad de suplantación de temas de Windows

Microsoft solucionó una vulnerabilidad de temas de Windows que podía explotarse simplemente mostrando un archivo de tema especialmente diseñado en el Explorador de Windows.

"Un atacante tendría que convencer al usuario de que cargara un archivo malicioso en un sistema vulnerable, normalmente mediante un mensaje de correo electrónico o de mensajería instantánea, y luego convencer al usuario de que manipulara el archivo especialmente diseñado, pero no necesariamente de que hiciera clic o abriera el archivo malicioso", explica el aviso de Microsoft.

La falla fue descubierta por Blaz Satler con 0patch de ACROS Security, que es una omisión de una falla anterior identificada como CVE-2024-38030. 0patch lanzó microparches para esta falla en octubre, mientras esperaba que Microsoft la corrigiera.

Cuando se visualiza un archivo de tema en el Explorador de Windows y se utilizan las opciones BrandImage y Wallpaper que especifican una ruta de archivo de red, Windows envía automáticamente solicitudes de autenticación al host remoto, incluidas las credenciales NTLM del usuario conectado.

Estos hashes NTLM se pueden descifrar para obtener la contraseña de texto sin formato o se pueden utilizar en ataques de paso de hash.

Microsoft afirma que la falla se mitiga si se deshabilita NTLM o se habilita la política "Restringir NTLM: tráfico NTLM saliente a servidores remotos".

CVE-2025-21186, CVE-2025-21366, CVE-2025-21395: vulnerabilidad de ejecución remota de código en Microsoft Access

Microsoft corrigió tres vulnerabilidades de ejecución remota de código en Microsoft Access que se explotan al abrir documentos de Microsoft Access especialmente diseñados.

Microsoft ha mitigado este problema bloqueando el acceso a los siguientes documentos de Microsoft Access si se enviaron por correo electrónico:

accdb
accde
accdw
accdt
accda
accdr
accdu

Lo interesante de esto es que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, una plataforma de descubrimiento de vulnerabilidades asistida por IA, ha descubierto las tres fallas.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en enero de 2025 incluyen:

Adobe publicó actualizaciones de seguridad para Photoshop, Substance3D Stager y Designer, Adobe Illustrator para iPad y Adobe Animate.

Cisco publicó actualizaciones de seguridad para varios productos, incluidos Cisco ThousandEyes Endpoint Agent y Cisco Crosswork Network Controller.

Ivanti publicó actualizaciones de seguridad para una falla de día cero de Connect Secure explotada en ataques para implementar malware personalizado en dispositivos.

Fortinet publicó una actualización de seguridad para una vulnerabilidad de día cero de omisión de autenticación en FortiOS y FortiProxy que se explotó en ataques desde noviembre.

GitHub publicó actualizaciones de seguridad para dos vulnerabilidades de Git.

Moxa publicó actualizaciones de seguridad para vulnerabilidades de alta gravedad y críticas en sus dispositivos de redes industriales y de comunicaciones.

ProjectDiscovery publicó actualizaciones de seguridad en septiembre para una falla de Nuclei que permite que las plantillas maliciosas eludan la verificación de firmas. SAP publica actualizaciones de seguridad para varios productos, incluidas correcciones para dos vulnerabilidades críticas (9.9/10) en SAP NetWeaver.

SonicWall publica parches para una vulnerabilidad de omisión de autenticación en la administración de SSL VPN y SSH que es "susceptible de explotación real".

Zyxel ha publicado actualizaciones de seguridad para corregir una vulnerabilidad de administración de privilegios incorrecta en la interfaz de administración web.

Actualizaciones de seguridad del martes de parches de enero de 2025

A continuación, se incluye la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de enero de 2025.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puede ver el informe completo aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#9
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad en la función "Iniciar sesión con Google" de OAuth de Google podría permitir a los atacantes que registran dominios de empresas emergentes desaparecidas acceder a datos confidenciales de cuentas de antiguos empleados vinculadas a varias plataformas de software como servicio (SaaS).

La brecha de seguridad fue descubierta por investigadores de Trufflesecurity y reportada a Google el año pasado, el 30 de septiembre.

Google inicialmente descartó el hallazgo como un problema de "fraude y abuso" y no un problema de OAuth o de inicio de sesión. Sin embargo, después de que Dylan Ayrey, CEO y cofundador de Trufflesecurity, presentara el problema en Shmoocon el pasado mes de diciembre, el gigante tecnológico otorgó una recompensa de $1337 a los investigadores y reabrió el ticket.

Sin embargo, en el momento de la publicación, el problema sigue sin solucionarse y es explotable. En una declaración para BleepingComputer, un portavoz de Google dijo que la empresa recomienda a los clientes que sigan las mejores prácticas y "cierren los dominios correctamente".

"Agradecemos la ayuda de Dylan Ayrey para identificar los riesgos que surgen cuando los clientes olvidan eliminar los servicios SaaS de terceros como parte de la cancelación de su operación", dijo un representante de Google.

"Como práctica recomendada, recomendamos a los clientes que cierren los dominios correctamente siguiendo estas instrucciones para que este tipo de problema sea imposible. Además, alentamos a las aplicaciones de terceros a seguir las mejores prácticas mediante el uso de identificadores de cuenta únicos (sub) para mitigar este riesgo", dijo un portavoz de Google.

El problema subyacente

En un informe publicado, Ayrey describe el problema como "el inicio de sesión OAuth de Google no protege contra alguien que compra el dominio de una startup fallida y lo usa para recrear cuentas de correo electrónico para antiguos empleados".

La creación de correos electrónicos clonados no otorga a los nuevos propietarios acceso a comunicaciones anteriores en plataformas de comunicación, pero las cuentas se pueden usar para volver a iniciar sesión en servicios como Slack, Notion, Zoom, ChatGPT y varias plataformas de recursos humanos (RR. HH.).

Cómo acceder a los miembros del espacio de trabajo registrado en Zoom
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El investigador demostró que al comprar un dominio obsoleto y acceder a plataformas SaaS, es posible extraer datos confidenciales de los sistemas de RR.HH. (documentos fiscales, información de seguros y números de seguridad social) e iniciar sesión en varios servicios (por ejemplo, ChatGPT, Slack, Notion, Zoom).

