Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Temas - Dragora

Páginas: [1] 2 3 ... 75
1

Los investigadores han descubierto lagunas en el proceso de investigación de habilidades de Amazon para el ecosistema del asistente de voz de Alexa que podrían permitir que un actor malintencionado publique una habilidad engañosa bajo cualquier nombre de desarrollador arbitrario e incluso realice cambios en el código de backend después de la aprobación para engañar a los usuarios para que proporcionen información confidencial.

Los hallazgos fueron presentados el miércoles en la conferencia Network and Distributed System Security Symposium (NDSS) por un grupo de académicos de la Ruhr-Universität Bochum y la Universidad Estatal de Carolina del Norte, quienes analizaron 90194 habilidades disponibles en siete países, incluidos los EE. UU. Y el Reino Unido. , Australia, Canadá, Alemania, Japón y Francia.

Amazon Alexa permite a los desarrolladores externos crear funcionalidades adicionales para dispositivos como los altavoces inteligentes Echo mediante la configuración de "habilidades" que se ejecutan en la parte superior del asistente de voz, lo que facilita a los usuarios iniciar una conversación con la habilidad y completar una tarea específica. .

El principal de los hallazgos es la preocupación de que un usuario pueda activar una habilidad incorrecta, lo que puede tener graves consecuencias si la habilidad que se activa está diseñada con una intención insidiosa.

El problema surge del hecho de que varias habilidades pueden tener la misma frase de invocación.

De hecho, la práctica es tan frecuente que la investigación detectó 9,948 habilidades que comparten el mismo nombre de invocación con al menos otra habilidad solo en la tienda de EE. UU. En las siete tiendas de habilidades, solo 36,055 habilidades tenían un nombre de invocación único.


Dado que los criterios reales que utiliza Amazon para habilitar automáticamente una habilidad específica entre varias habilidades con los mismos nombres de invocación siguen siendo desconocidos, los investigadores advirtieron que es posible activar la habilidad incorrecta y que un adversario puede salirse con la suya con las habilidades de publicación utilizando una empresa conocida. nombres.

"Esto sucede principalmente porque Amazon actualmente no emplea ningún enfoque automatizado para detectar infracciones por el uso de marcas comerciales de terceros, y depende de la investigación manual para detectar esos intentos malévolos que son propensos a errores humanos", explicaron los investigadores . "Como resultado, los usuarios pueden quedar expuestos a ataques de phishing lanzados por un atacante".

Peor aún, un atacante puede realizar cambios de código después de la aprobación de una habilidad para persuadir a un usuario de que revele información confidencial como números de teléfono y direcciones activando una intención inactiva.

En cierto modo, esto es análogo a una técnica llamada control de versiones que se utiliza para eludir las defensas de verificación. El control de versiones se refiere a enviar una versión benigna de una aplicación a la tienda de aplicaciones de Android o iOS para generar confianza entre los usuarios, solo para reemplazar el código base con el tiempo con funciones maliciosas adicionales a través de actualizaciones en una fecha posterior.

Para probar esto, los investigadores desarrollaron una habilidad de planificador de viajes que permite al usuario crear un itinerario de viaje que luego se modificó después de la verificación inicial para "preguntar al usuario su número de teléfono para que la habilidad pueda enviar un mensaje de texto (SMS) directamente al itinerario de viaje ", engañando así al individuo para que revele su (o ella) información personal.


Además, el estudio descubrió que el modelo de permiso que utiliza Amazon para proteger los datos confidenciales de Alexa puede eludirse. Esto significa que un atacante puede solicitar directamente datos (por ejemplo, números de teléfono, detalles de Amazon Pay, etc.) del usuario que fueron diseñados originalmente para estar acordonados por API de permiso.

La idea es que, si bien las habilidades que solicitan datos confidenciales deben invocar las API de permiso, no impide que un desarrollador deshonesto solicite esa información directamente al usuario.

Los investigadores dijeron que identificaron 358 de tales habilidades capaces de solicitar información que idealmente debería estar asegurada por la API.


Por último, en un análisis de las políticas de privacidad en diferentes categorías, se encontró que solo el 24,2% de todas las habilidades proporcionan un enlace a la política de privacidad, y que alrededor del 23,3% de dichas habilidades no revelan completamente los tipos de datos asociados con los permisos solicitados.

Al señalar que Amazon no exige una política de privacidad para las habilidades dirigidas a niños menores de 13 años, el estudio planteó preocupaciones sobre la falta de políticas de privacidad ampliamente disponibles en las categorías "niños" y "salud y estado físico".

"Como defensores de la privacidad, creemos que las habilidades relacionadas con 'niños' y 'salud' deben cumplir con estándares más altos con respecto a la privacidad de los datos", dijeron los investigadores, al tiempo que instaron a Amazon a validar a los desarrolladores y realizar comprobaciones recurrentes de backend para mitigar dichos riesgos.

"Si bien estas aplicaciones facilitan la interacción de los usuarios con dispositivos inteligentes y refuerzan una serie de servicios adicionales, también plantean problemas de seguridad y privacidad debido al entorno personal en el que operan", agregaron.

Vía: The Hacker News

2

Un malware llamado Silver Sparrow ha infectado casi 30.000 equipos Mac de Apple con macOS, afectando incluso a equipos con el nuevo chip M1 de Apple silicon. El dato ha sido descubierto por los investigadores de seguridad de Red Canary, que han trabajado posteriormente en analizar el problema con otros de Malwarebytes y VMWare Carbon Black.

La incidencia de esos 29.139 casos está muy repartida, pues Silver Sparrow afectaba a equipos de 153 países hasta el pasado 17 de febrero. La actividad más intensa del malware se ha ubicado en Estados Unidos, Reino Unido, Canadá, Francia y Alemania, según la investigación. No es casualidad que en varios de estos países la cuota de mercado de equipos de Apple sea más alta que la media.

No está clara la causa de la infección


Los investigadores han estado monitorizando el efecto del malware, sin llegar a ver sus efectos últimos mientras lo analizaban. Es decir, han podido acceder a equipos infectados, pero el malware solamente esperaba a recibir órdenes externas en forma de comandos, que nunca llegaron durante el proceso en que han atendido a su incidencia.

Aun así, Red Canary advierte de que eso no quiere decir que Silver Sparrow no suponga una amenaza ante su falta de actividad observada, pues esto podría tratarse incluso de un mecanismo ejecutado ante la detección de herramientas de detección de investigadores. El mayor problema, ahora mismo, más allá de desconocer su posible manifestación futura, es que tampoco se sabe cómo Silver Sparrow está infectando tantos equipos.

En la investigación se menciona que el malware podría llegar con aplicaciones crackeadas, en publicidad maliciosa o en actualizadores de Flash falsos, que incluso tras el adiós de Flash sigue siendo una de las vías de "contagio" más activas en macOS. Como siempre, muchas de estas instalaciones se producen tras sobrepasar la seguridad de Gatekeeper en 'Preferencias del sistema'.

Vía: ZDNet

3
Windows / Usando la función de escritorios virtuales de Windows 10
« en: Febrero 20, 2021, 06:24:27 pm »

Esta función puede llagar a ser muy útil si estamos trabajando en varias cosas diferentes y no tenemos un monitor extra muchos se encuentran trabajando desde casa por causa de la pandemia del coronavirus muchos haciendo malabares con diferentes proyectos en la misma computadora.

Si nos situamos en el panel Vista de tareas en Windows 10 nos permitirá agregar una cantidad ilimitada de escritorios virtuales de forma rápida y sencilla. Podemos administrar la vista de nuestro escritorio virtual y mover nuestras aplicaciones a diferentes escritorios, mostrar ventanas en todos los escritorios así como cerrar páginas en un escritorio seleccionado, entonces manos a la obra:

1. Agregando un escritorio en Windows 10

- abrimos el panel Vista de tareas haciendo clic en el botón Vista de tareas (dos rectángulos superpuestos) en la barra de tareas, o
   presionando la tecla Windows + Tab .
- en el panel Vista de tareas, hacemos clic en Nuevo escritorio para agregar un escritorio virtual.
-  si ya tenemos dos o más escritorios abiertos, el botón "Agregar un escritorio" aparecerá como un mosaico gris con un símbolo más.
- también podemos agregar rápidamente un escritorio sin necesidad de entrar en el panel de vista de tareas utilizando el atajo de teclado
   la tecla de Windows + Ctrl + D .