Al buscar en la base de datos de Crunchbase startups ahora desaparecidas con un dominio abandonado, Ayrey descubrió que había 116.481 dominios disponibles.

En el sistema OAuth de Google, una subdemanda tiene como objetivo proporcionar un identificador único e inmutable para cada usuario en todos los inicios de sesión, con la intención de actuar como una referencia definitiva para identificar a los usuarios a pesar de los posibles cambios de propiedad del dominio o del correo electrónico.

Sin embargo, como explica el investigador, hay una tasa de inconsistencia de aproximadamente el 0,04 % en la subdemanda, lo que obliga a los servicios posteriores como Slack y Notion a ignorarla por completo y confiar únicamente en las reclamaciones de correo electrónico y dominio alojado.

La reclamación por correo electrónico está vinculada a la dirección de correo electrónico del usuario y la reclamación por dominio alojado está vinculada a la propiedad del dominio, por lo que ambos pueden ser heredados por nuevos propietarios que luego pueden hacerse pasar por antiguos empleados en plataformas SaaS.

Una solución que proponen los investigadores es que Google introduzca identificadores inmutables, es decir, un ID de usuario único y permanente y un ID de espacio de trabajo único vinculado a la organización original.

Los proveedores de SaaS también pueden implementar medidas adicionales como referencias cruzadas de las fechas de registro de dominio, hacer cumplir las aprobaciones de nivel de administrador para el acceso a la cuenta o usar factores secundarios para la verificación de identidad.

Sin embargo, esas medidas introducen costos, complicaciones técnicas y fricción en el inicio de sesión. Además, protegerían a los antiguos clientes que actualmente no pagan, por lo que el incentivo para implementarlas es bajo.

Un riesgo en constante crecimiento

El problema afecta a millones de personas y miles de empresas, y no hace más que crecer con el tiempo.

El informe de Trufflesecurity señala que puede haber millones de cuentas de empleados en empresas emergentes que fracasaron y que tienen dominios disponibles para su compra.

Actualmente, hay seis millones de estadounidenses que trabajan para empresas emergentes de tecnología, de las cuales el 90 % está destinado estadísticamente a desaparecer en los próximos años.

Aproximadamente el 50 % de esas empresas utilizan Google Workspaces para el correo electrónico, por lo que sus empleados inician sesión en las herramientas de productividad con sus cuentas de Gmail.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#10
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los cibercriminales están aprovechando un truco para desactivar la protección antiphishing integrada de Apple iMessage para un mensaje de texto y engañar a los usuarios para que vuelvan a habilitar los enlaces de phishing desactivados.

Como gran parte de nuestras actividades diarias se realizan desde nuestros dispositivos móviles, ya sea pagar facturas, comprar o comunicarse con amigos y colegas, los actores de amenazas realizan cada vez más ataques de smishing (phishing por SMS) contra números móviles.

Para proteger a los usuarios de este tipo de ataques, Apple iMessage desactiva automáticamente los enlaces en los mensajes recibidos de remitentes desconocidos, ya sea una dirección de correo electrónico o un número de teléfono.

Sin embargo, Apple declaró que, si un usuario responde a ese mensaje o agrega al remitente a su lista de contactos, los enlaces se habilitarán.

Engañar a los usuarios para que respondan

Durante los últimos meses se ha visto un aumento de ataques de smishing que intentan engañar a los usuarios para que respondan a un mensaje de texto para que los enlaces se habiliten nuevamente.

Si bien ninguno de estos señuelos de phishing es nuevo, notamos que estos mensajes de smishing, y otros vistos recientemente, piden a los usuarios que respondan con "Y" para habilitar el enlace.

"Responda Y, luego salga del mensaje de texto, vuelva a abrir el enlace de activación del mensaje de texto o copie el enlace en el navegador Safari para abrirlo", se lee en los mensajes de smishing.

Investigaciones posteriores muestran que esta táctica se ha utilizado durante el año pasado, con un aumento desde el verano.

Como los usuarios se han acostumbrado a escribir STOP, Yes o NO para confirmar citas o cancelar la suscripción a mensajes de texto, los actores de amenazas esperan que este acto familiar lleve al destinatario del texto a responder al texto y habilitar los enlaces.

Al hacerlo, se habilitarán nuevamente los enlaces y se desactivará la protección antiphishing incorporada de iMessage para este texto.

Incluso si un usuario no hace clic en el enlace ahora habilitado, el acto de responder le dice al actor de amenazas que ahora tiene un objetivo que responde a los mensajes de phishing, lo que lo convierte en un objetivo más grande.

Si recibe un mensaje cuyos enlaces están deshabilitados o de un remitente desconocido que le pide que responda al mensaje de texto, se le recomienda encarecidamente que no lo haga.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En su lugar, comuníquese directamente con la empresa u organización para verificar el texto y preguntar si hay algo más que deba hacer.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#11
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas han violado la seguridad de la policía aeroportuaria (PSA) de Argentina y han comprometido los datos personales y financieros de sus oficiales y personal civil.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Según el sitio web "pagina12", los actores de amenazas explotaron una vulnerabilidad en el sistema de nóminas del Banco Nación para acceder a los registros de la policía de seguridad aeroportuaria de Argentina.

La nómina de efectivos, policiales y civiles, de la Policía de Seguridad Aeroportuaria (PSA) fue hackeada y en los recibos de sueldo aparecieron mutuales falsas por las que se descontaron, en algunos casos 5.000 pesos, en otros 3.000 y en otros 2.000. Los cargos figuraban como DD mayor, DD seguros. El ataque contra la fuerza que está bajo la órbita de la ministra de Seguridad Patricia Bullrich es mantenido en absoluta reserva y voceros oficiosos de la PSA afirman que el ingreso a la base de datos no fue en la fuerza de seguridad sino en el Banco Nación, a través del cual se pagan los sueldos. El origen de la incursión son servidores que, supuestamente, funcionan en países remotos, aunque nadie puede descartar que las operaciones se hayan hecho en la Argentina, utilizando esos servidores lejanos. Tampoco que haya existido complicidad interna.