2. Desplazándonos e intercambiando entre escritorios

- para cambiar entre escritorios virtuales, abrimos el panel Vista de tareas
- hacemos clic en el escritorio al que deseamos cambiar
- otra opción para cambiar rápidamente de escritorio sin entrar en el panel Vista de tareas es utilizando los atajos de teclado:
      Tecla de Windows + Ctrl + Flecha izquierda y Tecla de Windows + Ctrl + Flecha derecha .
- podemos agregar una cantidad ilimitada de escritorios virtuales yo he trabajado hasta con 12 escritorios por pura curiosidad  y deja agregar más.

3. Moviendo nuestras ventanas entre escritorios

- para mover una ventana de un escritorio a otro, primero debemos abrir el panel Vista de tareas y luego posicionamos el cursor sobre el
   escritorio que contiene la ventana que necesitamos mover.
- aparecerán las ventanas de ese escritorio
- buscamos la ventana que deseamos mover
- hacemos clic con el botón derecho en ella, vamos a Mover
- elegimos el escritorio al que deseamos mover la ventana
- también podemos arrastrar y soltar ventanas: tomamos la ventana que deseamos mover y la arrastraremos al escritorio deseado.

4. Cerrando un escritorio

- abrimos el panel Vista de tareas y colocamos el cursor sobre el escritorio que deseamos cerrar hasta que aparezca una pequeña X en la
  esquina superior derecha.
- hacemos clic en la X para cerrar el escritorio.
- podemos cerrar también los escritorios sin entrar en el panel Vista de tareas utilizando el atajo de teclado Tecla de Windows + Ctrl + F4
   (esto cerrará el escritorio en el que se encuentra actualmente).

Bueno pues eso es todo espero a alguien le sea de utilidad.

¡Saludos!

4
Android / Android 12 ya está aquí en versión preliminar
« en: Febrero 20, 2021, 05:10:08 pm »

Google acaba de publicar las primeras imágenes que permitirán a desarrolladores (y curiosos) comenzar a probar Android 12, la nueva versión de su plataforma móvil. Como era de esperar, los usuarios de los Pixel serán los que podrán instalar estas imágenes, que estarán disponibles para dispositivos a partir del Pixel 3.

Aún es pronto para saber cuáles son los grandes cambios que plantea la nueva versión, pero sí se conocen algunos de las novedades que afectan al soporte de nuevos formatos de vídeo e imagen, a novedades en notificaciones y a mejoras en el apartado de la privacidad. Otro dato curioso: también hay publicada una versión preliminar de Android TV 12.

Cuidado JPG, llega AVIF

Entre los cambios iniciales estará el soporte de nuevos formatos de imagen y vídeo de forma más notable. Así, una nueva capa de transcodificación permitirá que el formato de vídeo HEVC esté soportado en aplicaciones que no soporten esos vídeos de forma nativa.

En Android 12 también existe soporte para audio espacial, para el códec MPEG-H y para hasta 24 canales de audio en lugar de los ocho de las versiones de Android actuales.

El formato de imagen AV1, también conocido como AVIF, es otro de los frentes en los que Google parece querer trabajar con esta versión de su plataforma móvil. Este formato parece cobrar especial protagonismo para Google, que plantea con ese impulso convertirlo en el formato estándar de facto frente a JPG.


Teóricamente en AVIF se ofrece mejor compresión y menores pérdidas y defectos en la imagen tras esa compresión. De momento, eso sí, no será el formato nativo al tomar fotos en la aplicación de cámara de sus Pixel.

Hay también mejor soporte para la llamada "inserción de contenidos enriquecidos", lo que permitirá cortar, pegar y arrastrar múltiples tipos de contenido, desde texto plano o enriquecido a markup, imágenes, vídeos o ficheros de audio.
Notificaciones, privacidad... ¡y Android TV 12!

Nuestros compañeros de Xataka Android ya dieron algunas pistas sobre las novedades de diseño y funciones que están por llegar en Android 12, y aunque aún es pronto para confirmarlo, puede que las imágenes filtradas sobre cambios en la interfaz apunten efectivamente a la existencia de un tema personalizado llamado "Silky" con un aspecto interesante.


Google ya explicó que estaban trabajando en mejorar la interfaz de las notificaciones para hacerlas "más modernas, fáciles de usar y más funcionales". Los gestos también se verán algo modificados, y por ejemplo se espera que para salir de una aplicación que tenemos en pantalla completa solo haga falta un gesto de desplazamiento de la pantalla y no dos como hasta ahora.

Entre los cambios internos destacan los destinados a mejorar la privacidad: el motor WebView utilizado por aplicaciones de terceros hará uso de una nueva característica llamada "SameSite" para gestión de cookies que teóricamente aliviará parte del rastreo que sitios web y aplicaciones hacen durante esas sesiones.

En este anuncio hay también un apartado especial para Android TV 12, la nueva versión de su plataforma para Smart TVs y dispositivos que ofrezcan esa plataforma que hará uso de la interfaz ya conocida de los Chromecast con Google TV. De momento no está claro qué cambios adicionales aportará esta plataforma, pero que esa versión preliminar ya esté disponible tan pronto demuestra que este también es foco clave del futuro de la plataforma de Google.

Vía: Android 12 Developer Preview

5

Una vulnerabilidad de seguridad grave en un popular kit de desarrollo de software de videollamadas (SDK) podría haber permitido a un atacante espiar las llamadas de audio y vídeo privadas en curso.

Eso es según una nueva investigación publicada hoy por el equipo de McAfee Advanced Threat Research (ATR), que encontró la falla mencionada anteriormente en el SDK de Agora.io utilizado por varias aplicaciones sociales como eHarmony, Plenty of Fish, MeetMe y Skout; aplicaciones sanitarias como Talkspace, Practo y Dr. First's Backline; y en la aplicación de Android que está emparejada con el robot personal "temi".

Agora, con sede en California, es una plataforma de transmisión interactiva de video, voz y en vivo que permite a los desarrolladores incorporar chat de voz y video, grabación en tiempo real, transmisión en vivo interactiva y mensajería en tiempo real en sus aplicaciones. Se estima que los SDK de la empresa están integrados en aplicaciones móviles, web y de escritorio en más de 1.700 millones de dispositivos en todo el mundo.

McAfee reveló la falla (CVE-2020-25605) a Agora.io el 20 de abril de 2020, luego de lo cual la compañía lanzó un nuevo SDK el 17 de diciembre de 2020, para remediar la amenaza que representa la vulnerabilidad.

La debilidad de la seguridad, que es la consecuencia de un cifrado incompleto, podría haber sido aprovechada por los malos actores para lanzar ataques de intermediario e interceptar las comunicaciones entre dos partes.


Citar
"La implementación del SDK de Agora no permitía que las aplicaciones configuraran de forma segura la configuración del cifrado de video / audio, lo que dejaba un potencial para que los piratas informáticos pudieran espiarlos", dijeron los investigadores.

Específicamente, la función responsable de conectar a un usuario final a una llamada pasó parámetros como el ID de la aplicación y el parámetro del token de autenticación en texto plano, lo que le permite a un atacante abusar de esta deficiencia para olfatear el tráfico de la red a fin de recopilar información de la llamada y posteriormente lanzar la suya propia. Aplicación de video Agora para marcar llamadas sin que los asistentes lo sepan de manera sigilosa.

Aunque no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, el desarrollo una vez más subraya la necesidad de proteger las aplicaciones para salvaguardar la privacidad del usuario.

"En el mundo de las citas en línea, una violación de la seguridad o la capacidad de espiar las llamadas podría conducir al chantaje o al acoso de un atacante", concluyeron los investigadores. "Otras aplicaciones de desarrollo de Agora con bases de clientes más pequeñas, como el robot temi, se utilizan en numerosas industrias, como hospitales, donde la capacidad de espiar conversaciones podría conducir a la filtración de información médica confidencial".