La violación de la seguridad de la PSA es otro episodio más dentro de una serie de incursiones de hackers a organismos oficiales y privados, pero es más grave porque significa que los hackers obtuvieron toda la información de una fuerza de seguridad. Están quienes le echan la culpa a la falta de inversión del Estado: así como no arreglan rutas, no se invierte dinero en los sistemas antivirus, que son decisivos. Otros sostienen que hay gravísimas fallas en contrainteligencia por vaciamiento de esa área, tanto en las fuerzas de seguridad como en la misma SIDE. "Todo es caótico, como en otras áreas del gobierno", dicen quienes conocen de cerca lo que ocurre con los hackeos.

Apagón, hackeo y mutuales fantasmas

Seis fuentes distintas le describieron lo ocurrido a Página/12 y señalaron que hubo un primer apagón del sistema informático que se extendió durante más de una hora. Cuando los técnicos recuperaron el control, no detectaron ninguna irregularidad. El episodio se guardó en total secreto, algo que se repite en todos los ámbitos: nadie admite un hackeo, porque es admitir una gravísima falta, un agujero enorme en la seguridad. Es posible que las autoridades de la PSA o del Ministerio de Seguridad hagan una desmentida, pero todos saben en la fuerza que los hechos ocurrieron.

Sucedió algo parecido con dos conocidos laboratorios de estudios médicos -donde se hacen la revisión la mayoría de los jugadores de fútbol- cuyos sistemas informáticos estuvieron bloqueados y habían perdido los registros de las historias clínicas. Fue público y notorio que se vieron impedidos de dar turnos. Hay bancos que han tenido que negociar con los hackers y es un secreto a voces que pagaron lo que equivale a un rescate. También el Estado intentó amortiguar el ingreso de hackers a los datos de Mi Argentina en el que llegaron a cambiar hasta la gráfica. Se dice que la seguridad fue violada en el sistema de la Policía de la Ciudad y que intentaron hacerlo en la Policía Federal. No lo lograron, pero sí habrían ingresado al sistema del Hospital Churruca, que es de la órbita de la Federal.

El impacto en la PSA no se produjo el mismo día del apagón sino cuando efectivos policiales y civiles de esa fuerza se encontraron con raros descuentos en sus recibos de sueldos. Figuraban como DD major y DD seguros. Nunca cifras altas. Siempre 5.000, 3.000 o 2.000 pesos. Una especie de robo hormiga. Y el descuento se realizaba como si el titular hubiera sacado un crédito o hubiera contraído alguna obligación con una serie de mutuales que, en verdad, no existen. Es más, cada efectivo tuvo que gestionar la reversión, o sea que le devuelvan la plata, pero había que hacerlo en la web del Banco Nación. También hubo que generar un stop debit. Esto es lo que fundamenta la acusación de la PSA al Banco Nación en el sentido de que fue la entidad bancaria la que tuvo la falla en la ciberseguridad. Pero el punto es que la PSA es la que tiene la responsabilidad sobre los recibos, de manera que tuvo que intervenir y esos descuentos no volvieron a aparecer.

Algunas de las versiones recogidas por este diario indican que hubo efectivos a los que les descontaron en tres oportunidades: sucede que los hackers, cuando vulneran la seguridad, no sólo acceden a los datos -y a alterarlos-, sino que también dejan instalado un programa que les permite volver a acceder.

Hasta pruebas de vida

La ofensiva de los hackers aparece ya como máxima preocupación también en los principales diarios norteamericanos. Son grupos de jóvenes que actúan usando servidores ubicados en Corea del Norte, China, Rusia, pero también aparecen infinidad de países pequeños que en verdad sólo sirven de puentes. Las bandas de hackers que realmente operan redireccionan para engañar. "pueden estar en la esquina de tu casa, pero simulan estar en Moldavia, por ejemplo. Tratan de borrar los rastros". Y el sistema es de prueba y error, intentan miles de veces, hasta que encuentran alguna forma de entrar al sistema que tratan de hackear.

En el caso de la PSA, según parece, el objetivo fue el robo, inventando un código de descuentos y transfiriendo las pequeñas sumas a una única cuenta. No se sabe si lograron el objetivo, es decir si consiguieron quedarse con el dinero.

Sucede que en otras oportunidades -como ocurrió con los dos centros médicos conocidos y los bancos-, el objetivo es extorsionar: exigen un dinero para devolver los archivos. Quienes participaron en negociaciones con hackers le contaron a Página/12 que se les suele pedir una prueba de vida, como en los secuestros: "exhíbame el contenido de la carpeta denominada Francia". Se supone que, si los hackers se apropiaron de la información, pueden acceder a ese contenido y mostrarlo. El pago se hace en bitcoins, de manera difícil de rastrear, con muchas terminales en Dubai. Para los bancos y esos dos centros médicos, el bloqueo de su sistema significa casi la paralización.

Por otro lado, también está el hackeo para vender los datos en lo que llaman la dark-web o deep-web. Seguramente habrá interesados en quedarse con toda la lista de los efectivos de la PSA, de manera que puede ser otro objetivo, además del robo en los recibos. Finalmente, quienes conocen mucho el mundo de los hackeos, afirman que están las venganzas dentro de la misma fuerza, los pases de factura, los intereses económicos para que se compren más antivirus o para que se destituya a un jefe de sistemas. El hackeo es un mundo.
 
Inversión y equipos entrenados

Quienes se ocupan de la batalla contra los hackers sostienen que uno de los grandes problemas es la falta de inversión: se requiere tener super-actualizados, casi minuto a minuto, los antivirus. Esos sistemas no son sólo un software, sino que son sistemas on-line 24 horas, porque los ataques son permanentes y donde se produce una alarma hay que actuar de inmediato. Por supuesto que están quienes dicen que lo fundamental no son los sistemas antivirus -norteamericanos, israelíes, lo conveniente es combinar, no depender de un proveedor-, sino tener un equipo entrenado, con técnicos en las oficinas y otros con guardias pasivas, en su casa, pero con capacidad para reaccionar en instantes a cualquier irrupción. Hay organismos del estado a cuyos sistemas los hackers intentan ingresar 5.000 veces por día. El ataque es constante.

En ese marco, hay acusación contra los funcionarios de Milei porque, así como no hay inversión en obra pública y las rutas se empiezan a llenar de pozos, no hay inversión en los sistemas de seguridad. A esto se agrega que falló la PSA en proteger los datos -cada fuerza tiene un departamento de ciberseguridad- y también la SIDE. Según los trascendidos, la cuestión estuvo en manos de Jefatura de Gabinete, ahora en la SIDE, pero nadie se ocupa verdaderamente: es un agujero negro. La inteligencia dejó de ser el hombre en la esquina, simulando leer un diario: por supuesto que sigue siendo importante tener información, pero todas las cuestiones de ataques informáticos pasaron a ser claves.

El hecho concreto es que le entraron al sistema de una fuerza de seguridad y, más allá de que hubo un robo de dinero, está claro que los hackers tienen toda la nómina de los efectivos, con sus datos personales y mucho más. Y es una fuerza clave que está en los aeropuertos, con un papel protagónico en la prevención de atentados terroristas. La evidencia es que, lejos de ser una garantía, la defensa parece hacer agua.

El ataque probablemente involucró servidores remotos, posiblemente del exterior, y los expertos especulan con la participación de cómplices internos.

La PSA bloqueó servicios en respuesta al incidente y lanzó una investigación que aún está en curso.

En agosto de 2020, Telecom Argentina sufrió un ataque de ransomware que encriptó 18.000 estaciones de trabajo.

En septiembre de 2020, la Dirección Nacional de Migraciones, la agencia oficial de inmigración de Argentina, fue atacada por un ataque de ransomware Netwalker que provocó la interrupción del cruce fronterizo de entrada y salida del país durante cuatro horas.

Fuente:
Página12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#12
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tenable Nessus es una herramienta de escaneo de vulnerabilidades ampliamente utilizada diseñada para identificar y evaluar vulnerabilidades de seguridad en sistemas, redes y aplicaciones.

Tenable se vio obligada a deshabilitar dos versiones del agente del escáner Nessus porque una actualización defectuosa del complemento provocó que los agentes se desconectaran.

"Estamos al tanto de un problema que se produce cuando los agentes se desconectan después de las actualizaciones del complemento para ciertos usuarios en todos los sitios y lo estamos investigando activamente", se lee en la actualización publicada por Tenable el último día de 2024. "Las actualizaciones del complemento se han pausado temporalmente".

La empresa no compartió detalles técnicos sobre el problema

"Existe un problema conocido que puede provocar que Tenable Nessus Agent 10.8.0 y 10.8.1 se desconecten cuando se activa una actualización diferencial del complemento. Para evitar este problema, Tenable ha deshabilitado las actualizaciones de la fuente del complemento para estas dos versiones del agente. Además, Tenable ha deshabilitado las versiones 10.8.0 y 10.8.1 para evitar más problemas", informó la empresa.

Un par de días después, el proveedor anunció que estaba trabajando para solucionar el problema que afectaba a la versión 10.8.0/10.8.1 de Nessus Agent:

Nessus Agent para Tenable Vulnerability Management (TVM), TSC y Nessus se han rebajado de la versión 10.8.0/10.8.1 a la 10.7
Todas las actualizaciones de la fuente de complementos están deshabilitadas, excepto:
La versión de TVM Nessus Agent anterior a la 10.8
Nessus Scanner vinculado a TVM (todas las versiones)

Tenable lanzó Nessus Agent v10.8.2 para solucionar los problemas con las versiones 10.8.0 y 10.8.1, que estaban deshabilitadas.

"Para solucionar el problema anterior, todos los clientes de Tenable Vulnerability Management y Tenable Security Center que ejecuten la versión 10.8.0 o 10.8.1 de Tenable Nessus Agent deben actualizar a la versión 10.8.2 del agente o rebajar a la versión 10.7.3", continúa el aviso. "Si está utilizando perfiles de agente para actualizaciones o degradaciones de agente, debe realizar un restablecimiento del complemento por separado para recuperar cualquier agente fuera de línea".

Fuente:
SecurityAffairs
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#13
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Telegram revela que la plataforma de comunicaciones ha cumplido 900 solicitudes del gobierno de EE. UU., compartiendo el número de teléfono o la dirección IP de 2253 usuarios con las fuerzas del orden.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esta cifra supone un aumento considerable con respecto a años anteriores, y la mayoría de las solicitudes se procesaron después del cambio de política de la plataforma sobre el intercambio de datos de los usuarios, anunciado en septiembre de 2024.

Si bien Telegram ha sido durante mucho tiempo una plataforma utilizada para comunicarse con amigos y familiares, hablar con compañeros de ideas afines y como una forma de eludir la censura del gobierno, también se utiliza mucho para cometer delitos cibernéticos.

Los actores de amenazas suelen utilizar la plataforma para vender servicios ilegales, realizar ataques, vender datos robados o como servidor de comando y control para su malware.

Como informó por primera vez 404 Media, la nueva información sobre las solicitudes de aplicación de la ley cumplidas proviene del Informe de Transparencia de Telegram para el período comprendido entre el 1/1/24 y el 13/12/24.

Anteriormente, Telegram solo compartía las direcciones IP y los números de teléfono de los usuarios en casos de terrorismo y solo había cumplido 14 solicitudes que afectaban a 108 usuarios hasta el 30 de septiembre de 2024.

Cifras actuales (izquierda) y cifras del período anterior (derecha)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tras el cambio en su política de privacidad, Telegram compartirá ahora los datos de los usuarios con las fuerzas del orden en otros casos de delito, incluidos los delitos cibernéticos, la venta de bienes ilegales y el fraude en línea.

"Si Telegram recibe una orden válida de las autoridades judiciales pertinentes que confirme que eres sospechoso en un caso que involucra actividades delictivas que violan los Términos de Servicio de Telegram, realizaremos un análisis legal de la solicitud y podremos revelar tu dirección IP y número de teléfono a las autoridades pertinentes", se lee en la política de privacidad actualizada de Telegram:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este cambio se produjo en respuesta a la presión de las autoridades, que culminó con el arresto del fundador y CEO de Telegram, Pavel Durov, a fines de agosto en Francia.

Posteriormente, Durov enfrentó una larga lista de cargos, que incluían complicidad en delitos cibernéticos, fraude organizado y distribución de material ilegal, así como negativa a facilitar interceptaciones legales destinadas a ayudar en las investigaciones de delitos.