Se recomienda encarecidamente que los desarrolladores que utilizan Agora SDK se actualicen a la última versión para mitigar el riesgo.

Vía: The Hacker News

6

Un grupo de publicidad maliciosa conocido como "ScamClub" aprovechó una vulnerabilidad de día cero en los navegadores basados ​​en WebKit para inyectar cargas útiles maliciosas que redirigían a los usuarios a sitios web fraudulentos con estafas de tarjetas de regalo.

Los ataques, detectados por primera vez por la empresa de seguridad publicitaria Confiant a fines de junio de 2020, aprovecharon un error (CVE-2021–1801) que permitió a las partes maliciosas eludir la política de sandboxing de iframe en el motor del navegador que impulsa Safari y Google Chrome para iOS y ejecutar programas maliciosos. código.

Específicamente, la técnica explotó la forma en que WebKit maneja los detectores de eventos de JavaScript , lo que hace posible salir de la zona de pruebas asociada con el elemento de marco en línea de un anuncio a pesar de la presencia del atributo "allow-top-navigation-by-user-activación" que prohíbe explícitamente cualquier redirección a menos que el evento de clic ocurra dentro del iframe.

Para probar esta hipótesis, los investigadores se propusieron crear un archivo HTML simple que contenga un iframe de caja de arena de origen cruzado y un botón fuera de él que desencadenaba un evento para acceder al iframe y redirigir los clics a sitios web fraudulentos.

"Después de todo, el botón está fuera del marco de la caja de arena", dijo el investigador de Confiant Eliya Stein. "Sin embargo, si redirige, eso significa que tenemos un error de seguridad del navegador en nuestras manos, que resultó ser el caso cuando se probó en navegadores basados ​​en WebKit, es decir, Safari en el escritorio e iOS".


Tras la divulgación responsable a Apple el 23 de junio de 2020, el gigante tecnológico parcheó WebKit el 2 de diciembre de 2020 y, posteriormente, abordó el problema "con una aplicación mejorada de la caja de arena de iframe" como parte de las actualizaciones de seguridad publicadas a principios de este mes para iOS 14.4 y macOS Big Sur. .

Confiant dijo que los operadores de ScamClub han entregado más de 50 millones de impresiones maliciosas en los últimos 90 días, con hasta 16 millones de anuncios afectados que se publican en un solo día.

Citar
"Por el lado de las tácticas, este atacante históricamente favorece lo que llamamos una estrategia de 'bombardeo'", explicó Stein.

"En lugar de intentar pasar desapercibidos, inundan el ecosistema de la tecnología publicitaria con toneladas de demanda horrenda, conscientes de que la mayoría será bloqueada por algún tipo de control de acceso, pero lo hacen en volúmenes increíblemente altos con la esperanza de que el un pequeño porcentaje que se deslice causará un daño significativo ".

Confiant también ha publicado una lista de sitios web utilizados por el grupo ScamClub para ejecutar su reciente campaña de estafa.

Vía: The Hacker News

7

Los servidores del intercambio de criptomonedas británico EXMO se desconectaron temporalmente después de ser blanco de un ataque distribuido de denegación de servicio (DDoS).

"Actualmente estamos experimentando un ataque DDoS en nuestra plataforma", el intercambio , dijo en una notificación publicada el día de hoy.

"Tenga en cuenta que el sitio web de intercambio EXMO está ahora bajo el ataque DDoS. Los servidores no están disponibles temporalmente".

En una alerta separada emitida a través de la cuenta oficial de Twitter de la compañía, EXMO dijo que está trabajando para abordar el problema.

Si bien no se publicó ninguna actualización desde que se anunció el ataque DDoS, los servidores y el sitio web de la plataforma ahora están nuevamente en línea.

EXMO se registró temporalmente en la Autoridad de Conducta Financiera del Reino Unido (FCA) como un negocio de criptoactivos hasta el 9 de julio de 2021, luego de una solicitud enviada en abril de 2020.


El intercambio de criptomonedas británico, que se describe a sí mismo como "uno de los intercambios de criptomonedas más grandes de Europa", reveló en diciembre de 2020 que atacantes desconocidos pudieron retirar aproximadamente el 5% de sus activos totales después de comprometer las billeteras calientes de EXMO.

A diferencia de las billeteras frías (también conocidas como billeteras fuera de línea o de hardware) que no tienen conexión a Internet, las billeteras calientes están conectadas a Internet y las bolsas las utilizan para almacenar temporalmente activos para transferencias y transacciones en curso.

"Nuestro equipo está desarrollando actualmente una nueva infraestructura para carteras activas. Dado que cada cadena de bloques necesita un servidor separado, el proceso llevará algún tiempo", agregó EXMO en una actualización posterior.

"Una vez que los depósitos y retiros estén disponibles, deberá generar una nueva dirección de billetera en la sección 'Monedero' de su cuenta.

"Nuestra investigación está en curso y estamos tomando todas las medidas necesarias y de precaución para evitar que este tipo de incidentes vuelvan a ocurrir".

EXMO suspendió todos los retiros después del incidente y agregó que todas las pérdidas de usuarios posteriores a este incidente serán cubiertas y reembolsadas por completo por EXMO.

Vía Bleepingcomputer: https://www.bleepingcomputer.com/news/security/ddos-attack-takes-down-exmo-cryptocurrency-exchange-servers/

8

Microsoft ha reconocido un problema que afecta a los clientes de Windows 10 que han instalado la actualización de seguridad KB4535680 que soluciona una vulnerabilidad de omisión de funciones de seguridad en el arranque seguro.

El arranque seguro es una función de seguridad que bloquea los cargadores de arranque de los sistemas operativos que no son de confianza en equipos con firmware de interfaz de firmware extensible unificada (UEFI) y un chip de módulo de plataforma segura (TPM) para evitar que los rootkits se carguen durante el proceso de inicio del sistema operativo.

Las versiones de Windows afectadas por esta vulnerabilidad incluyen varias versiones de Windows 10 (de v1607 a v1909), Windows 8.1, Windows Server 2012 R2 y Windows Server 2012.

La actualización de seguridad activa el modo de recuperación de BitLocker

Sin embargo, la instalación de la actualización de seguridad KB4535680 en sistemas que ejecutan versiones de Windows afectadas puede hacer que se solicite la clave de recuperación de BitLocker después de reiniciar, según un problema conocido recientemente reconocido por Microsoft.

Citar
"Si el perfil de validación de la plataforma de configuración de la política de grupo TPM de BitLocker para las configuraciones nativas de firmware UEFI está habilitado y la política selecciona PCR7, es posible que se requiera la clave de recuperación de BitLocker en algunos dispositivos donde no es posible la vinculación de PCR7", explica Microsoft .

"Para ver el estado de enlace de PCR7, ejecute la herramienta Información del sistema de Microsoft (Msinfo32.exe) con permisos administrativos".

BitLocker es la función de cifrado de volumen completo de Microsoft que se incluye con todas las versiones de Windows desde Windows Vista y utiliza el algoritmo de cifrado XTS-AES para cifrar los discos duros o las unidades extraíbles de las computadoras para evitar el robo o la exposición de datos.

Los usuarios que experimenten problemas de recuperación de BitLocker pueden usar la información proporcionada por Microsoft aquí para ubicar su clave de recuperación.

Solución alternativa disponible

Dependiendo de la configuración de Credential Gard del dispositivo, Microsoft recomienda suspender BitLocker por un ciclo de reinicio si Credential Gard está activado con Manage-bde –Protectors –Disable C: -RebootCount 1o durante tres ciclos de reinicio usando Manage-bde –Protectors –Disable C: -RebootCount 3.

En ambos casos, pausar temporalmente BitLocker antes de instalar KB4535680 actúa como una solución para el problema de recuperación de BitLocker.

Una vez que haya instalado la actualización de seguridad y el sistema se haya reiniciado (tres veces seguidas si Credential Guard está habilitado), tendrá que reiniciar una vez más para reanudar la protección de BitLocker.