Aunque el cambio de política dio lugar a que varios grupos de ciberdelincuentes anunciaran su salida de Telegram, la empresa de inteligencia sobre ciberdelincuencia KELA informó en diciembre que el panorama no había cambiado todavía.

Si bien el aumento significativo en las prácticas de intercambio de datos de los usuarios registrado en el último trimestre de 2024 indica un cambio en la estrategia de Telegram, se dará un panorama más claro en abril de 2025, cuando se publique el próximo informe de transparencia.

Para acceder a los informes de transparencia de Telegram de su país, utilice el bot dedicado de la plataforma desde aquí:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#14
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El lunes, la Organización de Aviación Civil Internacional (OACI) de las Naciones Unidas anunció que estaba investigando lo que describió como un "incidente de seguridad denunciado".

Establecida en 1944 como una organización intergubernamental, esta agencia de las Naciones Unidas trabaja con 193 países para apoyar el desarrollo de estándares técnicos mutuamente reconocidos.

"La OACI está investigando activamente los informes de un posible incidente de seguridad de la información presuntamente vinculado a un actor de amenazas conocido por atacar a organizaciones internacionales", dijo la OACI en un comunicado.

"Nos tomamos este asunto muy en serio y hemos implementado medidas de seguridad inmediatas mientras llevamos a cabo una investigación exhaustiva".

La agencia de la ONU dice que proporcionará más información después de que finalice su investigación preliminar sobre esta posible violación.

Aunque la OACI aún no ha proporcionado detalles específicos sobre lo que desencadenó esta investigación en curso, este anuncio se produce dos días después de que un actor de amenazas llamado "natohub" filtrara 42.000 documentos supuestamente robados de la OACI en el foro de piratería BreachForums.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Según las afirmaciones de natohub, los documentos supuestamente robados contienen nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico e información sobre educación y empleo. Otro actor de amenazas dice que el archivo contiene 2 GB de archivos con información sobre 57.240 correos electrónicos únicos.

Un portavoz de la OACI no estaba inmediatamente disponible para hacer comentarios cuando BleepingComputer se puso en contacto con él esta mañana.

Esto se produce después de que otra agencia de la ONU, el Programa de las Naciones Unidas para el Desarrollo (PNUD), comenzara a investigar un ciberataque en abril de 2024 después de un ciberataque reivindicado por la banda de ransomware 8Base; el PNUD aún no ha proporcionado una actualización sobre la investigación.

En enero de 2021, el Programa de las Naciones Unidas para el Medio Ambiente (PNUMA) también reveló una filtración de datos después de que más de 100.000 registros de empleados con información de identificación personal (PII) quedaran expuestos en línea.

Las redes de la ONU en Viena y Ginebra también fueron violadas en julio de 2019 mediante un exploit de Sharepoint. Los atacantes obtuvieron acceso a registros de personal, seguros de salud y datos de contratos comerciales en lo que un funcionario de la ONU describió más tarde como una "crisis importante".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#15
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las transacciones en línea se han convertido en una parte integral de nuestras vidas en la era digital. Dependemos de Internet para todo, desde compras y operaciones bancarias hasta interacciones sociales. Sin embargo, esta comodidad tiene un precio, ya que los cibercriminales explotan la confianza de los usuarios para obtener datos confidenciales.

La empresa de ciberseguridad SlashNext ha descubierto una de esas amenazas. Según su investigación, que fue compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta antes de su publicación el lunes, los cibercriminales rusos han creado un nuevo complemento de WordPress, PhishWP, para crear páginas de pago falsas. En lugar de procesar los pagos, roban números de tarjetas de crédito, fechas de vencimiento, CVV y direcciones de facturación.

PhishWP crea páginas de pago en línea engañosamente realistas que imitan servicios legítimos como Stripe. Estas páginas falsas atraen a los usuarios desprevenidos para que ingresen los datos de su tarjeta de crédito, fechas de vencimiento, códigos CVV e incluso las cruciales contraseñas de un solo uso (OTP) utilizadas para la autenticación 3D Secure.

En su blog, SlashNext describió un escenario de ataque en el que un atacante crea un sitio web de comercio electrónico falso utilizando PhishWP y replica las páginas de pago de Stripe. Los usuarios son dirigidos a una página de pago falsa, donde una ventana emergente con un código 3DS solicita un OTP, que los usuarios proporcionan sin saberlo. El complemento transmite la información recopilada a la cuenta de Telegram del atacante, lo que les permite explotar los datos para realizar compras no autorizadas o venderlos en mercados ilegales.

Esto significa que el sofisticado complemento va más allá de simplemente recopilar datos; se integra con plataformas como Telegram, lo que permite la transmisión en tiempo real de información robada directamente a los atacantes, maximizando el potencial de explotación inmediata.

Además, el complemento aprovecha técnicas avanzadas como la recolección de código 3DS, donde engaña a las víctimas para que ingresen contraseñas de un solo uso a través de ventanas emergentes, eludiendo de manera efectiva las medidas de seguridad diseñadas para verificar la identidad del titular de la tarjeta.

Para mejorar su eficacia, PhishWP ofrece varias funciones clave, incluidas páginas de pago personalizables que se asemejan mucho a las interfaces de pago legítimas, capacidades de creación de perfiles de navegador para crear ataques según los entornos de usuario específicos y correos electrónicos de respuesta automática que crean una falsa sensación de seguridad en las víctimas. Al combinar estas funciones con soporte multilingüe y opciones de ofuscación, los atacantes pueden lanzar campañas de phishing altamente específicas y evasivas a escala global.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores señalan que PhishWP es una herramienta poderosa que permite a los cibercriminales llevar a cabo ataques de phishing con la máxima sofisticación, causando pérdidas financieras significativas y violaciones de datos personales.

Para mitigar estos riesgos, es esencial utilizar medidas de seguridad confiables, como herramientas de protección contra phishing basadas en navegador, que brindan defensa en tiempo real contra URL maliciosas y evitan que los usuarios visiten sitios web comprometidos. La vigilancia y las medidas de seguridad proactivas pueden reducir en gran medida su vulnerabilidad a estos sofisticados ataques.

Mayuresh Dani, gerente de investigación de seguridad en la unidad de investigación de amenazas de Qualys, comentó sobre el último desarrollo que "los complementos de WordPress como PhishWP plantean riesgos significativos al imitar las interfaces de pago para robar información del usuario, incluidos los detalles de la tarjeta de crédito y los códigos 3DS. Los datos se envían a los atacantes a través de Telegram, lo que convierte a PhishWP en un ladrón de información altamente efectivo cuando las víctimas ingresan detalles válidos".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#16
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La compañía de telecomunicaciones taiwanesa Chunghwa Telecom y la Guardia Costera de Taiwán informaron el pasado sábado 4 de enero que el sistema de cable expreso transpacífico, que conecta directamente a Taiwán con la costa este de Estados Unidos, Japón, Corea del Sur y China, ha sido dañado por un carguero con bandera de Camerún llamado Shunxing39. Sin embargo, aunque el barco está registrado en el país de África occidental, los funcionarios taiwaneses dicen que el carguero es propiedad de Jie Yang Trading Limited, una compañía registrada en Hong Kong, y enumeran a Guo Wenjie, ciudadano de China continental, como su único director, según un informe del Financial Times.

Los datos de seguimiento del Shungxing39 mostraron que arrastró su ancla en el lugar del daño al cable y que también ha estado operando cerca de las aguas del norte de Taiwán desde diciembre.

"Este es otro caso de una tendencia global muy preocupante de sabotaje contra los cables submarinos", dijo un alto funcionario de seguridad nacional taiwanés.


"Los barcos que se ven involucrados en estos incidentes suelen ser embarcaciones en mal estado que no tienen mucho que ver con la ley. Este también está en muy mal estado. Es similar a los barcos que forman parte de la 'flota en la sombra' de Rusia".
También sugirió que la ruta que siguió el barco sospechoso significa que se trató de un acto deliberado y no de un accidente.

La Guardia Costera de Taiwán ha realizado una inspección externa del Shungxing39 y ha hablado con su capitán por radio. Sin embargo, el mal tiempo hizo imposible abordar el barco durante el incidente y el país aún no ha tenido tiempo de incautarlo para realizar una investigación más profunda. Debido a esto, Taiwán está pidiendo ayuda a las autoridades surcoreanas, ya que el próximo puerto de escala del barco es Busan.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este es el último incidente en varios meses en el que un barco con matrícula o propiedad dudosas es sospechoso de cortar deliberadamente un cable de comunicaciones submarino. El primero fue en noviembre, cuando un granelero chino, el Yi Peng 3, supuestamente cortó dos cables que conectaban Finlandia y Suecia con Europa Central. Otro incidente ocurrió el 25 de diciembre, cuando un petrolero sospechoso de pertenecer a la flota en la sombra de Rusia dañó un cable eléctrico submarino y cables de comunicaciones entre Finlandia y Estonia.

Los cables submarinos están marcados en la mayoría de las cartas de navegación para garantizar que los buques no los dañen accidentalmente al desplegar sus anclas. Sin embargo, parece que recientemente se están utilizando para atacar deliberadamente estas infraestructuras vulnerables, por lo que la OTAN está planeando desplegar drones marinos para ayudar a monitorear y proteger estos cables. Desafortunadamente, Taiwán está ubicado al otro lado del mundo, por lo que debe crear su propia solución a esta amenaza.

Defender sus intereses es mucho más crucial para la nación insular, ya que su vecino más grande, la República Popular China, reclama la soberanía sobre toda la isla. Este último ha amenazado con invadir Taiwán para ponerlo bajo su control por la fuerza, y una de las aperturas de cualquier invasión es la interrupción de las comunicaciones.

Aparte de este acto físico de cortar un cable de comunicaciones clave, Reuters también ha informado que los ciberataques chinos al gobierno de Taiwán han promediado alrededor de 2,4 millones de veces al día, el doble del promedio diario en 2023. Taipei está preocupado por estos movimientos; Aunque están por debajo del umbral de una agresión abierta y un ataque directo, todavía dificultan la defensa de la isla si China organiza una invasión a gran escala.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#17
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Hoy se marca un hito importante en la tecnología de interfaz de pantalla, ya que se anunciaron dos avances importantes en el Consumer Electronics Show (CES) en Las Vegas. El HDMI Forum presentó HDMI 2.2, que ofrece un rendimiento mejorado y un mayor ancho de banda para aplicaciones de alta resolución y uso intensivo de datos. Al mismo tiempo, la Video Electronics Standards Association (VESA) anunció actualizaciones de la especificación DisplayPort 2.1, actualizándola a DisplayPort 2.1b, con mejoras notables en la longitud y flexibilidad del cable.

HDMI 2.2 es una mejora sustancial con respecto a su predecesor, HDMI 2.1. Si bien conserva el mismo diseño de conector, la característica destacada es el aumento del ancho de banda a 96 Gbps, facilitado por los nuevos cables HDMI "Ultra96". Este ancho de banda ampliado admite resoluciones y frecuencias de actualización más altas, incluidas 4K a hasta 480 Hz, 8K a hasta 240 Hz e incluso 10K a 120 Hz.

Aunque ningún monitor o pantalla actual alcanza estas especificaciones extremas, el ancho de banda adicional de HDMI 2.2 beneficiará principalmente a aplicaciones exigentes que utilizan muchos datos, como AR/VR/MR, realidad espacial, pantallas de campo de luz y usos comerciales como señalización digital a gran escala, imágenes médicas y visión artificial.

Además de su compatibilidad con resoluciones más altas, HDMI 2.2 soluciona problemas de sincronización audiovisual de larga data al introducir el Protocolo de indicación de latencia (LIP). Este protocolo mejora la alineación de las señales de audio y video, especialmente en configuraciones complejas que involucran múltiples dispositivos, como receptores AV o barras de sonido. El resultado es la eliminación del frustrante retraso de audio y video, lo que garantiza una experiencia de entretenimiento más fluida, una característica particularmente atractiva para los entusiastas del cine en casa.