Se recomienda a los administradores que no quieran aplicar esta solución alternativa o que no puedan programar la actualización para implementar en entornos con cientos o miles de puntos finales que dejen de salir la actualización KB4535680 desde el Administrador de configuración de Endpoint Manager (anteriormente System Center Configuration Manager ).

Vía: Bleepingcomputer

9

La popular aplicación de mensajería Telegram solucionó un error que eliminaba la privacidad en su aplicación macOS que hacía posible acceder a mensajes de audio y video autodestructivos mucho después de que desaparecían de los chats secretos.

La vulnerabilidad fue descubierta por el investigador de seguridad Dhiraj Mishra en la versión 7.3 de la aplicación, quien reveló sus hallazgos a Telegram el 26 de diciembre de 2020. Desde entonces, el problema se resolvió en la versión 7.4 , lanzada el 29 de enero.

A diferencia de Signal o WhatsApp, las conversaciones en Telegram por defecto no están encriptadas de un extremo a otro, a menos que los usuarios opten explícitamente por habilitar una función específica del dispositivo llamada " chat secreto ", que mantiene los datos encriptados incluso en los servidores de Telegram. También está disponible como parte de los chats secretos la opción de enviar mensajes autodestructivos.

Lo que descubrió Mishra fue que cuando un usuario graba y envía un mensaje de audio o video a través de un chat regular, la aplicación filtró la ruta exacta donde se almacena el mensaje grabado en formato ".mp4". Con la opción de chat secreto activada, la información de la ruta no se derrama, pero el mensaje grabado aún se almacena en la misma ubicación.


Además, incluso en los casos en que un usuario recibe un mensaje autodestructivo en un chat secreto, el mensaje multimedia permanece accesible en el sistema incluso después de que el mensaje ha desaparecido de la pantalla de chat de la aplicación.

"Telegram dice que los chats 'súper secretos' no dejan rastros, pero almacena la copia local de dichos mensajes en una ruta personalizada", dijo Mishra a The Hacker News.

Por separado, Mishra también identificó una segunda vulnerabilidad en la aplicación macOS de Telegram que almacenaba las contraseñas locales en texto plano en un archivo JSON ubicado en "/ Users / <user_name> / Library / Group Containers / <*>. Ru.keepcoder.Telegram / accounts-metadata /. "

Mishra recibió 3.000 € por informar de las dos fallas como parte de su programa de recompensas por errores.

Telegram alcanzó en enero un hito de 500 millones de usuarios activos mensuales, en parte liderado por un aumento en los usuarios que abandonaron WhatsApp luego de una revisión de su política de privacidad que incluye compartir ciertos datos con su empresa matriz, Facebook.


Citar
"Así que si usted está en Telegrama y quiere un chat de grupo verdaderamente privadas, estás de suerte," Raphael Mimoun, fundador de la seguridad digital sin fines de lucro Horizontal, dijo el mes pasado.

Si bien el servicio ofrece cifrado cliente-servidor / servidor-cliente (utilizando un protocolo propietario llamado " MTProto ") y también cuando los mensajes se almacenan en la nube de Telegram, vale la pena tener en cuenta que los chats grupales no ofrecen un servicio de extremo a extremo. cifrado y que todos los historiales de chat predeterminados se almacenan en sus servidores. Esto es para que las conversaciones sean fácilmente accesibles en todos los dispositivos.



Vía: The Hacker News

10

Microsoft lanzó ayer el Patch Tuesday de febrero de 2021. Como cada mes, la compañía ha solucionado decenas de vulnerabilidades en el sistema operativo, incluyendo tres muy graves que afectan al protocolo TCP/IP. Estas vulnerabilidades son de día cero, lo que implica que pueden ser usadas por hackers en cualquier momento aprovechándose de los ordenadores de quienes no han actualizado.

Estas tres vulnerabilidades afectan a los ordenadores con Windows 7 y versiones posteriores, incluyendo Windows Server y Windows 10. Sus códigos de vulnerabilidad son CVE-2021-24074, CVE-2021-24094 y CVE-2021-24086. Dos de ellas exponen un ordenador a ataques de ejecuciones remotas de código, la más peligrosa de todas, mientras que la tercera permite a un atacante lanzar un ataque DDoS al dispositivo afectado, saturándolo o haciendo que se cuelgue.

Pantallazos azules y código remoto: tres graves fallos en Windows 10

Esta última vulnerabilidad se manifiesta de manera que un atacante remoto puede generar un pantallazo azul en Windows 10 en cualquier ordenador con Windows que tenga conexión a Internet, siendo además la más fácil de aprovechar. Las de código remoto son más complejas de explotar, de manera que es difícil que haya quien se aproveche en las próximas semanas de ellas.

Así, es muy importante que el mayor número posible de usuarios parchee estas vulnerabilidades, ya que podría darse lugar a ataques como WannaCry, donde muchas empresas que no instalaron los últimos parches se vieron afectadas por el grave fallo que permitía instalar ransomware en ordenadores conectados en red.


En el caso de que no puedas instalar las actualizaciones por cualquier motivo, Microsoft ha recomendado un pequeño truco para protegerse lo antes posible de ellas. En el caso de IPv4, es necesario desactivar la funcionalidad de Source Routing, que normalmente está desactivado por defecto. En el caso de IPv6, es necesario bloquear fragmentos de IPv6, lo cual puede afectar negativamente al rendimiento de quien uso este protocolo.

Otro de los fallos lleva explotándose desde mayo de 2020

Además de esos tres fallos, hay otro de día cero que fue detectado por la empresa de ciberseguridad china DBAPPSecurity: CVE-2021-1732. La empresa afirma que un atacante conocido como Bitter había lanzado ya ataques contra organizaciones y usuarios en China y Pakistán usándolo. El exploit fue compilado en mayo de 2020 para atacar las versiones de Windows 10 1909 de 64 bits, la más reciente en aquel momento. Posteriormente, se usó para atacar también 20H1 y 20H2. Su creador lo usó con discreción durante 7 meses hasta que fue detectado por la empresa de ciberseguridad.

Así, ahora que son públicos, es cuestión de días que se descubran las vulnerabilidades por multitud de hackers y haya quien cree malware para aprovecharlas, ya que hay millones de personas que no instalan las actualizaciones del sistema operativo en semanas, o incluso meses.

Más allá de solucionar estos tres fallos, este mes Microsoft ha solucionado 56 vulnerabilidades en total. Por ello, recomendamos encarecidamente que instaléis las últimas actualizaciones en Windows 10, a pesar de que el parche lanzado la semana pasada causase problemas a los usuarios. Esperemos que el de ayer no replique esos problemas.

Vía:  Bleeping Computer

11

Raspberry Pi OS, la distribución anteriormente conocida como Raspbian, ha incorporado de forma preconfigurada un repositorio de Microsoft que permite la fácil instalación de Visual Studio Code. Si esto ya suena de por sí un tanto turbio, las formas y las reacciones de la institución detrás del popular mini-PC no parecen haber estado a la altura de la situación.

Según explican en nixCraft, los encargados de Raspberry Pi OS metieron mediante una actualización un repositorio de Microsoft sin avisar a los usuarios finales. Como consecuencia, a partir de ahora se enviarán paquetes a un servidor del gigante de Redmond cada que vez que se refresquen los repositorios a menos que se inhabilite la parte correspondiente a Microsoft. Esto se suma a la mala reputación que tiene la multinacional en muchos círculos de Linux debido al presunto abuso de la telemetría.

Siendo más concretos para los que anden perdidos, se ha introducido de fomanera furtiva en Raspberry Pi OS un repositorio de Microsoft que se configura mediante una actualización estándar, y además dicho repositorio al parecer se añade sin avisar ni consultar al usuario. Algunos decidieron preguntar a través de los foros oficiales de Raspberry Pi después de “descubrir el pastel”, pero los administradores de dichos foros empezaron a bloquear y eliminar rápidamente los hilos alegando que aquello era un tema de Microsoft.
La difícil relación del software libre con las aplicaciones privativas

Visual Studio Code es un editor de código que se ha hecho muy popular gracias a su cuidada y sencilla interfaz, su consola empotrada, al hecho de ser multiplataforma y por la gran cantidad de extensiones que tiene a disposición. Sin embargo, la versión suministrada por Microsoft es privativa, a pesar de que su código fuente esté disponible bajo la licencia MIT y se pueda a partir de él compilar una aplicación con un alto nivel de compatibilidad con el software oficial. Esto ha abierto la puerta a la existencia de bifurcaciones, de las que sobresale VSCodium.

A pesar de que lo preferible es usar software libre, el uso de aplicaciones privativas a veces se vuelve difícil de esquivar por diversas razones. En el tema de Visual Studio Code, muchos preferirán el soporte oficial de Microsoft por encima de lo ofrecido por una pequeña comunidad de usuarios, mientras que el uso de Chrome se volverá dentro de poco imposible de evitar para quienes se dedican al desarrollo web, incluso en caso de usar Firefox u otro navegador Open Source basado en Chromium de forma predeterminada.

Pero aparte de la necesidad de usar cierto software privativo en Linux, la verdad es que Raspberry Pi Foundation pudo haber actuado de otra manera. Por ejemplo, podría haber puesto un mecanismo que facilitara configuración del repositorio en lugar de introducir el propio repositorio de manera predeterminada, así por lo menos se ahorraría las molestias ocasionadas a los usuarios que desconfían de Microsoft, pero se daría la posibilidad a aquellos que quieran obtener el editor de código del gigante de Redmond de forma fácil y rápida.

Los que quieran inhabilitar el repositorio de Visual Studio Code introducido en Raspberry Pi OS pueden seguir las instrucciones publicadas en Nixcraft, y como alternativa el mismo medio recomienda cambiar el sistema a Arch Linux, Ubuntu, openSUSE o algún miembro de la familia BSD. Por suerte esto es software libre y aquí se pueden cambiar las partes que no gustan.

Vía: Muy linux

12

Un nuevo vector de ataque distribuido de denegación de servicio (DDoS) ha atrapado a los sistemas Plex Media Server para amplificar el tráfico malicioso contra los objetivos para desconectarlos.

Citar
"Los procesos de inicio de Plex sin querer exponer a un respondedor registro del servicio UPnP Plex a Internet en general, donde se puede abusar para generar ataques DDoS reflexión / amplificación", los investigadores NetScout dijo en un alerta jueves.

Plex Media Server es una biblioteca de medios personal y un sistema de transmisión que se ejecuta en sistemas operativos modernos de Windows, macOS y Linux, así como variantes personalizadas para plataformas de propósito especial, como dispositivos de almacenamiento conectados a la red (NAS) y reproductores de medios digitales. La aplicación de escritorio organiza videos, audio y fotos de la biblioteca del usuario y de los servicios en línea, lo que permite acceder y transmitir el contenido a otros dispositivos compatibles.

Los ataques DDoS generalmente implican inundar un objetivo legítimo con tráfico de red basura que proviene de una gran cantidad de dispositivos que se han acorralado en una botnet, lo que causa de manera efectiva el agotamiento del ancho de banda y provoca importantes interrupciones del servicio.

Un ataque de amplificación DDoS ocurre cuando un atacante envía una serie de solicitudes especialmente diseñadas a un servidor de terceros que hace que el servidor responda con grandes respuestas a una víctima. Esto se hace falsificando la dirección IP de origen para que parezca que es la víctima en lugar del atacante, lo que genera un tráfico que sobrepasa los recursos de la víctima.

Por lo tanto, cuando los terceros responden a la solicitud del atacante, las respuestas se envían al servidor al que se dirige en lugar de al dispositivo atacante que envió la solicitud.

Ahora, según Netscout, los servicios de DDoS por alquiler están armando Plex Media Servers para reforzar su infraestructura de ataque, proporcionando un factor de amplificación promedio de aproximadamente 4,68.

Plex utiliza el Protocolo simple de descubrimiento de servicios (SSDP) para escanear otros dispositivos de medios y clientes de transmisión, pero esto da paso a un problema cuando la sonda localiza un enrutador de acceso a Internet de banda ancha habilitado para SSDP y, en el proceso, expone el registro del servicio Plex. respondedor directamente en Internet en el puerto UDP 32414.

Para empeorar las cosas, la firma de ciberseguridad dijo que identificó alrededor de 27,000 servidores abusivos en Internet hasta la fecha.

Citar
"El impacto colateral de los ataques de reflexión / amplificación PMSSDP es potencialmente significativo para los operadores de acceso a Internet de banda ancha cuyos clientes han expuesto inadvertidamente reflectores / amplificadores PMSSDP a Internet", dijeron los investigadores de Netscout, Roland Dobbins y Steinthor Bjarnason.

"Esto puede incluir la interrupción parcial o total del acceso a Internet de banda ancha del cliente final, así como una interrupción adicional del servicio debido al consumo de capacidad de enlace de acceso / distribución / agregación / núcleo / peering / tránsito".

Netscout recomienda a los operadores de red filtrar el tráfico dirigido hacia UDP / 32414 y deshabilitar SSDP en el equipo de acceso a Internet de banda ancha proporcionado por el operador para mitigar el ataque.

El desarrollo se produce después de que Netscout, a principios de este mes, informara que los servicios DDoS de alquiler están abusando de los servidores Windows Remote Desktop Protocol (RDP) como un vector DDoS de reflexión / amplificación.

Vía: The Hacker News

13

Cisco ha implementado soluciones para múltiples vulnerabilidades críticas en la interfaz de administración basada en web de los enrutadores de pequeñas empresas que podrían permitir que un atacante remoto no autenticado ejecute código arbitrario como usuario raíz en un dispositivo afectado.

Las fallas , rastreadas desde CVE-2021-1289 hasta CVE-2021-1295 (calificación CVSS 9.8), impactan en los routers VPN RV160, RV160W, RV260, RV260P y RV260W que ejecutan una versión de firmware anterior a la versión 1.0.01.02.

Junto con las tres vulnerabilidades antes mencionadas, también se han lanzado parches para dos fallas de escritura de archivos arbitrarias más (CVE-2021-1296 y CVE-2021-1297) que afectan al mismo conjunto de enrutadores VPN que podrían haber hecho posible que un adversario sobrescribiera archivos arbitrarios en el sistema vulnerable.

Los nueve problemas de seguridad fueron informados al fabricante de equipos de red por el investigador de seguridad Takeshi Shiomitsu, quien previamente descubrió fallas críticas similares en los enrutadores RV110W, RV130W y RV215W que podrían aprovecharse para ataques de ejecución remota de código (RCE).

Si bien los detalles exactos de las vulnerabilidades aún no están claros, Cisco dijo que las fallas:

- CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294 y CVE-2021-1295 son el resultado de una validación incorrecta de HTTP solicitudes, lo que permite a un atacante crear una solicitud HTTP especialmente diseñada para la interfaz de administración basada en web y lograr RCE.

- CVE-2021-1296 y CVE-2021-1297 se deben a una validación de entrada insuficiente, lo que permite a un atacante aprovechar estas fallas utilizando la interfaz de administración basada en web para cargar un archivo en una ubicación a la que no debería tener acceso.

Por otra parte, otro conjunto de cinco fallos (CVE-2021-1314 a CVE-2021-1318) en la interfaz de administración basada en web de los enrutadores RV016, RV042, RV042G, RV082, RV320 y RV325 de Small Business podrían haberle otorgado a un atacante la capacidad para inyectar comandos arbitrarios en los enrutadores que se ejecutan con privilegios de root.

Por último, Cisco también abordó 30 vulnerabilidades adicionales (CVE-2021-1319 a CVE-2021-1348), que afectan al mismo conjunto de productos, que podrían permitir a un atacante remoto autenticado ejecutar código arbitrario e incluso causar una denegación de servicio. condición.

"Para aprovechar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado", dijo Cisco en un aviso publicado el 3 de febrero.

A Kai Cheng, del Instituto de Ingeniería de la Información, que forma parte de la Academia de Ciencias de China, se le atribuye haber informado de las 35 fallas en la interfaz de administración del enrutador.

La compañía también señaló que no ha habido evidencia de intentos de explotación activos en la naturaleza para ninguno de estos defectos, ni existen soluciones que aborden las vulnerabilidades.

Vía: The Hacker News

14

Se han descubierto importantes vulnerabilidades en el módulo Wi-Fi Realtek RTL8195A que podrían haber sido explotadas para obtener acceso de root y tomar el control completo de las comunicaciones inalámbricas de un dispositivo.

Los seis defectos fueron informados por investigadores de la empresa de seguridad de IoT israelí Vdoo.

El módulo Realtek RTL8195A es un módulo de hardware Wi-Fi autónomo de bajo consumo de energía destinado a dispositivos integrados utilizados en varias industrias, como la agricultura, el hogar inteligente, la atención médica, los juegos y los sectores automotriz.

También hace uso de una API "Ameba", que permite a los desarrolladores comunicarse con el dispositivo a través de Wi-Fi, HTTP y MQTT , un protocolo de mensajería liviano para pequeños sensores y dispositivos móviles.

Aunque los problemas descubiertos por Vdoo se verificaron solo en RTL8195A, los investigadores dijeron que también se extienden a otros módulos, incluidos RTL8711AM, RTL8711AF y RTL8710AF.

Los defectos se refieren a una combinación de desbordamiento de pila y lecturas fuera de límites que se derivan del mecanismo de enlace de cuatro vías WPA2 del módulo Wi-Fi durante la autenticación.


La principal de ellas es una vulnerabilidad de desbordamiento de búfer (CVE-2020-9395) que permite a un atacante en la proximidad de un módulo RTL8195 hacerse cargo por completo del módulo, sin tener que conocer la contraseña de la red Wi-Fi (o clave previamente compartida). e independientemente de si el módulo actúa como punto de acceso (AP) Wi-Fi o cliente.

Se puede abusar de otras dos fallas para organizar una denegación de servicio, mientras que otro conjunto de tres debilidades, incluido CVE-2020-25854, podría permitir la explotación de dispositivos cliente Wi-Fi y ejecutar código arbitrario.

Por lo tanto, en uno de los posibles escenarios de ataque, un adversario con conocimiento previo de la frase de contraseña para la red WPA2 Wi-Fi a la que está conectado el dispositivo víctima puede crear un AP malicioso al rastrear el SSID de la red y la clave de tránsito por pares (PTK), se utiliza para cifrar el tráfico entre un cliente y el AP, y obligar al objetivo a conectarse al nuevo AP y ejecutar código malicioso.

Realtek, en respuesta, ha lanzado Ameba Arduino 2.0.8 con parches para las seis vulnerabilidades encontradas por Vdoo. Vale la pena señalar que las versiones de firmware lanzadas después del 21 de abril de 2020 ya vienen con las protecciones necesarias para frustrar tales ataques de adquisición.

"Un problema fue descubierto el Realtek RTL8195AM, dispositivos RTL8711AM, RTL8711AF y RTL8710AF antes de 2.0.6," la compañía dijo en un boletín de seguridad. "Existe un desbordamiento de búfer basado en la pila en el código del cliente que se encarga del protocolo de enlace de 4 vías de WPA2 a través de un paquete EAPOL-Key mal formado con un búfer de datos clave largo".

Vía: The Hacker News

15
Noticias Informáticas / CacheFlow la red de extensiones fraudulentas
« en: Febrero 04, 2021, 09:14:31 pm »

Han surgido nuevos detalles sobre una vasta red de extensiones fraudulentas para los navegadores Chrome y Edge que se descubrió que secuestraban los clics a los enlaces en las páginas de resultados de búsqueda a URL arbitrarias, incluidos los sitios de phishing y los anuncios.

Colectivamente llamadas " CacheFlow " por Avast, las 28 extensiones en cuestión - incluyendo Video Downloader para Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock - hicieron uso de un truco engañoso para enmascarar su verdadero propósito: Aprovechar el encabezado HTTP de Cache-Control como un canal encubierto para recuperar comandos de un servidor controlado por un atacante.

Google y Microsoft han retirado todos los complementos del navegador con puerta trasera a partir del 18 de diciembre de 2020 para evitar que más usuarios los descarguen de las tiendas oficiales.

Según los datos de telemetría recopilados por la firma, los tres principales países infectados fueron Brasil, Ucrania y Francia, seguidos de Argentina, España, Rusia y Estados Unidos.


La secuencia de CacheFlow comenzó cuando usuarios desprevenidos descargaron una de las extensiones en sus navegadores que, tras la instalación, enviaron solicitudes de análisis que se asemejan a Google Analytics a un servidor remoto, que luego transmitió un encabezado de Cache-Control especialmente diseñado que contiene comandos ocultos para buscar un carga útil de segunda etapa que funcionó como un descargador para la carga útil final de JavaScript.

Este malware de JavaScript acumuló fechas de nacimiento, direcciones de correo electrónico, geolocalización y actividad del dispositivo, con un enfoque específico en la recopilación de datos de Google.

"Para recuperar el cumpleaños, CacheFlow realizó una solicitud XHR a https://myaccount.google.com/birthday y analizó la fecha de nacimiento de la respuesta", observaron los investigadores de Avast, Jan Vojtěšek y Jan Rubín.

En el paso final, la carga útil inyectó otra pieza de JavaScript en cada pestaña, usándola para secuestrar los clics que conducen a sitios web legítimos, así como para modificar los resultados de búsqueda de Google, Bing o Yahoo para redirigir a la víctima a una URL diferente.

Eso no es todo. Las extensiones no solo evitaron infectar a los usuarios que probablemente fueran desarrolladores web, algo que se dedujo calculando una puntuación ponderada de las extensiones instaladas o verificando si accedían a sitios web alojados localmente (por ejemplo, .dev, .local o .localhost ) - también se configuraron para no mostrar ningún comportamiento sospechoso durante los primeros tres días posteriores a la instalación.


Avast dijo que los innumerables trucos empleados por los autores de malware para escapar de la detección pueden haber sido un factor crucial que le permitió ejecutar código malicioso en segundo plano e infectar sigilosamente a millones de víctimas, con evidencia que sugiere que la campaña puede haber estado activa desde al menos octubre. 2017.

"Por lo general, confiamos en que las extensiones instaladas desde las tiendas de navegadores oficiales son seguras", dijeron los investigadores. "Pero ese no es siempre el caso, como descubrimos recientemente".

"CacheFlow se destacó en particular por la forma en que las extensiones maliciosas tratarían de ocultar su comando y controlar el tráfico en un canal encubierto utilizando el encabezado HTTP Cache-Control de sus solicitudes de análisis. Creemos que esta es una técnica nueva".

Vía: The Hacker News

16

Google Project Zero reveló el jueves detalles de un nuevo mecanismo de seguridad que Apple agregó silenciosamente a iOS 14 como una contramedida para evitar ataques que recientemente se descubrió que aprovechan los días cero en su aplicación de mensajería.

Apodado " BlastDoor " , el sistema sandbox mejorado para los datos de iMessage fue revelado por Samuel Groß, un investigador de Google Project Zero encargado de estudiar las vulnerabilidades de día cero en sistemas de hardware y software.

"Uno de los cambios más importantes en iOS 14 es la introducción de un nuevo servicio 'BlastDoor' de espacio aislado que ahora es responsable de casi todo el análisis de datos que no son de confianza en iMessages", dijo Groß . "Además, este servicio está escrito en Swift, un lenguaje (en su mayoría) seguro para la memoria que dificulta mucho la introducción de vulnerabilidades clásicas de corrupción de memoria en la base del código".

El desarrollo es una consecuencia de un exploit de cero clic que aprovechó una falla de Apple iMessage en iOS 13.5.1 para evitar las protecciones de seguridad como parte de una campaña de ciberespionaje dirigida a los periodistas de Al Jazeera el año pasado.

"No creemos que [el exploit] funcione contra iOS 14 y superior, lo que incluye nuevas protecciones de seguridad", señalaron los investigadores de Citizen Lab que revelaron el ataque descrito el mes pasado.

BlastDoor forma el núcleo de esas nuevas protecciones de seguridad, según Groß, quien analizó los cambios implementados en el transcurso de un proyecto de ingeniería inversa de una semana utilizando un Mac Mini M1 con macOS 11.1 y un iPhone XS con iOS 14.3.

Cuando llega un iMessage entrante, el mensaje pasa a través de una serie de servicios, el principal de los cuales es el demonio del servicio de notificaciones push de Apple (apsd) y un proceso en segundo plano llamado imagent, que no solo es responsable de decodificar el contenido del mensaje sino también de descargar archivos adjuntos. (a través de un servicio separado llamado IMTransferAgent) y manejo de enlaces a sitios web, antes de alertar al SpringBoard para que muestre la notificación.


Lo que hace BlastDoor es inspeccionar todos los mensajes entrantes en un entorno seguro y aislado, lo que evita que cualquier código malicioso dentro de un mensaje interactúe con el resto del sistema operativo o acceda a los datos del usuario.

Dicho de otra manera, al mover la mayoría de las tareas de procesamiento, es decir, decodificar la lista de propiedades del mensaje y crear vistas previas de enlaces, de imagent a este nuevo componente BlastDoor, un mensaje especialmente diseñado enviado a un objetivo ya no puede interactuar con el sistema de archivos realizar operaciones de red.

"El perfil de la caja de arena es bastante estrecho", señaló Groß. "Sólo se puede acceder a un puñado de servicios IPC locales , se bloquea casi toda la interacción del sistema de archivos, se prohíbe cualquier interacción con los controladores IOKit y se niega el acceso a la red saliente".

Además, en un intento por retrasar los reinicios posteriores de un servicio que falla , Apple también ha introducido una nueva función de limitación en el proceso " launchd " de iOS para limitar la cantidad de intentos que un atacante hace cuando busca explotar una falla aumentando exponencialmente el tiempo. entre dos intentos sucesivos de fuerza bruta.

Citar
"Con este cambio, un exploit que se basaba en bloquear repetidamente el servicio atacado ahora probablemente requeriría del orden de varias horas a aproximadamente medio día para completarse en lugar de unos pocos minutos", dijo Groß.

"En general, estos cambios probablemente se acercan mucho a lo mejor que se podría haber hecho dada la necesidad de compatibilidad con versiones anteriores, y deberían tener un impacto significativo en la seguridad de iMessage y la plataforma en su conjunto".

Vía: The Hacker News

17

Los investigadores han revelado una nueva familia de malware de Android que abusa de los servicios de accesibilidad en el dispositivo para secuestrar las credenciales del usuario y grabar audio y video.

Apodado " Oscorp " por el CERT- AGID de Italia y detectado por AddressIntel , el malware "induce al usuario a instalar un servicio de accesibilidad con el que [los atacantes] pueden leer lo que está presente y lo que se escribe en la pantalla".

Llamado así por el título de la página de inicio de sesión de su servidor de comando y control (C2), el APK malicioso (llamado "Assistenzaclienti.apk" o "Protección del cliente") se distribuye a través de un dominio llamado "supportoapp [.] Com , "que tras la instalación, solicita permisos intrusivos para habilitar el servicio de accesibilidad y establece comunicaciones con un servidor C2 para recuperar comandos adicionales.

Además, el malware vuelve a abrir repetidamente la pantalla de Configuración cada ocho segundos hasta que el usuario activa los permisos para la accesibilidad y las estadísticas de uso del dispositivo, presionando así al usuario para que otorgue privilegios adicionales.

Una vez que se proporciona el acceso, el malware explota los permisos para registrar pulsaciones de teclas, desinstalar aplicaciones en el dispositivo, hacer llamadas, enviar mensajes SMS, robar criptomonedas redirigiendo los pagos realizados a través de la aplicación Blockchain.com Wallet y acceder a códigos de autenticación de dos factores de Google. Aplicación de autenticación.

La billetera controlada por el atacante tenía $ 584 al 9 de enero, dijeron los investigadores.


En el último paso, el malware filtra los datos capturados, junto con la información del sistema (por ejemplo, aplicaciones instaladas, modelo de teléfono, operador), al servidor C2, además de obtener comandos del servidor que le permiten iniciar la aplicación Google Authenticator. , robar mensajes SMS, desinstalar aplicaciones, iniciar URL específicas y grabar audio y video de la pantalla a través de WebRTC.

Además, a los usuarios que abren las aplicaciones objetivo del malware se les muestra una página de phishing que solicita su nombre de usuario y contraseña, señaló CERT, agregando que el estilo de esta pantalla varía de una aplicación a otra y que está diseñada con la intención de engañar a la víctima proporcionar la información.

El tipo exacto de aplicaciones señaladas por este malware sigue sin estar claro, pero los investigadores dijeron que podría ser cualquier aplicación que se ocupe de datos confidenciales, como los de banca y mensajería.

"Las protecciones de Android evitan que el malware cause algún tipo de daño hasta que el usuario habilite el servicio [de accesibilidad]", concluyó CERT-AGID. "Una vez habilitado, sin embargo, se abre una 'represa'. De hecho, Android siempre ha tenido una política muy permisiva hacia los desarrolladores de aplicaciones, dejando la decisión final de confiar o no en una aplicación al usuario final".

Vía: The Hacker News

18

Google Chrome ha iniciado el bloqueo de siete puertos TCP más para mejorar la seguridad. Concretamente el objetivo es proteger al usuario frente a la vulnerabilidad NAT Slipstreaming 2.0. El popular navegador se brinda así contra uno de los problemas más recientes que pueden comprometer la seguridad y privacidad al navegar por la red.

Chrome bloquea siete puertos más

El navegador de Google ha demostrado que se toma muy en serio la seguridad de los usuarios. Hemos visto en otras ocasiones cómo lanzan parches y mejoras para cubrir ciertas vulnerabilidades que puedan afectar. Hay que tener en cuenta que se trata del navegador más utilizado, por lo que cualquier fallo puede afectar a muchos usuarios.

Recientemente vimos un nuevo ataque denominado NAT Slipstreaming 2.0. Se trata de una nueva versión que puede comprometer redes internas. Básicamente consiste en atraer a un usuario para que visite un sitio web malicioso y de esta forma eludir las restricciones de puertos basadas en el navegador. Esto podría permitir a un atacante acceder remotamente a los servicios TCP/UDP en el equipo de la víctima a la que han atacado. Puede incluso saltar la protección de un firewall o NAT.

Esto ha provocado que desde Google Chrome se pongan manos a la obra para intentar reducir al máximo el impacto de esta nueva vulnerabilidad. Eso ha provocado que bloquee un total de siete puertos más de los que ya estaban bloqueados.

Ahora bloquea el acceso a través de HTTP, HTTPS y FTP a los puertos 69, 137, 161, 1719, 1720, 1723 y 6566 TCP. Desde Chrome indican que se sabe que estos puertos son inspeccionados por dispositivos NAT y pueden ser explotados.

Si un usuario intentara conectarse a un sitio web utilizando alguno de estos puertos, Google Chrome mostraría un mensaje que indica que no se puede acceder al sitio y muestra un error «ERR_UNSAFE_PORT».

Esto hace que una página web que esté alojada en alguno de esos puertos debería cambiarse a un puerto diferente. De esta forma se evitarían problemas y los usuarios podrían acceder con normalidad a ese sitio.


Otros navegadores también agregan mitigaciones

Hay que indicar que el caso de Google Chrome no es único. Otros navegadores importantes como son Mozilla Firefox, Edge o Safari también han incluido algunos cambios para intentar evitar este problema que podría comprometer la seguridad de los usuarios.

En el caso de Edge podría haber bloqueado los mismos puertos que Chrome. Se desconoce cuáles habrían bloqueado los otros dos navegadores. No obstante, en todos estos casos han buscado la manera de protegerse de la vulnerabilidad NAT Slipstreaming 2.0.

Como siempre decimos, es indispensable contar con las últimas versiones en todo momento. No solo hablamos del navegador, como es este caso que mencionamos, sino también del sistema operativo que estemos usando o de cualquier otro programa. Necesitamos contar en todo momento con los parches disponibles y estar protegidos de posibles vulnerabilidades que puedan ser explotadas por parte de piratas informáticos.


Vía: Bleepingcomputer

19

Los programas VPN son utilizados por los usuarios para cifrar la conexión, ocultar la dirección IP y también para poder acceder a contenido que pueda estar restringido geográficamente. Hay muchas opciones disponibles tanto para dispositivos móviles como para equipos de escritorio. En este artículo nos hacemos eco de una nueva amenaza que se esconde detrás de programas VPN, así como otros tipos de software.

Un nuevo malware se oculta detrás de la VPN

Se trata de DanaBot, una amenaza que han encontrado presente en determinados programas VPN gratuitos y también en software antivirus y otros programas que podemos encontrar gratis o pirateados en la red.

Ha sido un descubrimiento por parte de investigadores de Proofpoint. Han encontrado una nueva cepa del malware DanaBot. Se distribuye mediante claves de software pirateadas. Se engaña al usuario para que descargue software infectado disfrazado de programas antivirus, VPN gratuitas y juegos en línea.

Según este grupo de investigadores, principalmente se distribuye a través de sitios web que ofrece este tipo de programas gratuitos o pirateados. Este software que descargan los usuarios llevan oculto la amenaza DanaBot. Un problema importante, ya que precisamente las herramientas VPN sirven para mejorar la seguridad y hacer que las conexiones sean más fiables.

Hay que indicar que DanaBot no se trata de un malware nuevo, ya que fue descubierto por primera vez en 2019. Sí estamos ante una nueva cepa de esta amenaza que puede poner en riesgo la seguridad de los usuarios. En los últimos años, además, ha evolucionado y se ha convertido en uno de los troyanos bancarios más importantes.

El pasado mes de octubre fue actualizado a una nueva versión con el objetivo de llegar a más víctimas. Se espera que en los próximos meses sea utilizado en numerosas campañas de ataques Phishing para robar contraseñas y credenciales.

Una de las novedades de esta nueva versión es que puede pasar desapercibido por las herramientas de seguridad. Podría permanecer en la sombra sin ser detectado. Incluso han perfeccionado las técnicas para robar criptomonedas, algo que ha vuelto a estar en auge en los últimos tiempos.


Cómo se propaga DanaBot

La manera en la que puede infectar DanaBot a los usuarios no dista mucho de otras amenazas similares. Es necesario que la víctima descargue y ejecute un archivo, que sería en este caso la clave del software que están instalando. Posteriormente el malware carga dos componentes en el dispositivo infectado.

Uno de esos componentes se encarga de recopilar información del sistema, datos del navegador o posibles carteras de criptomonedas que encuentre. El segundo lo que hace es instalar un minero de criptomonedas y tiene capacidad para robar credenciales bancarias.

Qué hacer para protegernos

Es muy importante evitar ser víctimas de este tipo de amenazas. Hemos visto que llega a través de la descarga de software gratuito o pirateado. Debemos siempre evitar acceder a sitios de terceros que no son fiables y que pueden ser un problema que comprometa nuestra privacidad. Podéis ver un artículo donde hablamos de cómo ver si la VPN funciona bien.

Además, siempre es aconsejable contar con programas de seguridad. Un buen antivirus puede detectar este tipo de problemas y prevenir la entrada de amenazas como la de DanaBot. No importa el sistema operativo que usemos, siempre debemos tener alguno instalado.

Por otra parte, es igualmente importante tener los sistemas y programas actualizados. A veces surgen vulnerabilidades que pueden ser aprovechadas por los piratas informáticos para desplegar sus ataques. Necesitamos corregir los fallos que puedan surgir.

Vía:  HackRead

20

Se dio a conocer una nueva variante del ataque NAT slipstreaming, que permite establecer una conexión de red desde el servidor del atacante a cualquier puerto UDP o TCP del sistema del usuario que abrió la página web preparada por el atacante en el navegador.

El ataque permite al atacante enviar cualquier dato a cualquier puerto de usuario, independientemente del uso del rango de direcciones internas de la víctima en el sistema de la víctima, el acceso a la red desde la cual se cierra directamente y es posible solo a través de un traductor de direcciones.


El principio de funcionamiento de la nueva variante de NAT slipstreaming attack (CVE-2021-23961, CVE-2020-16043) es idéntico al método original, las diferencias se reducen al uso de otros protocolos, que son procesados ​​por la ALG (Application Level Gateways).

En la primera variante del ataque, para engañar a la ALG, se utilizó la manipulación del protocolo SIP, que utiliza varios puertos de red (uno para datos y otro para control). La segunda opción permite manipulaciones similares con el protocolo VoIP H.323, que usa el puerto TCP 1720.

Además, la segunda versión propone una técnica para eludir la lista negra de puertos que son inaceptables para su uso con el protocolo TURN (Traversal Using Relays around NAT), que se utiliza en WebRTC para comunicarse entre dos hosts detrás de diferentes NAT.

Las conexiones TURN en WebRTC pueden establecerse mediante navegadores no solo para UDP, sino también a través de TCP y dirigirse a cualquier puerto TCP de red.

Esta característica permite aplicar el ataque de NAT slipstreaming no solo a H.323, sino también a cualquier otro protocolo combinado, como FTP e IRC, que están incluidos en la lista de puertos a los que no se les permite acceder a través de HTTP, pero no están incluidos en la lista de puertos prohibidos para TURN.

El método también permite eludir la protección agregada a los navegadores contra el primer ataque de NAT slipstreaming, basado en denegar las solicitudes HTTP al puerto 5060 (SIP).

El problema ya se ha solucionado en versiones recientes de Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 y Safari 14.0.3.

Además de los puertos de red asociados con el protocolo H.323, los navegadores también están bloqueados para que no envíen solicitudes HTTP, HTTPS y FTP a los puertos TCP 69, 137, 161 y 6566.

En el kernel de Linux, la funcionalidad del módulo conntrack ALG en netfilter es desactivado por defecto desde la versión 4.14, es decir De forma predeterminada, los traductores de direcciones basados ​​en nuevos kernels de Linux no se ven afectados por el problema.

Por ejemplo, OpenWRT no se ve afectado por el problema incluso al instalar paquetes con módulos ALG. Al mismo tiempo, la vulnerabilidad se manifiesta en la distribución VyOS, que usa el kernel de Linux 4.14, pero el indicador nf_conntrack_helper está explícitamente habilitado, lo que activa ALG para FTP y H.323.

El problema también afecta a muchos enrutadores de consumo que se envían con kernels de Linux más antiguos o que cambian la configuración de ALG. La capacidad de ataque también se ha confirmado para firewalls empresariales y traductores de direcciones basados ​​en hardware Fortinet (FG64, 60E), Cisco (csr1000, ASA) y HPE (vsr1000).


El ataque consta de tres etapas:

-    En la primera etapa, el atacante obtiene información sobre la dirección interna del usuario, que se puede determinar mediante WebRTC o, si WebRTC está deshabilitado, mediante ataques de fuerza bruta con la medición del tiempo de respuesta al solicitar una imagen oculta.

-    En la segunda etapa, se determinan los parámetros de fragmentación de paquetes, para lo cual el código JavaScript ejecutado en el navegador de la víctima genera una solicitud HTTP POST grande (que no cabe en un paquete) al servidor del atacante, utilizando un puerto de red no estándar number para iniciar la configuración de los parámetros de segmentación de TCP y el tamaño de MTU en la pila de la víctima de TCP.

-    En la tercera etapa, el código JavaScript genera y envía una solicitud HTTP especialmente seleccionada (o TURN para UDP) al puerto TCP 1720 (H.323) del servidor atacante, que, después de la fragmentación, se dividirá en dos paquetes: el primero incluye Encabezados HTTP y una parte de los datos, y el segundo forma un paquete H.323 válido, que contiene la IP interna de la víctima.

Como recordatorio, para llevar a cabo un ataque de NAT slipstreaming, es suficiente que la víctima lance el código JavaScript preparado por el atacante, por ejemplo, abriendo una página en el sitio web del atacante o viendo un inserto de anuncio malicioso en un sitio web legítimo.


Vía: Linuxadictos

Páginas: [1] 2 3 ... 75