Para garantizar la autenticidad y calidad de los cables Ultra96, el HDMI Forum ha implementado un amplio programa de certificación, que incluye medidas contra la falsificación. Esta iniciativa aborda posibles problemas relacionados con aranceles y productos falsificados, asegurando que los consumidores reciban cables genuinos y de alto rendimiento.

El HDMI 2.2 debería lanzarse en la primera mitad del año, aunque es poco probable que los dispositivos compatibles con el nuevo estándar lleguen al mercado en cantidades significativas hasta el próximo año. Cabe destacar que el estándar es compatible con versiones anteriores, lo que significa que funcionará sin problemas con dispositivos que tengan puertos HDMI 2.1 o anteriores.

Las actualizaciones de la especificación DisplayPort 2.1, si bien no son tan innovadoras como las de HDMI 2.2, son dignas de mención. VESA anunció nuevos cables activos DP80LL ("de baja pérdida") que admiten velocidades de enlace UHBR20 de hasta cuatro carriles, logrando un rendimiento máximo de 80 Gbps en longitudes de hasta tres metros. Esta mejora triplica efectivamente la longitud del cable para conexiones UHBR20 en comparación con los cables pasivos DP80 existentes, lo que ofrece una mayor flexibilidad en la ubicación del dispositivo y las configuraciones de instalación.

Estas actualizaciones han sido posibles gracias a la colaboración de VESA con líderes de la industria como Nvidia, lo que garantiza un rendimiento óptimo y compatibilidad entre las GPU y las próximas tecnologías DisplayPort 2.1b. Los cables DP80LL certificados deberían llegar al mercado en los próximos meses.

Si bien los avances en HDMI 2.2 y DisplayPort 2.1b resaltan la dedicación de la industria a brindar experiencias visuales de mayor calidad, la mayoría de los consumidores no sentirán un impacto inmediato. Los estándares actuales HDMI 2.1 y DisplayPort 2.0 son más que suficientes para controlar los dispositivos cotidianos, y pueden pasar años antes de que estos nuevos estándares se generalicen.

Sin embargo, estas innovaciones preparan el terreno para la próxima generación de tecnología de visualización, allanando el camino para imágenes envolventes, sincronización de audio y video perfecta y mayor flexibilidad en aplicaciones profesionales y de consumo. A medida que estas tecnologías maduren, prometen redefinir cómo experimentamos e interactuamos con los medios visuales.

Fuente:
Tom´s Hardware
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#18
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La incesante marcha de la industria tecnológica hacia la denominación de todo como "plus", "pro" y "max" sigue su curso, y ahora Dell lleva el esquema de nombres a nuevos niveles de confusión desconcertantes. El fabricante de PC anunció en el CES 2025 que eliminará nombres como XPS, Inspiron, Latitude, Precision y OptiPlex de sus nuevos portátiles, ordenadores de sobremesa y monitores, y los sustituirá por tres líneas de productos principales: Dell (sólo ), Dell Pro y Dell Pro Max.

Si cree que esto suena un poco a Apple y soso, tiene razón. Pero Dell va más allá al añadir también un poco de jerga de la industria automovilística con tres subcategorías: Base, Plus y Premium.

La nueva estructura de nombres de productos de Dell para 2025
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esto da lugar a nuevos productos como el recién anunciado monitor Dell Plus 32 pulgadas 4K QD-OLED y las laptops Dell Pro Premium. En el futuro, significa que también podemos esperar nombres de productos como Dell Pro Max Plus. Dado que una laptop como la Dell Pro Premium viene en dos tamaños, 13 pulgadas y 14 pulgadas, sus nombres completos son Dell Pro 13 Premium y Dell Pro 14 Premium. Son los sucesores espirituales de las laptops Dell Latitude salientes.

La línea XPS de Dell, que ha sido un nombre destacado en laptops premium durante años, está siendo reemplazada por nuevos modelos Dell Premium. Por lo tanto, son parte de la línea base de Dell, en el subnivel Premium.

Si bien se trata de una reestructuración de marca sustancial para uno de los fabricantes de PC más grandes del mundo, Dell no está desechando los viejos nombres de una sola vez. Los productos existentes que ya se lanzaron bajo XPS, Precision y otras marcas que se retiran continuarán como están. Pero una vez que se descontinúen, solo serán reemplazados por cualquier combinación de Mad Libs Plus, Premium, Pro y Pro Max que Dell tenga preparada para ellos.

Hasta que las líneas de Dell se renueven por completo, puede haber incluso más confusión cuando, por ejemplo, los clientes comparen sus portátiles XPS actuales con los de Dell y Dell Premium, o cuando las empresas tengan que considerar una flota de portátiles Dell Precision sobrantes o modelos más nuevos de Dell Pro Max / Dell Pro Max Plus / Dell Pro Max Premium.

Fuente:
The Verge
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#19
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La empresa de ciberseguridad ESET insta a los usuarios de Windows 10 a actualizarse a Windows 11 o Linux para evitar un "fiasco de seguridad" ya que el sistema operativo, que ya lleva 10 años en servicio, se acerca al final de su soporte en octubre de 2025.

"Faltan cinco minutos para las doce para evitar un fiasco de seguridad en 2025", explica el experto en seguridad de ESET Thorsten Urbanski.

"Recomendamos encarecidamente a todos los usuarios que no esperen hasta octubre, sino que cambien a Windows 11 inmediatamente o elijan un sistema operativo alternativo si su dispositivo no puede actualizarse al último sistema operativo Windows. De lo contrario, los usuarios se exponen a importantes riesgos de seguridad y se vuelven vulnerables a peligrosos ciberataques y pérdida de datos".

El 14 de octubre de 2025, Windows 10 dejará de recibir actualizaciones de seguridad gratuitas para el sistema operativo, a menos que los propietarios compren actualizaciones de seguridad extendidas. Esto significa que los usuarios de Windows 10 estarán en riesgo de que se descubran nuevas vulnerabilidades, lo que podría provocar importantes infracciones y la distribución de malware.

Según ESET, aproximadamente 32 millones de computadoras en Alemania ejecutan Windows 10, lo que lo convierte en alrededor del 65 por ciento de todos los dispositivos en los hogares. En contraste, Windows 11 se ejecuta en solo el 33% de los dispositivos alemanes, lo que supone aproximadamente 16,5 millones de dispositivos.

StatCounter respalda estas cifras y, a diciembre de 2024, casi el 63% de todos los usuarios de Windows en todo el mundo usan Windows 10, en comparación con aproximadamente el 34% que usan Windows 11.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La encuesta de hardware y software de Steam ofrece un panorama más favorable para los jugadores de Windows 11: el 54,96 % utiliza Windows 11 y solo el 42,39 % utiliza Windows 10 a finales de 2024.

Sin embargo, los jugadores suelen estar a la vanguardia del hardware y suelen actualizar sus componentes y dispositivos para jugar a los juegos más recientes con un buen rendimiento.

Por otro lado, las empresas y otros consumidores tienden a quedarse atrás, ya que sus ordenadores más antiguos siguen funcionando bien y todavía no ha habido una necesidad real de actualizarlos.

Esta transición de versión de Windows es peor que cuando los usuarios migraron desde Windows 7, ya que casi el 70 % de los usuarios utilizaban Windows 10 antes de que Windows 7 llegara al final del soporte.

"La situación es más peligrosa que cuando finalizó el soporte para Windows 7 a principios de 2020", explica Urbanski.

"Incluso antes de la fecha oficial, a finales de 2019, solo alrededor del 20 por ciento de los usuarios seguían usando Windows 7. Más del 70 por ciento ya usaban el nuevo Windows 10. La situación actual es extremadamente peligrosa. Los ciberdelincuentes conocen muy bien estos números y solo están esperando el día en que finalice el soporte".

Muchos usuarios de Windows 10 han dudado en actualizar a Windows 11 debido a la falta de funciones populares en el sistema operativo más nuevo, problemas de rendimiento y el requisito de hardware TPM (Trusted Platform Module), que impide que algunos dispositivos más antiguos se actualicen.

El problema se agrava por el hecho de que muchos de estos dispositivos más antiguos ejecutan Windows 10, y probablemente Windows 11, sin problemas, pero no se pueden usar debido a la falta de un TPM.

Microsoft declaró recientemente que el requisito de TPM de Windows 11 es "no negociable", ya que impulsa numerosas funciones de seguridad, como la forma en que el sistema operativo almacena claves criptográficas y protege las credenciales, y está integrado con Secure Boot y Windows Hello for Business.

Para aquellos que no pueden actualizar sus dispositivos a Windows 10, Microsoft ofrece actualizaciones de seguridad extendidas (ESU) a empresas y consumidores. Sin embargo, no son baratas.

Las empresas que deseen recibir actualizaciones de seguridad extendidas pueden hacerlo durante tres años, pagando $61 por el primer año, $122 por el segundo año y $244 por el tercero. Esto eleva el precio total de ESU en un dispositivo con Windows 10 a $427 por tres años.

Microsoft también ofrece un programa ESU para consumidores por un año a $30 por dispositivo, que es más asequible pero puede resultar caro si tienes varios dispositivos en un hogar.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

#20
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vulnerabilidad ya corregida en el escáner de vulnerabilidades de código abierto Nuclei podría permitir a los atacantes eludir la verificación de firmas mientras introducen código malicioso en plantillas que se ejecutan en sistemas locales.

Nuclei es un escáner de vulnerabilidades de código abierto popular creado por ProjectDiscovery que escanea sitios web en busca de vulnerabilidades y otras debilidades.

El proyecto utiliza un sistema de escaneo basado en plantillas de más de 10 000 plantillas YAML que escanean sitios web en busca de vulnerabilidades conocidas, configuraciones incorrectas, archivos de configuración expuestos, webshells y puertas traseras.

Las plantillas YAML también incluyen un protocolo de código que se puede utilizar para ejecutar comandos o scripts localmente en un dispositivo que amplía la funcionalidad de una plantilla.

Cada plantilla está "firmada" con un hash de resumen que Nuclei utiliza para verificar que la plantilla no haya sido modificada para incluir código malicioso.

Este hash de resumen se agrega al final de las plantillas en forma de:

# digest: <hash>

Una falla evita la verificación de firma de Nuclei

Los investigadores de Wiz descubrieron una nueva vulnerabilidad de Nuclei identificada como CVE-2024-43405 que evita la verificación de firma de Nuclei incluso si se modifica una plantilla para incluir código malicioso.

La falla es causada por una verificación de firma basada en expresiones regulares de Go y por cómo el analizador YAML maneja los saltos de línea al verificar la firma.

Al verificar una firma, la lógica de verificación de Go trata a \r como parte de la misma línea. Sin embargo, el analizador YAML lo interpreta como un salto de línea. Esta falta de coincidencia permite a los atacantes inyectar contenido malicioso que evita la verificación pero que aún se ejecuta cuando lo procesa el analizador YAML.

Otro problema es cómo Nuclei maneja múltiples líneas de firma # digest:, ya que el proceso solo verifica la primera aparición de # digest: en una plantilla, ignorando cualquier otra que se encuentre más adelante en la plantilla.

Esto se puede aprovechar añadiendo cargas útiles maliciosas adicionales "# digest:" después del resumen válido inicial que contienen una sección de "código" malicioso, que luego se inyecta y se ejecuta cuando se utiliza la plantilla.

"Armados con los conocimientos sobre las interpretaciones de nueva línea no coincidentes, creamos una plantilla que explota la disparidad entre la implementación de expresiones regulares de Go y el analizador YAML", explica el investigador de Wiz Guy Goldenberg.

"Al usar \r como salto de línea, podemos incluir una segunda línea # digest: en la plantilla que evade el proceso de verificación de firma pero es analizada y ejecutada por el intérprete YAML".

Ejemplo de cómo los diferentes analizadores analizan una plantilla de Nuclei
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Wiz reveló responsablemente la falla a ProjectDiscovery el 14 de agosto de 2024, y se solucionó en Nuclei v3.3.2 el 4 de septiembre.

Si está utilizando versiones anteriores de Nuclei, se recomienda encarecidamente que actualice la última versión ahora que se han divulgado públicamente los detalles técnicos de este error.

Goldenberg también recomienda que se utilice Nuclei en una máquina virtual o en un entorno aislado para evitar una posible explotación por parte de plantillas maliciosas.


Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta