Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - AXCESS

#1
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad han descubierto que es posible que los actores de amenazas exploten una utilidad conocida llamada comando-not-found para recomendar sus propios paquetes maliciosos y comprometer sistemas que ejecutan el sistema operativo Ubuntu.

"Si bien 'command-not-found' sirve como una herramienta conveniente para sugerir instalaciones para comandos desinstalados, los atacantes pueden manipularlo inadvertidamente a través del repositorio instantáneo, lo que lleva a recomendaciones engañosas de paquetes maliciosos", dijo la firma de seguridad en la nube Aqua en un informe.

Instalado de forma predeterminada en sistemas Ubuntu, comando-not-found sugiere paquetes para instalar en sesiones bash interactivas cuando se intenta ejecutar comandos que no están disponibles. Las sugerencias incluyen tanto la herramienta de embalaje avanzada (APT) como los paquetes instantáneos.

Cuando la herramienta utiliza una base de datos interna ("/var/lib/command-not-found/commands.db") para sugerir paquetes APT, se basa en el comando "advise-snap" para sugerir instantáneas que proporcionen el comando dado.

Por lo tanto, si un atacante pudiera jugar con este sistema y su paquete malicioso fuera recomendado por 'command-not-found', podría allanar el camino para ataques a la cadena de suministro de software.

Aqua dijo que encontró una posible laguna jurídica en la que el actor de amenazas puede explotar el mecanismo de alias para registrar potencialmente el nombre instantáneo correspondiente asociado con un alias y engañar a los usuarios para que instalen el paquete malicioso.

Es más, un atacante podría reclamar el nombre del complemento relacionado con un paquete APT y cargar un complemento malicioso, que luego termina siendo sugerido cuando un usuario escribe el comando en su terminal.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Los mantenedores del paquete APT 'jupyter-notebook' no habían reclamado el nombre correspondiente", dijo Aqua. "Este descuido dejó una ventana de oportunidad para que un atacante lo reclamara y cargara un complemento malicioso llamado 'jupyter-notebook'".

Para empeorar las cosas, la utilidad 'command-not-found'sugiere el paquete snap encima del paquete APT legítimo para jupyter-notebook, engañando a los usuarios para que instalen el paquete snap falso.

Hasta el 26% de los comandos del paquete APT son vulnerables a la suplantación por parte de actores maliciosos, señaló Aqua, lo que presenta un riesgo de seguridad sustancial, ya que podrían registrarse en la cuenta de un atacante.

Una tercera categoría implica ataques tipográficos en los que los errores tipográficos cometidos por los usuarios (por ejemplo, ifconfigg en lugar de ifconfig) se aprovechan para sugerir paquetes instantáneos falsos al registrar un paquete fraudulento con el nombre "ifconfigg".

En tal caso, 'command-not-found' "lo relacionaría por error con este comando incorrecto y recomendaría el complemento malicioso, evitando por completo la sugerencia de 'herramientas de red'", explicaron los investigadores de Aqua.

Al describir el abuso de la utilidad 'command-not-found'para recomendar paquetes falsificados como una preocupación apremiante, la compañía insta a los usuarios a verificar el origen de un paquete antes de la instalación y verificar la credibilidad de sus mantenedores.

También se ha recomendado a los desarrolladores de APT y paquetes snap que registren el nombre del snap asociado a sus comandos para evitar un mal uso.

"Sigue siendo incierto hasta qué punto se han explotado estas capacidades, lo que subraya la urgencia de una mayor vigilancia y estrategias de defensa proactivas", dijo Aqua.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red.

Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, interacciones/reuniones sociales y más. Ofrece pantalla compartida, grabación de reuniones, fondos personalizados, chat durante la reunión y varias funciones centradas en la productividad.

La popularidad del software aumentó durante la pandemia de COVID-19, cuando muchas organizaciones recurrieron a soluciones remotas para mantener las operaciones y la continuidad del negocio. En abril de 2020, alcanzó un máximo de 300 millones de participantes en reuniones diarias.

La falla recientemente revelada se rastrea como CVE-2024-24691 y fue descubierta por el equipo de seguridad ofensivo de Zoom, recibiendo una puntuación CVSS v3.1 de 9,6, calificándola de "crítica".

La vulnerabilidad afecta a las siguientes versiones del producto:

     Cliente de escritorio Zoom para Windows anterior a la versión 5.16.5

     Cliente Zoom VDI para Windows anterior a la versión 5.16.10 (excepto 5.14.14 y 5.15.12)

     Cliente de Zoom Rooms para Windows anterior a la versión 5.17.0

     SDK de Zoom Meeting para Windows anterior a la versión 5.16.5

La breve descripción de la falla no especifica cómo podría explotarse ni cuáles podrían ser las repercusiones, pero el vector CVSS indica que requiere cierta interacción del usuario.

Esto podría implicar hacer clic en un enlace, abrir un archivo adjunto a un mensaje o realizar alguna otra acción que el atacante podría aprovechar para explotar CVE-2024-24691.

Para la mayoría de las personas, Zoom debería solicitar automáticamente a los usuarios que actualicen a la última versión. Sin embargo, puede descargar e instalar manualmente la última versión del cliente de escritorio para Windows, versión 5.17.7, desde aquí.

Además de la falla de validación de entrada incorrecta, la última versión de Zoom también aborda las siguientes seis vulnerabilidades:

     CVE-2024-24697: Un problema de alta gravedad en los clientes Zoom de Windows de 32 bits permite la escalada de privilegios a través del acceso local al explotar una ruta de búsqueda que no es de confianza.

     CVE-2024-24696: Una vulnerabilidad de chat durante una reunión en clientes Zoom Windows causada por una validación de entrada incorrecta permite la divulgación de información a través de la red.

     CVE-2024-24695: similar a CVE-2024-24696, la validación de entrada incorrecta en clientes Zoom Windows permite la divulgación de información a través de la red.

     CVE-2024-24699: Un error de lógica empresarial en la función de chat durante la reunión de Zoom puede provocar la divulgación de información a través de la red.

     CVE-2024-24690: La vulnerabilidad en algunos clientes de Zoom causada por una validación de entrada incorrecta puede desencadenar una denegación de servicio en la red.

     CVE-2024-24698: Una falla de autenticación incorrecta en algunos clientes de Zoom permite la divulgación de información a través del acceso local por parte de usuarios privilegiados.

Los usuarios de Zoom deben aplicar la actualización de seguridad lo antes posible para mitigar la probabilidad de que actores externos eleven sus privilegios a un nivel que les permita robar datos confidenciales, interrumpir o espiar reuniones e instalar puertas traseras.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#3
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft actualizó hoy un aviso de seguridad para advertir que un error crítico de Outlook fue explotado en ataques de día cero antes de ser solucionado durante el martes de parches de este mes.

Descubierta por el investigador de vulnerabilidades de Check Point, Haifei Li, y rastreada como CVE-2024-21413, esta vulnerabilidad conduce a la ejecución remota de código (RCE) al abrir correos electrónicos con enlaces maliciosos utilizando una versión vulnerable de Microsoft Outlook.

Esto sucede porque la falla también permite a los atacantes eludir la Vista protegida (diseñada para bloquear contenido dañino incrustado en archivos de Office abriéndolos en modo de solo lectura) y abrir archivos de Office maliciosos en modo de edición.

Redmond también advirtió que el Panel de vista previa es un vector de ataque para esta falla de seguridad, lo que permite una explotación exitosa incluso al obtener una vista previa de documentos de Office creados con fines malintencionados.

Los atacantes no autenticados pueden explotar CVE-2024-21413 de forma remota en ataques de baja complejidad que no requieren la interacción del usuario.

"Un atacante que explotara con éxito esta vulnerabilidad podría obtener altos privilegios, que incluyen funciones de lectura, escritura y eliminación", explica Microsoft.

"Un atacante podría crear un enlace malicioso que eluda el Protocolo de Vista Protegida, lo que conduce a la filtración de información de credenciales NTLM locales y la ejecución remota de código (RCE)".

CVE-2024-21413 afecta a varios productos de Office, incluidos Microsoft Office LTSC 2021 y Microsoft 365 Apps for Enterprise, así como Microsoft Outlook 2016 y Microsoft Office 2019 (bajo soporte extendido).

Signo de exclamación para evitar las protecciones de Outlook

Como lo explica Check Point en un informe publicado, la vulnerabilidad que denominaron Moniker Link permite a los atacantes eludir las protecciones integradas de Outlook para enlaces maliciosos incrustados en correos electrónicos utilizando el protocolo file:// y agregando un signo de exclamación a las URL que apuntan a los servidores controlados por el atacante.

El signo de exclamación se agrega justo después de la extensión del documento, junto con texto aleatorio (en su ejemplo, Check Point usó "algo"), como se muestra a continuación:

*<a href="No tienes permitido ver los links. Registrarse o Entrar a mi cuenta!algo">HAGA CLIC EN MÍ</a>*

Este tipo de hipervínculo evita las restricciones de seguridad de Outlook, y Outlook accederá al recurso remoto "\\10.10.111.111\test\test.rtf" cuando se haga clic en el enlace sin generar advertencias ni errores.

La falla se introdujo debido a la API no segura MkParseDisplayName, por lo que la vulnerabilidad también puede afectar a otro software que la utilice.

El impacto de los ataques que explotan con éxito CVE-2024-21413 incluye el robo de información de credenciales NTLM, la ejecución de código arbitrario a través de documentos de Office creados con fines malintencionados,

"Hemos confirmado este vector de error/ataque #MonikerLink en los últimos entornos Windows 10/11 + Microsoft 365 (Office 2021)", dijo Check Point.

"Es probable que otras ediciones/versiones de Office también se vean afectadas. De hecho, creemos que este es un problema pasado por alto que existió en el ecosistema Windows/COM durante décadas, ya que se encuentra en el núcleo de las API COM. Recomendamos encarecidamente a todos los usuarios de Outlook aplique el parche oficial lo antes posible."

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#4
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En este martes de parches de febrero de 2024 de Microsoft, se incluyen actualizaciones de seguridad para 73 fallas y dos días cero explotados activamente.

Se corrigen cinco vulnerabilidades críticas, incluidas las vulnerabilidades de denegación de servicio, ejecución remota de código, divulgación de información y elevación de privilegios.

La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:

     16 vulnerabilidades de elevación de privilegios

     3 vulnerabilidades de omisión de funciones de seguridad

     30 vulnerabilidades de ejecución remota de código

     5 vulnerabilidades de divulgación de información

     9 vulnerabilidades de denegación de servicio

     10 vulnerabilidades de suplantación de identidad

El recuento total de 73 fallas no incluye 6 fallas de Microsoft Edge corregidas el 8 de febrero y 1 falla de Mariner.

Dos días cero arreglados


El Patch Tuesday de este mes corrige dos vulnerabilidades de día cero explotadas activamente, que Microsoft clasifica como una falla que se divulga públicamente o se explota activamente sin una solución oficial disponible.

Las dos vulnerabilidades de día cero explotadas activamente en las actualizaciones de hoy son:

CVE-2024-21351: Vulnerabilidad de omisión de la función de seguridad SmartScreen de Windows

Microsoft ha solucionado una vulnerabilidad de Windows SmartScreen explotada activamente que permite a los atacantes eludir los controles de seguridad de SmartScreen.

"Un atacante autorizado debe enviar al usuario un archivo malicioso y convencerlo de que lo abra", explica Microsoft.

"Un atacante que explotara con éxito esta vulnerabilidad podría eludir la experiencia del usuario de SmartScreen", continuó Microsoft.

No se sabe cómo se abusó de la falla en los ataques o por qué actor de amenaza.

La falla fue descubierta por Eric Lawrence de Microsoft.

CVE-2024-21412: Vulnerabilidad de omisión de función de seguridad de archivos de acceso directo a Internet

Microsoft ha solucionado una falla de archivo de acceso directo a Internet explotada activamente que podría eludir las advertencias de Marca de la Web (MoTW) en Windows.

"Un atacante no autenticado podría enviar al usuario objetivo un archivo especialmente diseñado para eludir las comprobaciones de seguridad mostradas", explica Microsoft.

"Sin embargo, el atacante no tendría forma de obligar a un usuario a ver el contenido controlado por el atacante. En cambio, el atacante tendría que convencerlo de que tome medidas haciendo clic en el enlace del archivo".

Peter Girnus (gothburz) de la Iniciativa Día Cero de Trend Micro, quien descubrió la falla, publicó hoy un informe sobre cómo fue explotada activamente por el grupo APT DarkCasino (Water Hydra) en una campaña dirigida a los operadores financieros.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft dice que otros investigadores descubrieron la falla de forma independiente, incluido dwbzn de Aura Information Security y Dima Lenz y Vlad Stolyarov del Threat Analysis Group de Google.

Microsoft no ha proporcionado detalles sobre cómo se aprovechó la falla CVE-2024-21351 en los ataques.

Actualizaciones recientes de otras empresas

Otros proveedores que publicaron actualizaciones o avisos en febrero de 2024 incluyen:

     Adobe ha lanzado actualizaciones de seguridad para Commerce, Substance 3D Painter, Acrobat y Reader, y más.

     Cisco lanzó actualizaciones de seguridad para múltiples productos.

     ExpressVPN lanzó una nueva versión para eliminar la función de túnel dividido después de que filtró consultas de DNS.

     Fortinet lanzó actualizaciones de seguridad para un nuevo FortiOS SSL VPN RCE, que se explota en ataques, y dos fallas de RCE en FortiSIEM.

     Google lanzó las actualizaciones de seguridad de Android de febrero de 2024.

     Ivanti lanzó actualizaciones de seguridad para una nueva falla de omisión de autenticación de Connect Secure.

     JetBrains lanzó actualizaciones de seguridad para una nueva vulnerabilidad crítica de omisión de autenticación en TeamCity On-Premises.

     Las distribuciones de Linux lanzan parches para la nueva falla de ejecución del código del gestor de arranque Shim.

     Mastodon lanzó una actualización de seguridad para corregir una vulnerabilidad que permite a los atacantes apoderarse de cualquier cuenta remota.

     SAP ha publicado sus actualizaciones del día del parche de febrero de 2024.

Actualizaciones de seguridad del martes de parches de febrero de 2024

A continuación, se muestra la lista completa de vulnerabilidades resueltas en las actualizaciones del martes de parches de febrero de 2024.

Para acceder a la descripción completa de cada vulnerabilidad y los sistemas a los que afecta, puedes ver el informe completo:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#5
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft lanzó la actualización acumulativa KB5034765 para las versiones 23H2 y 22H2 de Windows para corregir varios errores en el sistema operativo, incluido un problema que causa la mal función con el Menú Inicio.

Como esta actualización contiene las actualizaciones de seguridad del martes de parches de febrero de 2024 de Microsoft, KB5034765 es obligatorio para todos los usuarios de Windows 11 a menos que retrase su instalación.

Novedades de la actualización KB5034765 de Windows 11


Después de instalar la actualización KB5034765, Windows 11 23H2 tendrá un número de compilación 22631.3155 y Windows 11 22H2 tendrá la compilación 22621.3155.

Entonces, ¿qué se soluciona en el parche?

Según las notas de la versión, el ícono Copilot en Windows ahora aparecerá en el lado derecho de la bandeja del sistema en la barra de tareas.

Microsoft también advierte que ya no muestran Mostrar escritorio en la esquina derecha de la barra de tareas de Windows 11 de forma predeterminada, lo que puede molestar a algunos usuarios. La buena noticia es que puedes volver a activarlo yendo a Configuración.

Microsoft también solucionó un punto muerto que provocaba que la función de búsqueda en el menú Inicio no funcionara correctamente para algunos usuarios, lo cual se ha resuelto.

Además, la actualización hace que el sistema sea más estable, especialmente después de instalar aplicaciones de soporte de impresión, lo que reduce las posibilidades de que el dispositivo deje de responder.

De manera similar, se han resuelto los problemas que impiden que el Instrumental de Administración de Windows (WMI) funcione en ciertos escenarios con proveedores de Administración de Dispositivos Móviles (MDM), como Microsoft Intune.

La actualización también soluciona problemas relacionados con la configuración de cifrado de solo datos de BitLocker a través de servicios MDM.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#6
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

ExpressVPN eliminó la función de túnel dividido de la última versión de su software después de descubrir que un error exponía los dominios que los usuarios visitaban a servidores DNS configurados.

El error se introdujo en las versiones 12.23.1 – 12.72.0 de ExpressVPN para Windows, publicadas entre el 19 de mayo de 2022 y el 7 de febrero de 2024, y solo afectó a aquellos que usaban la función de túnel dividido.

La función de túnel dividido permite a los usuarios enrutar selectivamente parte del tráfico de Internet dentro y fuera del túnel VPN, brindando flexibilidad a quienes necesitan acceso local y acceso remoto seguro simultáneamente.

Un error en esta característica provocó que las solicitudes DNS de los usuarios no se dirigieran a la infraestructura de ExpressVPN, como deberían, sino al proveedor de servicios de Internet (ISP) del usuario.

Por lo general, todas las solicitudes de DNS se realizan a través del servidor DNS sin registros de ExpressVPN para evitar que los ISP y otras organizaciones rastreen los dominios que visita un usuario.

Sin embargo, este error provocó que algunas consultas DNS se enviaran al servidor DNS configurado en la computadora, generalmente un servidor en el ISP del usuario, lo que permite al servidor rastrear los hábitos de navegación del usuario.

Tener una fuga de solicitud de DNS como la revelada por ExpressVPN significa que los usuarios de Windows con túnel dividido activo potencialmente exponen su historial de navegación a terceros, rompiendo una promesa central de los productos VPN.

"Cuando un usuario se conecta a ExpressVPN, se supone que sus solicitudes de DNS se envían a un servidor ExpressVPN", explica el anuncio del proveedor.

"Pero el error permitió que algunas de esas solicitudes fueran a un servidor de terceros, que en la mayoría de los casos sería el proveedor de servicios de Internet o ISP del usuario".

"Esto permite al ISP ver qué dominios está visitando ese usuario, como No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, aunque el ISP todavía no puede ver ninguna página web, búsqueda u otro comportamiento en línea individual".

"Todo el contenido del tráfico en línea del usuario permanece cifrado y no puede ser visto por el ISP ni por ningún otro tercero".

El problema fue descubierto e informado al proveedor por Attila Tomaschek de CNET y solo ocurre cuando el modo de túnel dividido está activo.

ExpressVPN dice que el problema solo afectó aproximadamente al 1% de sus usuarios de Windows, y la compañía solo pudo replicar el error en el modo de túnel dividido "Solo permitir que aplicaciones seleccionadas usen la VPN".

Los usuarios de las versiones 12.23.1 a 12.72.0 de ExpressVPN en Windows deben actualizar su cliente a la última versión, 12.73.0.

La última versión elimina la función de túnel dividido. Sin embargo, ExpressVPN dice que lo reintroducirán en una versión futura cuando se solucione el error.

Si la actualización es imposible, deshabilitar el túnel dividido debería ser suficiente para evitar fugas de solicitudes de DNS, ya que el error no se pudo replicar en ningún otro modo.

Si es absolutamente necesario utilizar un túnel dividido, ExpressVPN recomienda descargar y utilizar la versión 10, que no se ve afectada por el error.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#7
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fortinet ha emitido una advertencia sobre una nueva vulnerabilidad crítica de ejecución remota de código en su VPN SSL FortiOS, que probablemente esté siendo explotada en ataques cibernéticos. La vulnerabilidad, conocida como CVE-2024-21762, tiene una clasificación de gravedad de 9,6. Es una vulnerabilidad de escritura fuera de límites que permite a atacantes no autenticados ejecutar código remoto a través de solicitudes maliciosas.

Para solucionar este problema, Fortinet ha recomendado a los usuarios que actualicen a la última versión de su software según la tabla proporcionada. Para aquellos que no pueden aplicar estos parches, Fortinet sugiere deshabilitar la VPN SSL en sus dispositivos FortiOS como estrategia de mitigación.

El aviso de Fortinet no proporciona ninguna información sobre los métodos de explotación de la vulnerabilidad o la identidad del individuo o grupo que la descubrió.

Además de CVE-2024-21762, hoy se revelaron otras vulnerabilidades, incluidas CVE-2024-23113 (calificada como Crítica/9.8 ), CVE-2023-44487 (calificada como Media) y CVE-2023-47537 (también calificada como Media). Sin embargo, estas vulnerabilidades no se han marcado como explotadas en la naturaleza.

Las vulnerabilidades de Fortinet suelen ser el objetivo de actores de amenazas que intentan infiltrarse en las redes corporativas para realizar ataques de ransomware y ciberespionaje.

Recientemente, Fortinet reveló que el grupo de amenazas patrocinado por el estado chino conocido como Volt Typhoon apuntó a las vulnerabilidades de FortiOS para implementar un malware personalizado llamado COATHANGER. Este troyano de acceso remoto (RAT) personalizado está diseñado para infectar dispositivos de seguridad de red Fortigate y recientemente estuvo implicado en ataques al Ministerio de Defensa holandés.

Dada la alta gravedad de la vulnerabilidad CVE-2024-21762 recientemente revelada y su potencial de explotación en ataques, se recomienda encarecidamente actualizar los dispositivos lo antes posible.

Fuente:
Vulnera
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#8
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

BOSTON, 9 feb (Reuters) - Las autoridades estadounidenses dijeron el viernes que habían confiscado sitios web utilizados para vender a los ciberdelincuentes el malware llamado "Warzone RAT" que podría usarse para robar datos de las computadoras de las víctimas.

Dos personas en Malta y Nigeria han sido arrestadas por cargos relacionados, agregaron.

Los fiscales federales en Boston dijeron que las fuerzas del orden habían eliminado cuatro dominios que en conjunto ofrecían vender malware, lo que permitía a los ciberdelincuentes conectarse secretamente a las computadoras de las personas con fines maliciosos.

El malware, un llamado troyano de acceso remoto, permitía a los piratas informáticos explorar sistemas de archivos, tomar capturas de pantalla, obtener los nombres de usuario y contraseñas de la víctima, registrar las pulsaciones de teclas y observar a los usuarios de computadoras a través de sus cámaras web, dijeron los fiscales.

Jodi Cohen, jefa de la oficina de Boston de la Oficina Federal de Investigaciones, lo llamó malware sofisticado que se utilizaba para infectar computadoras en todo el mundo.

Dos personas en el extranjero están ahora detenidas y han sido acusadas en Estados Unidos por su presunta participación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una acusación formal en un tribunal federal de Atlanta acusó a Daniel Meli, de 27 años, de Zabbar, Malta, de causar daños no autorizados a computadoras protegidas y otros delitos relacionados con la cibernética.

Los fiscales dijeron que desde 2012 había vendido productos de malware como Warzone RAT a través de foros de piratería informática en línea y había ofrecido a la venta herramientas de enseñanza, incluido un libro electrónico. El gobierno de Estados Unidos busca su extradición.

El príncipe Onyeoziri Odinakachi, de 31 años, de Nigeria, fue acusado en una acusación presentada en Boston de conspiración para cometer múltiples delitos de intrusión informática, dijeron los fiscales.

La acusación alega que, desde junio de 2019 hasta marzo de 2023, Odinakachi brindó atención al cliente en línea a los usuarios del malware Warzone RAT.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#9
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Meta eliminó las cuentas de Facebook e Instagram del líder supremo de Irán, el ayatolá Ali Jamenei.

Las cuentas de Facebook e Instagram de Jamenei ya no están disponibles. Según Meta, las cuentas han sido deshabilitadas, lo que significa que se eliminaron permanentemente.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Hemos eliminado estas cuentas por violar repetidamente nuestra política de Organizaciones e Individuos Peligrosos", dijo un portavoz de Meta a CNN.

La política no permite que organizaciones o individuos que proclamen una misión violenta o estén involucrados en violencia tengan presencia en Meta. Esto incluye a quienes glorifican, apoyan o representan a organizaciones terroristas designadas por el gobierno de Estados Unidos.

Irán ha sido acusado durante mucho tiempo de armar a Hamás, designado por el Departamento de Estado de Estados Unidos como Organización Terrorista Extranjera (FTO). En 2021, el Departamento de Estado de Estados Unidos dijo que el grupo recibe financiación, armas y entrenamiento de Irán. También se cree que Irán armó y entrenó a los hutíes en Yemen, que fueron redesignados como FTO por el presidente Biden el mes pasado.

"Hubo una enorme presión sobre Meta para que pusiera fin a la promoción por parte de Jamenei de estas organizaciones catalogadas como organizaciones e individuos peligrosos desde el 7 de octubre", dijo Mahsa Alimardani, investigadora de derechos digitales en Article 19, una ONG de derechos humanos.

"Es una pena que no lo hayan eliminado antes por contenido dañino contra su propia gente", añadió.

Meta no dio una razón específica de por qué la cuenta de Jamenei estaba incluida en la Política de Organizaciones e Individuos Peligrosos.

La cuenta principal de Instagram de Jamenei tenía más de 5 millones de seguidores antes de su eliminación.

Esta semana, Microsoft reveló que "actores alineados con el gobierno" iraníes lanzaron una serie de ciberataques desde octubre de 2023, "con la intención de ayudar a la causa de Hamás y debilitar a Israel y sus aliados políticos y socios comerciales".

Teherán ha negado oficialmente cualquier implicación en el ataque de Hamas del 7 de octubre contra Israel.

"Muchas de las operaciones inmediatas de Irán después del 7 de octubre fueron apresuradas y caóticas -lo que indica que tenía poca o ninguna coordinación con Hamás- pero, aun así, ha logrado un éxito creciente", dijo Microsoft en una entrada de blog el martes.

Solo en octubre de 2023 hubo 11 operaciones iraníes de influencia cibernética, en comparación con una operación cada dos meses en 2021.

A principios de diciembre de 2023, piratas informáticos alineados con Irán interrumpieron algunos servicios de transmisión de televisión en los Emiratos Árabes Unidos, Canadá y el Reino Unido, y los reemplazaron con un video de noticias deepfake en el que aparecía un presentador de noticias aparentemente generado por IA que afirmaba mostrar imágenes de palestinos heridos y asesinados. de las operaciones militares israelíes.

"Esperamos que la amenaza planteada por las operaciones cibernéticas y de influencia de Irán crezca a medida que persista el conflicto", dice el informe de Microsoft Threat Intelligence.

"El mayor descaro de los actores iraníes y afiliados a Irán, junto con la creciente colaboración entre ellos, presagia una amenaza creciente antes de las elecciones estadounidenses de noviembre", dijo Microsoft.

Fuente:
CNN
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#10
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La Administración de Información Energética de EE. UU. (EIA) ahora exige que las operaciones comerciales de minería de criptomonedas a gran escala informen su consumo de energía. Esta iniciativa es parte de un esfuerzo mayor para regular y penalizar la minería de criptomonedas debido a la exorbitante cantidad de energía que la industria consume anualmente.

Por ahora, la EIA sólo está recopilando datos, pero estos nuevos datos deberían dar lugar a nuevas regulaciones que penalizarán a los mineros en el futuro. Esto se produce cuando la compañía publicó un estudio (reportado por primera vez por Inside Climate News) que sugiere que la minería de criptomonedas representa hasta el 2,3% de la demanda de energía de EE. UU.

"Tenemos la intención de continuar analizando y escribiendo sobre las implicaciones energéticas de las actividades mineras de criptomonedas en los Estados Unidos...", dijo el administrador de la EIA, Joe DeCarolis, en un comunicado de enero. "Nos centraremos específicamente en cómo está evolucionando la demanda de energía para la minería de criptomonedas, identificaremos áreas geográficas de alto crecimiento y cuantificaremos las fuentes de electricidad utilizadas para satisfacer la demanda de la minería de criptomonedas".

Las palabras de DeCarolis resumen que Estados Unidos prestará mucha atención a los desafíos ambientales que podría estar causando la minería de criptomonedas. Podemos suponer que el gobierno de Estados Unidos quiere específicamente tomar medidas enérgicas contra las operaciones mineras que impactan la confiabilidad y sostenibilidad de la energía en áreas altamente pobladas. Potencialmente generando mayores costos de energía residencial y problemas de escasez de energía durante las horas pico. En enero de 2024, la EIA ha identificado 137 instalaciones de criptominería.

Nota de la EIA: "El tamaño representativo que se muestra para una instalación se basa en estimaciones contenidas en nuestro enfoque ascendente. El número entre paréntesis representa la cantidad de instalaciones". (Crédito de la imagen: Administración de Información Energética de EE. UU.)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La EIA descubrió que las operaciones de criptominería en los Estados Unidos han crecido sustancialmente en los últimos años, hasta el punto en que todas las operaciones de criptominería con sede en los EE. UU. consumen entre el 0,6% y el 2,3% del consumo total de electricidad del país. A modo de comparación, la industria minera total de Bitcoin de EE. UU. consume el presupuesto energético anual de Utah o Virginia Occidental. Se proyecta que el consumo de energía estimado de la minería de Bitcoin en todo el mundo estará entre el 0,2% y el 0,9% de la demanda global, lo que equivale al mismo consumo de energía que Grecia o Australia por sí mismas.

La minería de Bitcoin consume mucha energía en los Estados Unidos, específicamente debido a la cantidad exorbitante de minería que en realidad se lleva a cabo dentro de las fronteras de los Estados Unidos. La EIA descubrió que la participación global de la minería de Bitcoin que se lleva a cabo en los EE. UU. creció del 3,4% en 2020 a un enorme 37,8% en 2022.

Las increíbles demandas de energía de la industria de Bitcoin son el resultado de que el algoritmo de minería de Bitcoin se vuelve cada vez más difícil cada año. Bitcoin hoy no es lo que era hace ocho o diez años, donde se podía extraer en una sola computadora y obtener una ganancia decente. Hoy en día, Bitcoin debe extraerse en cientos de dispositivos de minería especializados (ASIC) para poder recolectarse. La continua dificultad del algoritmo de Bitcoin, a su vez, crea costos de energía cada vez más altos a medida que la criptomoneda se vuelve más difícil de extraer.

Podemos esperar que este fenómeno de poder aumente a medida que Bitcoin crezca en popularidad. Se espera que 2024 sea uno de los años más agitados en la historia de Bitcoin, y se espera que la criptomoneda supere su récord de $ 69,000 en algún momento después de su evento de reducción a la mitad en abril.

Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#11
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El gobierno canadiense planea prohibir el Flipper Zero y dispositivos similares después de etiquetarlos como herramientas que los ladrones pueden utilizar para robar automóviles.

Flipper Zero es una herramienta de prueba de lápiz portátil y programable que ayuda a experimentar y depurar varios dispositivos digitales y de hardware a través de múltiples protocolos, incluidos RFID, radio, NFC, infrarrojos y Bluetooth.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los usuarios han estado demostrando las funciones de Flipper Zero en videos compartidos en línea desde su lanzamiento, mostrando su capacidad para realizar ataques de repetición para desbloquear automóviles, abrir puertas de garaje, activar timbres y clonar varias llaves digitales.

"Los delincuentes han estado utilizando herramientas sofisticadas para robar automóviles. Y los canadienses están preocupados con razón", tuiteó el miércoles el ministro de Industria canadiense, François-Philippe Champagne.

"Hoy anuncié que prohibiremos la importación, venta y uso de dispositivos de piratería de consumo, como flippers, utilizados para cometer estos delitos".

El anuncio de Champagne se produce después de una cumbre nacional sobre la lucha contra el robo de automóviles organizada esta semana por el Gobierno de Canadá en Ottawa, Ontario.

Según el gobierno canadiense, cada año se denuncia el robo de alrededor de 90.000 vehículos (o un automóvil cada seis minutos), y el robo de automóviles genera mil millones de dólares en pérdidas anuales, incluidos los costos de seguro para reparar y reemplazar los automóviles robados.

Las cifras compartidas por el gobierno canadiense al describir el aumento de robo de automóviles que afecta actualmente a Canadá se alinean con los datos más recientes compartidos por la agencia gubernamental de Estadísticas de Canadá, que muestra un número creciente de informes de robo de automóviles desde 2021.

La policía canadiense también informó que el robo de vehículos de motor tuvo el impacto más significativo en el aumento del índice nacional de gravedad del delito en 2022.

El departamento de Innovación, Ciencia y Desarrollo Económico (ISED) del gobierno canadiense (y el regulador de industria y comercio del país) dice que "buscará todas las vías para prohibir los dispositivos utilizados para robar vehículos copiando las señales inalámbricas para la entrada remota sin llave, como el Flipper Zero, que permitiría la eliminación de esos dispositivos del mercado canadiense mediante la colaboración con las agencias policiales".

Dispositivos Flipper: los coches fabricados después de los años 90 son seguros

Mientras el gobierno canadiense insiste en que el Flipper Zero es una de las razones detrás del actual aumento de los robos de automóviles en el país, Flipper Devices, la compañía detrás de los dispositivos, dice que el dispositivo no puede usarse para robar vehículos construidos en los últimos 24 años.

"Flipper Zero no se puede utilizar para secuestrar ningún automóvil, específicamente los producidos después de la década de 1990, ya que sus sistemas de seguridad tienen códigos variables", dijo el director de operaciones de Flipper Devices, Alex Kulagin.

"Además, sería necesario bloquear activamente la señal del propietario para captar la señal original, algo que el hardware de Flipper Zero es incapaz de hacer".

"Flipper Zero está destinado a pruebas y desarrollo de seguridad y hemos tomado las precauciones necesarias para garantizar que el dispositivo no pueda usarse con fines nefastos".

Amazon también ha prohibido la venta de Flipper Zero desde abril de 2023 por ser un dispositivo de robo de tarjetas después de que la Agencia Nacional de Telecomunicaciones de Brasil comenzara a confiscar las compras entrantes de Flipper Zero en marzo de 2023 debido a su presunto uso por parte de delincuentes.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#12
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Departamento de Estado de EE. UU. ha ofrecido una recompensa de 10 millones de dólares por información que conduzca al desmantelamiento final de la resbaladiza banda de ransomware Hive.

Un portavoz del departamento anunció el jueves que la agencia entregaría hasta $10 millones a la persona que pueda proporcionar información que ayude a identificar o localizar a cualquier individuo (o individuos) que ocupen puestos de liderazgo clave en el grupo criminal.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero hay más: el Departamento de Estado dijo que también ofrecerá otros $5 millones a cualquiera que tenga información que conduzca al arresto y/o condena de un miembro o afiliado de la pandilla Hive.


"Cualquier individuo, en cualquier país", dijo el Departamento de Estado.

"Los ataques de ransomware Hive han causado importantes perturbaciones a más de 1.500 víctimas en más de 80 países de todo el mundo", según la agencia.

Es la segunda concesión de 10 millones de dólares ofrecida por el Departamento de Estado: la primera otorgada en febrero pasado luego de una vigilancia del FBI de un mes de duración que resultó en la incautación de los servidores de Hive y su sitio dark web.

Las víctimas Hive incluyen hospitales, distritos escolares, empresas financieras e infraestructura crítica, lo que incluso afectó los servicios de respuesta durante la pandemia de COVID-19.

"En un caso, un hospital atacado por el ransomware Hive tuvo que recurrir a métodos analógicos para tratar a los pacientes existentes y, no pudo aceptar nuevos pacientes inmediatamente después del ataque", decía el boletín de recompensa.

La recompensa de 10 millones de dólares de Hive del año pasado, parte del programa de Recompensas por la Justicia de EE. UU., cubría cualquier pista sobre la posible participación de la pandilla con gobiernos extranjeros.

El cibergolpe de enero pasado llevó a que el FBI capturara las notorias claves de descifrado de Hive, que luego fueron entregadas a cientos de víctimas, frustrando más de 130 millones de dólares en pagos de rescate.

"Continuaremos nuestra investigación y perseguiremos a los actores detrás de Hive hasta que sean llevados ante la justicia", dijo el Fiscal General Adjunto Kenneth A. Polite, Jr. de la División Penal del Departamento de Justicia.

La recompensa más reciente de 10 millones de dólares será financiada por el Programa de Recompensas contra el Crimen Organizado Transnacional (TOCRP) del Departamento de Estado de EE. UU.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#13
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

LastPass advierte que se está distribuyendo una copia falsa de su aplicación en la App Store de Apple, probablemente utilizada como una aplicación de phishing para robar las credenciales de los usuarios.

La aplicación falsa usa un nombre similar al de la aplicación genuina, un ícono similar y una interfaz con un tema rojo que se asemeja al diseño auténtico de la marca.

Sin embargo, el nombre de la aplicación falsa es 'LassPass', en lugar de 'LastPass', y su editor es 'Parvati Patel'.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, sólo hay una valoración (la aplicación real tiene más de 52 mil), con sólo cuatro reseñas que advierten que es falsa.

Como LastPass se utiliza para almacenar información muy confidencial, como secretos de autenticación y credenciales (nombre de usuario/correo electrónico y contraseña), es probable que la aplicación se haya creado para actuar como una aplicación de phishing y robar credenciales.

El verdadero LastPass advirtió sobre la existencia de la aplicación clonada mediante una alerta en su sitio web para alertar a los clientes sobre el riesgo de pérdida de datos.

"Hemos incluido la URL de la aplicación fraudulenta, así como el enlace a nuestra aplicación legítima, para que los clientes puedan verificar que están descargando la aplicación LastPass correcta hasta que se elimine la aplicación fraudulenta", se lee en la alerta de LastPass:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Tenga la seguridad de que LastPass está trabajando activamente para eliminar esta aplicación lo antes posible y continuará monitoreando clones fraudulentos de nuestras aplicaciones y/o infracciones de nuestra propiedad intelectual".

La inclusión de una aplicación obviamente fraudulenta en la App Store de Apple es un caso muy raro, gracias al estricto proceso de revisión de aplicaciones de la compañía, que garantiza que el software en la App Store cumpla con altos estándares de privacidad, seguridad y contenido.

Este proceso incluye comprobaciones automáticas y revisión manual por parte del equipo de Apple para garantizar el cumplimiento de un conjunto detallado de pautas que los desarrolladores deben seguir. Sin embargo, de alguna manera, este clon de LastPass fue aceptado.

Además, cuando Apple se da cuenta de que una aplicación infringe sus directrices, normalmente actúa rápidamente para eliminarla de la App Store y prohibir al desarrollador. Sin embargo, el LastPass falso sigue disponible en la App Store de Apple en el momento de la publicación de esta historia.

El mismo desarrollador tiene otra aplicación en la App Store que parece legítima, por lo que no se puede descartar la posibilidad de que su cuenta haya sido secuestrada por actores maliciosos.

Actualización 9/2
:

Apple ha confirmado que la aplicación fraudulenta LastPass ahora ha sido eliminada de la App Store por violar sus pautas sobre aplicaciones imitadoras. Además, el desarrollador de la aplicación ha sido eliminado del Programa de Desarrolladores de Apple.

El portavoz de Apple también señaló que la compañía cuenta con un proceso de disputa de contenido para los desarrolladores que creen que otro proyecto viola sus derechos de propiedad intelectual, confirmando que recibieron una disputa de marca de LastPass con respecto a la aplicación imitadora.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#14
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hoy, Ivanti advirtió sobre una nueva vulnerabilidad de omisión de autenticación que afecta a las puertas de enlace Connect Secure, Policy Secure y ZTA, e instó a los administradores a proteger sus dispositivos de inmediato.

La falla (CVE-2024-22024) se debe a una debilidad XXE (XML eXternal Entities) en el componente SAML de las puertas de enlace que permite a atacantes remotos obtener acceso a recursos restringidos en dispositivos sin parches en ataques de baja complejidad sin requerir interacción o autenticación del usuario.

"No tenemos evidencia de que CVE-2024-22024 haya explotado a ningún cliente. Sin embargo, es fundamental que tome medidas de inmediato para garantizar que esté completamente protegido", dijo Ivanti:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Para los usuarios de otras versiones compatibles, la mitigación lanzada el 31 de enero bloquea con éxito los puntos finales vulnerables hasta que se publiquen los parches restantes", añadió la compañía en un aviso separado.

La plataforma de monitoreo de amenazas Shadowserver actualmente rastrea más de 20,000 puertas de enlace VPN ICS expuestas en línea, con más de 6,000 en los Estados Unidos (Shodan actualmente rastrea más de 26,000 VPN ICS Ivanti expuestas a Internet).

Shadowserver también monitorea diariamente las instancias de Ivanti Connect Secure VPN comprometidas en todo el mundo, con casi 250 dispositivos comprometidos descubiertos el miércoles 7 de febrero.

Los dispositivos VPN de Ivanti han sido objeto de ataques que encadenan la omisión de autenticación CVE-2023-46805 y las fallas de inyección de comandos CVE-2024-21887 como días cero desde diciembre de 2023.

La compañía advirtió sobre un tercer día cero activamente explotado (una vulnerabilidad de falsificación de solicitudes del lado del servidor ahora rastreada como CVE-2024-21893) que ahora también está bajo explotación masiva por parte de múltiples actores de amenazas, lo que permite a los atacantes eludir la autenticación en ICS, IPS, y puertas de enlace ZTA.

Los parches de seguridad para las versiones de productos afectadas por las tres fallas se lanzaron el 31 de enero. Ivanti también proporciona instrucciones de mitigación para dispositivos que no pueden protegerse inmediatamente contra ataques en curso o versiones de software en ejecución que aún esperan un parche.

Ivanti instó a los clientes a restablecer los valores de fábrica de todos los dispositivos vulnerables antes de aplicar parches para bloquear los intentos de los atacantes de ganar persistencia entre las actualizaciones de software.

Además, el 1 de febrero, CISA ordenó a las agencias federales de EE. UU. que desconectaran todos los dispositivos VPN de Ivanti vulnerables en sus redes dentro de las 48 horas en respuesta a los ataques extensivos de múltiples actores de amenazas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#15
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ya se había producido algún rumor al respecto los últimos días, pero ahora ya es oficial, 'sudo' podrá ser invocado, próximamente, desde la consola de Windows 11. Y llegados a este punto hay dos posibilidades, en función de si has tenido contacto alguno con Linux o no.

En Windows lo más habitual es emplear una cuenta de administrador, es decir, una cuenta con permisos para realizar una enorme cantidad de acciones, muchas de ellas potencialmente peligrosas. En Linux, sin embargo, lo más común es emplear cuentas de usuario con permisos limitados a lo que esa persona hace de manera habitual. De este modo se evita el riesgo de llevar a cabo acciones nocivas de manera accidental, pero también que esa cuenta de usuario pueda ser empleada por terceros con aviesas intenciones si es que cae en sus manos.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En cambio en Linux, un usuario con una cuenta limitada que desease llevar a cabo una operación, mediante la línea de comando, requiere un nivel de acceso superior al que le corresponde. Las dos opciones más rápidas son o abrir una consola como root (el tipo de cuenta con el nivel más alto de permisos en el sistema, también conocido como Super Usuario), o bien escalar sus permisos directamente desde la línea de comando. Y ahí es dónde entra 'sudo'.

Su nombre es la contracción de «SU (Super User) Do», es decir, «Super Usuario hace» y, por lo tanto, le estaremos indicando al sistema que, el comando que encontrará a continuación, debe ejecutarse como el usuario root del sistema. En ese momento, el usuario deberá autenticarse para que el sistema lleve a cabo esa acción.
Siendo así, Microsoft decidió incorporar el comando 'sudo' a Windows 11,y que ya ha se ha empezado a desplegar en la Preview Build 26052 de los canales Canary y Dev del programa de insiders.

Adicionalmente, y en la línea habitual de Microsoft desde que se «enamoró» de Linux y del ecosistema del software libre, este proyecto ha optado por una licencia del tipo MIT, por lo que hablamos de un proyecto de código abierto, cuyo repositorio se puede encontrar en GitHub:

 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Eso sí, dado que ha debutado ahora en los dos canales más inestables del programa de insiders, y que parece que Microsoft pretende que la comunidad se involucre en su desarrollo, lo más probable es que todavía tengamos que esperar, quizá hasta finales de año, hasta que 'sudo' llegue a la versión final de Windows 11.

Es importante aclarar que, este 'sudo' para Windows no es un fork (una bifurcación) ni una adaptación del 'sudo' de Linux, se indica en la publicación de Microsoft. Así, debemos entender que se ha partido prácticamente de cero (obviamente al menos la inspiración sí que viene, obviamente, del sudo de Linux), de modo que, durante estos meses, si la comunidad se involucra, el resultado final puede acabar siendo muy interesante.

Fuente:
Microsoft
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Compendio y Traducción al español):
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#16
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


De manera totalmente imprevista, Microsoft ha encontrado la forma de continuar aportando novedades a su clásico Bloc de Notas. La herramienta acaba de estrenar una nueva función que hará que su uso resulte mucho más eficiente y que, sin duda, capte el interés de más usuarios.

El Bloc de Notas se estrenó en el año 1985, así que tiene una carrera de 39 años. Se trata de una de las herramientas más clásicas de Microsoft y, curiosamente, también es una de las que más ha mejorado en los últimos meses. Su último añadido sigue reforzando su nueva identidad como programa de moda capaz de atraer incluso a quienes no lo han usado nunca.

Hace tiempo los usuarios fieles al Bloc de Notas para tomar apuntes, nos acostumbramos al uso de pestañas y a otros rasgos como, por ejemplo, el recuerdo de la última nota abierta. Ahora lo que hace Microsoft es introducir una dosis de inteligencia artificial con el objetivo de conseguir que el programa tenga mucha más utilidad de la que ha sido natural hasta el momento.

Eso sí, ahora mismo se trata de una función que está disponible en la versión de Windows 11 del programa Insider, por lo que todavía no ha llegado a todos los usuarios. Por otro lado, como se trata de un elemento derivado de Copilot, tampoco tenemos muy claro cuándo se activará en nuestro país. En el momento en el que se autorice la disponibilidad de la herramienta de IA en nuestro mercado, suponemos que todas las funciones se activarán de manera simultánea.

Con la actualización que ha realizado Microsoft nos encontramos con una nueva función que resulta muy útil, práctica y que además no resulta, para nada, forzada. Lo que podemos hacer es seleccionar una parte del texto y pulsar el botón derecho. En ese momento se abrirá el menú de opciones habitual, pero con el añadido de un nuevo comando.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tiene el nombre de "Explicar con Copilot" y su función es exactamente esa: servir de explicación. La IA leerá lo que has seleccionado y buscará una explicación para poder informarte de aquello que no te termina de quedar claro en el archivo. Las opciones de explicación son más amplias de lo que se pueda imaginar, dado que es capaz de explicar todo tipo de elementos. El único requisito es que forme parte del texto del Bloc de Notas sin importar si se trata de un tipo de contenido u otro. La IA de Microsoft hará todo lo que esté en su mano para analizar y explicarte lo que hayas seleccionado.

Una forma más rápida de usar esta función es con un nuevo atajo de teclado que se ha incorporado en Windows con motivo de esta novedad. Se trata de la combinación de teclas Ctrl + E, la cual tendrá la misma finalidad y que se espera que pase a ser muy utilizada por parte de los usuarios.

Junto a esta novedad del Bloc de Notas, la actualización también ha añadido un cambio en la herramienta Recortes. Gracias a ello, ahora los usuarios tienen la posibilidad de añadir distintas formas en los documentos con los que estén interactuando, ya sean círculos, cuadrados, líneas, flechas, entre otros.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La forma de utilizar el sistema de formas es mediante el pulsado de un nuevo botón que se ha incorporado en la barra de herramientas. Una vez se pulsa este botón, es posible elegir la forma que el usuario quiere introducir en el documento o añadir varias dependiendo de las exigencias de cada momento. Por supuesto, es posible editar los colores de las formas o moverlas por el documento a fin de colocarlas donde resulte necesario.

Ambas novedades, como decíamos, están activadas en el programa para usuarios Insider, pero es de esperar que no tarden demasiado en llegar a todos los poseedores de equipos con Windows 11.

Fuente:
ADSLZone
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#17
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vulnerabilidad crítica en el gestor de arranque Shim Linux permite a los atacantes ejecutar código y tomar el control de un sistema objetivo antes de que se cargue el kernel, evitando los mecanismos de seguridad existentes.

Shim es un pequeño gestor de arranque de código abierto mantenido por Red Hat que está diseñado para facilitar el proceso de arranque seguro en computadoras que utilizan la Interfaz de firmware extensible unificada (UEFI).

La herramienta está firmada con una clave de Microsoft aceptada de forma predeterminada en la mayoría de las placas base UEFI que se utiliza para verificar la siguiente etapa del proceso de arranque, generalmente cargando el gestor de arranque GRUB2.

Shim se creó por necesidad para permitir que proyectos de código abierto, como las distribuciones de Linux, se beneficiaran de las ventajas del arranque seguro, como evitar la ejecución de código malicioso o no autorizado durante el arranque, manteniendo al mismo tiempo el control sobre el hardware.

La nueva falla de Shim, rastreada como CVE-2023-40547, fue descubierta por el investigador de seguridad de Microsoft, Bill Demirkapi, quien la reveló por primera vez el 24 de enero de 2024.

El error reside en la fuente httpboot.c de Shim, que se utiliza para iniciar una imagen de red a través de HTTP.

"Al recuperar archivos a través de HTTP o protocolos relacionados, shim intenta asignar un búfer para almacenar los datos recibidos", se lee en el compromiso para corregir el error en httpboot.c.

"Desafortunadamente, esto significa obtener el tamaño de un encabezado HTTP, que puede manipularse para especificar un tamaño menor que los datos recibidos".

"En este caso, el código utiliza accidentalmente el encabezado para la asignación, pero los metadatos del protocolo para copiarlo del búfer rx, lo que resulta en una escritura fuera de límites".

Más detalles sobre la falla estuvieron disponibles el 2 de febrero de 2024, y Eclypsium publicó ayer un informe para llamar la atención sobre este problema de seguridad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La vulnerabilidad radica en el análisis de las respuestas HTTP por parte de Shim, lo que permite a un atacante crear solicitudes HTTP especialmente diseñadas para provocar una escritura fuera de límites.


Esto podría permitir que un atacante comprometa un sistema ejecutando código privilegiado antes de que se cargue el sistema operativo, evitando efectivamente los mecanismos de seguridad implementados por el kernel y el sistema operativo.

Eclypsium dice que múltiples rutas potenciales de explotación pueden aprovechar CVE-2023-40547, incluidos puntos de ataque locales, adyacentes a la red y remotos. El informe de la empresa destaca los siguientes tres métodos:

- Un atacante remoto puede ejecutar un ataque de intermediario (MiTM), interceptando el tráfico HTTP para el arranque HTTP, potencialmente desde cualquier posición de la red entre la víctima y el servidor.

- Un atacante local con privilegios suficientes puede modificar las variables EFI o la partición EFI utilizando un USB Linux activo para alterar el orden de arranque y cargar un shim comprometido, ejecutando código privilegiado sin deshabilitar el arranque seguro.

- Un atacante en la misma red puede usar PXE para cargar un cargador de arranque comprometido, explotando la vulnerabilidad.

Impacto y correcciones

RedHat emitió un código de confirmación para corregir CVE-2023-40547 el 5 de diciembre de 2023, pero las distribuciones de Linux que admiten Secure Boot y usan Shim deben implementar sus propios parches.

Las distribuciones de Linux que utilizan Shim, como Red Hat, Debian, Ubuntu y SUSE, han publicado avisos con información sobre la falla.

Se recomienda a los usuarios de Linux que actualicen a la última versión de Shim, v15.8, que contiene una solución para CVE-2023-40547 y otras cinco vulnerabilidades importantes.

Eclypsium explica que los usuarios de Linux también deben actualizar UEFI Secure Boot DBX (lista de revocación) para incluir los hashes del software Shim vulnerable y firmar la versión parcheada con una clave válida de Microsoft.

Para hacer eso, primero actualice a Shim 15.8 y luego aplique la actualización DBX usando el comando 'fwupdmgr update' (necesita fwupd).

Comando para actualizar DBX

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Algunas distribuciones de Linux ofrecen una herramienta GUI para realizar esta actualización, así que asegúrese de verificar su administrador de paquetes antes de profundizar en la terminal.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Aunque es poco probable que se explote masivamente, CVE-2023-40547 no es un error que deba ignorarse, ya que ejecutar código antes del inicio del sistema operativo es una de las formas más fuertes y sigilosas de comprometer el sistema.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#18
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos estatales chinos Volt Typhoon no lograron reactivar una botnet recientemente eliminada por el FBI, que se utilizó anteriormente en ataques dirigidos a infraestructuras críticas en todo Estados Unidos.

Antes de la eliminación de la botnet KV, permitía al grupo de amenazas Volt Typhoon (también conocido como Bronze Silhouette) enviar actividad maliciosa a través de cientos de pequeñas oficinas/oficinas domésticas (SOHO) comprometidas en todo Estados Unidos para evadir la detección.

Sin embargo, después de obtener una orden judicial que le autorizaba a desmantelar la botnet el 6 de diciembre, agentes del FBI tomaron el control de uno de sus servidores de comando y control (C2) y cortaron el acceso de los piratas informáticos chinos a los dispositivos infectados (enrutadores Netgear ProSAFE, Cisco RV320 y DrayTek Vigor más recientes, y cámaras IP Axis).

Dos días después, Volt Typhoon comenzó a escanear Internet en busca de dispositivos más vulnerables para secuestrar y reconstruir la botnet desmantelada.

Según un informe del equipo Black Lotus Labs de Lumen Technologies, los actores de amenazas llevaron a cabo un ataque a gran escala en 3.045 dispositivos, incluido un tercio de todos los enrutadores NetGear ProSAFE expuestos en línea a nivel mundial. De estos intentos lograron infectar 630 dispositivos

"Observamos un período breve pero concentrado de actividad de explotación a principios de diciembre de 2023, cuando los actores de amenazas intentaron restablecer su estructura de comando y control (C2) y devolver la botnet a su funcionamiento", dijo el equipo de Black Lotus Labs de Lumen Technologies.

"Durante un período de tres días, del 8 al 11 de diciembre de 2023, los operadores de botnets KV apuntaron a aproximadamente el 33% de los dispositivos NetGear ProSAFE en Internet para su reexplotación, un total de 2100 dispositivos distintos".

Sin embargo, a pesar de sus esfuerzos concertados, Black Lotus Labs frustró los intentos de los piratas informáticos chinos de revivir la botnet al anular el enrutamiento de toda la flota de servidores C2 y de carga útil del atacante durante un mes, entre el 12 de diciembre y el 12 de enero.

Desde que se observó la última baliza de la botnet KV el 3 de enero, no se ha activado ningún otro servidor C2.

"La falta de un servidor C2 activo combinada con la acción autorizada por el tribunal del FBI contra la botnet KV y el enrutamiento nulo persistente de Lumen Technologies de la infraestructura del clúster KV actual y nueva proporciona una buena indicación de que el clúster de actividad KV ya no está efectivamente activo". Dijo Black Lotus Labs.

Volt Typhoon ha estado violando la infraestructura crítica de EE. UU. desde al menos mediados de 2021, utilizando un grupo de botnets KV de firewalls Fortinet FortiGate comprometidos (activos hasta agosto de 2023) como trampolín para sus ataques.

La lista de organizaciones que los ciberespías chinos han violado y atacado incluye organizaciones militares estadounidenses, proveedores de servicios de Internet y telecomunicaciones, así como una empresa europea de energía renovable.

Hace una semana, CISA y el FBI instaron a los fabricantes de enrutadores SOHO a garantizar que sus dispositivos estén seguros contra los continuos ataques de Volt Typhoon mediante el uso de configuraciones predeterminadas seguras y la eliminación de fallas en la interfaz de administración web durante el desarrollo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#19
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hewlett Packard Enterprise (HPE) está investigando una posible nueva infracción después de que un actor de amenazas pusiera a la venta en un foro de piratería, datos supuestamente robados, alegando que contenían credenciales de HPE y otra información confidencial.

La compañía declaró que no encontró ninguna evidencia de una violación de seguridad y que no se solicitó ningún rescate, pero está investigando las afirmaciones del actor de la amenaza.

"Somos conscientes de las afirmaciones y estamos investigando su veracidad", dijo el director sénior de Comunicaciones Globales de HPE, Adam R. Bauer.

"En este momento no hemos encontrado evidencia de una intrusión, ni ningún impacto en los productos o servicios de HPE. No ha habido un intento de extorsión".

Cuando se le pidió que proporcionara detalles adicionales sobre la investigación en curso de la compañía, Bauer dijo que no tenían "nada nuevo que compartir".

IntelBroker, el actor de amenazas que vende los supuestos datos de HPE, compartió capturas de pantalla de algunas de las credenciales de HPE supuestamente robadas, pero aún no ha revelado la fuente de la información ni el método utilizado para obtenerla.

"Hoy vendo los datos que tomé de Hewlett Packard Enterprise", dice el actor de amenazas en una publicación en el foro de piratería.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Más específicamente, los datos incluyen: acceso CI/CD, registros del sistema, archivos de configuración, tokens de acceso, archivos HPE StoreOnce (garantía de números de serie, etc.) y contraseñas de acceso. (También se incluyen los servicios de correo electrónico)".

IntelBroker es conocido por la violación de DC Health Link, que llevó a una audiencia en el Congreso después de que expuso los datos personales de miembros y personal de la Cámara de Representantes de Estados Unidos.

Otros incidentes de ciberseguridad relacionados con IntelBroker, son la violación de la ley Weee! servicio de comestibles y un supuesto incumplimiento de General Electric Aviation.

Hackers rusos violan cuentas de correo electrónico corporativas de HPE

Esta investigación se produce después de que HPE revelara hace dos semanas que el entorno de correo electrónico Microsoft Office 365 de la empresa fue violado en mayo de 2023 por piratas informáticos, y que la empresa creía que formaban parte del grupo de piratería ruso APT29 vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).

La compañía dijo que los piratas informáticos rusos robaron archivos y datos de SharePoint de su equipo de ciberseguridad y otros departamentos, y mantuvieron el acceso a su infraestructura en la nube hasta diciembre, cuando HPE fue alertada nuevamente de una violación de su entorno de correo electrónico basado en la nube.

"El 12 de diciembre de 2023, se notificó a HPE que un presunto actor estatal había obtenido acceso no autorizado al entorno de correo electrónico Office 365 de la empresa. HPE activó inmediatamente los protocolos de respuesta cibernética para comenzar una investigación, remediar el incidente y erradicar la actividad". HPE.

"A través de esa investigación, que continúa en curso, determinamos que este actor-estado-nación accedió y exfiltró datos a partir de mayo de 2023 de un pequeño porcentaje de buzones de correo de HPE que pertenecen a individuos en nuestros segmentos de ciberseguridad, comercialización, negocios y otras funciones."

Días antes de la revelación del hackeo ruso de HPE, Microsoft reveló una violación similar en la que APT29 violó algunas de sus cuentas de correo electrónico corporativas pertenecientes a su equipo de liderazgo y empleados de los departamentos legal y de ciberseguridad.

Más tarde, Microsoft compartió que los actores de amenazas obtuvieron acceso a las cuentas de correo electrónico corporativas después de piratear una cuenta de inquilino de prueba mal configurada forzando su contraseña por fuerza bruta en un ataque de "rociación de contraseñas".

HPE también fue violada en 2018 cuando los piratas informáticos chinos APT10, piratearon las redes de IBM y utilizaron el acceso para piratear los dispositivos de sus clientes.

Más recientemente, HPE reveló en 2021 que los repositorios de datos de su plataforma de monitoreo de red Aruba Central estaban comprometidos, lo que permitía a los atacantes acceder a datos sobre los dispositivos monitoreados y sus ubicaciones.

Actualización
: Después de la publicación del artículo, Bauer también le dijo que, los datos que se ofrecen a la venta en línea se obtuvieron de un "entorno de prueba".

"Según nuestra investigación hasta ahora, los datos en cuestión parecen estar relacionados con información contenida en un entorno de prueba. No hay indicios de que estas afirmaciones se relacionen con algún compromiso de los entornos de producción de HPE o la información del cliente", dijo Bauer en un comunicado, enviado por correo electrónico.

"Estas son credenciales locales utilizadas en un entorno de prueba aislado y no son aplicables al entorno de producción. Además, estas credenciales por sí solas no permitirían el acceso a los entornos de producción ya que contamos con medidas de seguridad de múltiples capas. Además, no tenemos ningún indicio de que estas afirmaciones se relacionen con cualquier compromiso de la información del cliente. Dicho esto, hemos tomado medidas adicionales para endurecer aún más nuestro entorno en relación con las credenciales en cuestión".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#20
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Google lanzó sus parches de seguridad de febrero de 2024 para Android, abordando un total de 46 vulnerabilidades.

Entre estas vulnerabilidades, una falla crítica de ejecución remota de código, identificada como CVE-2024-0031, representa un riesgo significativo. Esta falla se encuentra dentro del componente Sistema del Proyecto de código abierto de Android (AOSP) y afecta a las versiones 11, 12, 12L, 13 y 14.

El aviso de Google dice: "Se han publicado parches de código fuente para estos problemas en el repositorio del Proyecto de código abierto de Android (AOSP) y se han vinculado desde este boletín. Este boletín también incluye enlaces a parches fuera de AOSP". Esto pone de relieve el compromiso de la empresa con la transparencia y su enfoque proactivo para abordar las vulnerabilidades de seguridad.

El aviso señala, además: "El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales". Esto subraya la gravedad de la vulnerabilidad, ya que permite a un atacante ejecutar código arbitrario de forma remota sin requerir permisos adicionales.

En respuesta a estas vulnerabilidades, Google ha lanzado dos niveles de parche de seguridad: el 2024-02-01 de Android y el 2024-02-05 de Android.

Estos parches están diseñados para permitir a los socios de Google abordar un subconjunto de vulnerabilidades. Sin embargo, Google recomienda encarecidamente a sus socios de Android que aborden todos los problemas descritos en el boletín para garantizar una seguridad integral.

Se recomienda a los usuarios que apliquen los parches de seguridad tan pronto como estén disponibles. La aplicación oportuna de estos parches es crucial para mitigar los riesgos asociados con estas vulnerabilidades.

Fuente:
Vulnera
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#21
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

7 feb (Reuters) - Los pagos de ataques de rescate relacionados con criptomonedas casi se duplicaron a un récord de mil millones de dólares en 2023, dijo el miércoles la firma de análisis blockchain Chainalysis.

Los estafadores que se dirigen a instituciones como hospitales, escuelas y oficinas gubernamentales para pedir rescate se embolsaron 1.100 millones de dólares el año pasado, en comparación con 567 millones de dólares en 2022.

Sin embargo, las pérdidas derivadas de otros delitos relacionados con las criptomonedas, como la estafa y la piratería, disminuyeron en 2023, dijo Chainalysis.

Bitcoin, la criptomoneda más grande, ha subido un 60% desde finales de septiembre a 43.134 dólares debido al entusiasmo por un nuevo ETF de bitcoin en Estados Unidos y a las señales de que los bancos centrales de todo el mundo comenzarán a recortar las tasas de interés.

"Un número cada vez mayor de nuevos actores se sintieron atraídos por el potencial de obtener altas ganancias y menores barreras de entrada", dijo Chainalysis.

La "caza mayor" se ha convertido en la estrategia dominante en los últimos años, con una parte dominante de todo el volumen de ingresos por rescates compuesta por pagos de 1 millón de dólares o más, añadió Chainalysis.

Un grupo de extorsionadores digitales llamado "cl0p", que subvirtió un software para compartir archivos MOVEit, hizo casi 100 millones de dólares en pagos de rescate, dijo la compañía de análisis.

Cientos de organizaciones, incluidos departamentos gubernamentales, el regulador de telecomunicaciones del Reino Unido y el gigante energético Shell, han informado violaciones de seguridad cibernética que involucran la herramienta de software MOVEit, que generalmente se usa para transferir grandes cantidades de datos, a menudo confidenciales, incluida información de pensiones y números de seguro social.

Un informe de noviembre mostró que el grupo de cibercrimen "Black Basta" había extorsionado al menos 107 millones de dólares en bitcoins, y gran parte de los pagos de rescate lavados llegaron al sancionado intercambio ruso de criptomonedas Garantex.

El robo de criptomonedas mediante ciberatracos y ataques de ransomware también es una importante fuente de financiación para Corea del Norte, según informes de la ONU.

Las cifras de Chainalysis subestiman el papel de las criptomonedas en todos los delitos, ya que solo rastrea las criptomonedas enviadas a direcciones de billetera identificadas como ilícitas. No incluye pagos por delitos no relacionados con las criptomonedas, como las criptomonedas utilizadas en acuerdos de tráfico de drogas.

Fuente:
Reuters
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#22
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sí hubo un ataque, al parecer, y aún los sitios de CIMEX continuaban dando error, ya con advertencias de "mantenimiento" o de imposibilidad de encontrar la dirección proporcionada.

Así, en los días previos los usuarios de la financiera estuvieron reportando problemas de "autorización denegada" a sus cuentas, invalidez de los códigos captcha y números de clave, tanto como demora excesiva en la llegada de remesas, aunque esto último, a la par de la nula respuesta a las quejas de los clientes, son problemas que han caracterizado los servicios de FINCIMEX aun en los momentos en que funcionaba "normalmente".

El 16 de noviembre de 2021 Fincimex informaba sobre el inesperado traslado de sus operaciones a un nuevo sitio web, cerrando las operaciones de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta con "carácter temporal" bajo la justificación de realizar "actualizaciones técnicas" que le permitieran "regresar con mejores prestaciones"; sin embargo, unos días antes, el 10 de noviembre de 2021, ante las reiteradas quejas de los usuarios, Fincimex debió informar sobre la interrupción de los servicios de extracción de efectivo con tarjetas VISA, AIS y BFI en cajeros automáticos por  "dificultades tecnológicas".

Un año bien tenso el 2021 para CIMEX, en tanto a finales de junio de 2021 el atraco a uno de sus establecimientos comerciales causó la sustracción de cientos de tarjetas prepago para los combustibles que por breve tiempo circularon, aunque pudo causarle pérdidas considerables.

Ahora en 2024, a punto de ser activadas las nuevas tarjetas "Clásica" de prepago en USD y de iniciar las operaciones la nueva red de servicentros que comercializarán en moneda fuerte, FINCIMEX habría estado bajo un "intento de atraco".

De acuerdo con unas fuentes, los servidores de la corporación estatal CIMEX , a la cual pertenece Fincimex, no se infectaron por programas maliciosos con la intención de ponerlos fuera de servicio sino que fueron manipulados desde la propia empresa con la intención de, una vez activadas, obtener duplicados de las tarjetas prepago en circulación. Delitos de robo y fraude por los cuales actualmente estarían siendo investigadas varias personas dentro de la propia financiera, así como al menos dos estudiantes de 4to. año de la Universidad de Ciencias Informáticas (UCI) y al menos un profesor que, para los trabajos de diploma y por algunos servicios prestados, tuvieron vínculos directos con la corporación.

No obstante, otras fuentes consultadas, ligadas estrechamente a la UCI como parte de su claustro, aunque al igual descartan que el ataque proviniera del exterior —como se afirmó en la nota oficial—, no reconocen un vínculo directo entre los detenidos y CIMEX sino que se trataría solo de un ataque o atentado contra los servidores de la corporación, sin otros objetivos que no fueran inutilizarlos como protesta por la impopularidad de las medidas que entrarían en vigor.

Igual, de acuerdo con las fuentes, lo ocurrido con Fincimex es lo que los expertos en ciberseguridad denominan "ataque de denegación de servicio" o DoS, por sus siglas en inglés, considerado entre los ataques más comunes en los últimos años en Cuba ya provenientes del exterior o internos.

Los ataques de denegación de servicio tienen como objetivo bloquear o ralentizar el acceso de los usuarios a un sistema o servicio informático. En este caso, como los describe la literatura especializada, los servidores de CIMEX habrían sido inundados por un alud de solicitudes que saturaron su capacidad de respuesta, lo cual terminó bloqueándolos.

Hasta el momento, no se ha podido confirmar la identidad de las personas detenidas por el presunto ataque cibernético. Igualmente, ningún medio oficial o vinculado a estos, ni el Centro Nacional de Ciberseguridad o la Oficina de Seguridad para las Redes Informáticas de Cuba, han ofrecido detalles de lo ocurrido más allá de atribuir el ataque a un origen externo.

Solo el año pasado el Centro de Operaciones de Seguridad de la Empresa de Telecomunicaciones de Cuba (ETECSA) reveló que se detectaron en la Isla más de 2.600 incidentes, la mayor parte de ellos de los llamados DoS.

Asimismo, aseguró que los ciberataques contra sitios web cubanos se ejecutaron con el empleo de direcciones IP registradas en proveedores de servicios de telecomunicaciones de Estados Unidos, Reino Unido, Francia, Turquía, Alemania y Países Bajos, pero no hizo referencia a los numerosos ataques de robo de identidad, sustracción de datos y otros que son denunciados a diario en Cuba, casi todos internos.
   
Luego de los ciberataques de julio de 2021 a los servidores del Ministerio de Relaciones Exteriores, el Banco Central de Cuba y los Servicios de hospedaje de ETECSA, que afectó los sitios de la Presidencia de la República, Granma, Cubadebate y el Partido Comunista (PCC), entre otros, este a Fincimex es sin dudas el más significativo hasta la fecha.

Fuente:
CubaNet
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#23
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El cifrado BitLocker lleva ya unos cuantos años disponible y viene integrado en las versiones Pro, Ultimate y Enterprise de los sistemas operativos Windows. Su debut se produjo en Windows Vista, y se ha mantenido desde entonces hasta nuestros días, ya que tanto Windows 10 Pro como Windows 11 Pro cuentan con dicha tecnología de cifrado.

La principal ventaja que tiene el cifrado BitLocker es que es una herramienta muy sencilla y fácil de utilizar, y el hecho de que venga integrado en Windows de forma gratuita ha sido clave para que su popularidad creciera exponencialmente. Gracias a esta solución podemos cifrar los datos de nuestras unidades de almacenamiento en Windows, ¿pero realmente es una solución tan segura como se cree?

Podríamos entrar en un debate profundo para intentar responder a esa pregunta, pero la verdad es que es innecesario, porque han conseguido romper el cifrado BitLocker de Windows utilizando algo tan simple y tan asequible como una Raspberry Pi Pico de 5 dólares. Puede que alguno esté pensando que, al menos, habrá sido relativamente difícil romper dicho cifrado, y que habrán necesitado bastante tiempo al utilizar un hardware tan modesto, pero nada más lejos de la realidad.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El autor del vídeo adjunto ha necesitado solo 43 segundos para tumbar BitLocker.

¿Cómo lo ha hecho?

Pues ejecutando un ataque que aprovechaba el chip TPM, siglas de Módulo de Plataforma de Confianza, un componente que forma parte de los requisitos de Windows 11. En la mayoría de los ordenadores y portátiles profesionales este chip es fácil de localizar, y este utiliza el bus LPC para enviar y recibir información de la CPU.

El cifrado BitLocker depende del chip TPM para almacenar datos fundamentales, como los Registros de Configuración de Plataforma y la Clave Maestra de Volumen. La clave es que las comunicaciones entre la CPU y el bus LPC se realizan a través de líneas que no están cifradas desde el proceso de arranque, lo que deja abierta una importante vía de entrada que ha sido clave para completar el ataque.

Al conectar de forma física la Raspberry Pi Pico a los pines de un conector LPC no utilizado el atacante pudo hacerse con las claves de cifrado durante el arranque, porque estas no están cifradas, y al final pudo unir todas las piezas necesarias para obtener la Clave Maestra de Volumen en solo 43 segundos. Cuando terminó solo tuvo que retirar la unidad cifrada y utilizar dicha clave para descifrarla.

Obvia decir que este tipo de ataque solo funcionan en aquellos equipos que tienen un chip TPM externo, y que no es efectivo en sistemas que utilicen fTPM, ya que en este caso la información y los datos de importancia crítica se almacenan en la propia CPU, así que no existe esa vulnerabilidad del conector LPC con líneas sin cifrar durante el arranque.



Fuente:
Tom´s Hardware
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#24
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los proveedores comerciales de software espía (CSV) estaban detrás del 80% de las vulnerabilidades de día cero que el Grupo de Análisis de Amenazas (TAG) de Google descubrió en 2023 y utilizó para espiar dispositivos en todo el mundo.

Las vulnerabilidades de día cero son fallas de seguridad que los proveedores del software afectado no conocen o para las cuales no hay soluciones disponibles.

El TAG de Google ha estado siguiendo las actividades de 40 proveedores comerciales de software espía para detectar intentos de explotación, proteger a los usuarios de sus productos y ayudar a salvaguardar a la comunidad en general informando los hallazgos clave a las partes correspondientes.

Basándose en este seguimiento, Google ha descubierto que 35 de los 72 exploits de día cero conocidos que han afectado a sus productos durante los últimos diez años pueden atribuirse a proveedores de software espía.

     "Esta es una estimación de límites inferiores, ya que refleja sólo exploits de día 0 conocidos. El número real de exploits de día 0 desarrollados por CSV dirigidos a productos de Google es casi con certeza mayor después de tener en cuenta los exploits utilizados por CSV que no han sido detectados por investigadores, exploits cuya atribución se desconoce y casos en los que se parchó una vulnerabilidad antes de que los investigadores descubrieran indicios de explotación en el medio natural". - Google

Esos proveedores de software espía utilizan los fallos de día cero para atacar a periodistas, activistas y figuras políticas según las indicaciones de sus clientes, incluidos gobiernos y organizaciones privadas.

Algunos CSV notables destacados en el informe de Google son:

     Cy4Gate y RCS Lab: empresas italianas conocidas por los programas espía "Epeius" y "Hermit" para Android e iOS. La primera adquirió la segunda en 2022, pero opera de forma independiente.

     Intellexa: Alianza de empresas de software espía liderada por Tal Dilian desde 2019. Combina tecnologías como el software espía "Predator" de Cytrox y las herramientas de interceptación WiFi de WiSpear, ofreciendo soluciones de espionaje integradas.

     Negg Group: CSV italiano con alcance internacional establecido en 2013. Es conocido por el malware "Skygofree" y el software espía "VBiss", dirigido a dispositivos móviles a través de cadenas de exploits.

     NSO Group: empresa israelí famosa por el software espía Pegasus y otras sofisticadas herramientas de espionaje. Continúa operaciones a pesar de sanciones y problemas legales.

     Variston: CSV español que ofrece soluciones de seguridad a medida. Colabora con otros proveedores para exploits de día cero y está vinculado al marco Heliconia, que se está expandiendo en los Emiratos Árabes Unidos.

Estos proveedores venden licencias para usar sus productos por millones de dólares, lo que permite a los clientes infectar dispositivos Android o iOS mediante exploits no documentados de 1 clic o cero clic.

Algunas de las cadenas de exploits utilizan n-days, que son fallas conocidas para las cuales hay soluciones disponibles; sin embargo, los retrasos en la aplicación de parches aún los hacen explotables con fines maliciosos, a menudo durante períodos prolongados.

Google dice que los CSV se han vuelto muy agresivos en su búsqueda de días cero, desarrollando al menos 33 exploits para vulnerabilidades desconocidas entre 2019 y 2023.

En el apéndice del informe detallado de Google se puede encontrar una lista de 74 días cero utilizados por 11 CSV. De ellos, la mayoría son días cero que afectan a Google Chrome (24) y Android (20), seguidos de Apple iOS (16) y Windows (6).

Cuando los investigadores de "sombrero blanco" (White Hat) descubren y corrigen las fallas explotadas, los CSV a menudo sufren daños operativos y financieros significativos mientras luchan por reconstruir una vía de infección alternativa que funcione.

"Cada vez que Google y sus colegas investigadores de seguridad descubren y revelan nuevos errores, causa fricción en los CSV y les cuesta ciclos de desarrollo", dice Google.

"Cuando descubrimos y reparamos las vulnerabilidades utilizadas en las cadenas de exploits, no solo protegemos a los usuarios, sino que evitamos que los CSV cumplan sus acuerdos con los clientes, impidiéndoles recibir pagos y aumentando sus costos para continuar operando".

Sin embargo, esto no es suficiente para detener la proliferación de software espía, ya que la demanda de estas herramientas es fuerte y los contratos son demasiado lucrativos como para que los CSV los abandonen.

Google pide que se tomen más medidas contra la industria del software espía, incluidos mayores niveles de colaboración entre los gobiernos, la introducción de directrices estrictas que gobiernen el uso de tecnología de vigilancia y esfuerzos diplomáticos con los países que albergan proveedores que no cumplen.

Google está contrarrestando proactivamente las amenazas de software espía a través de soluciones como Navegación segura, seguridad de Gmail, el Programa de protección avanzada (APP) y Google Play Protect, además de mantener la transparencia y compartir abiertamente información sobre amenazas con la comunidad tecnológica.

Fuente
:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#25
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft está incorporando la función 'sudo' de Linux a Windows Server 2025, ofreciendo una nueva forma para que los administradores aumenten los privilegios para las aplicaciones de consola.

Superuser do, o sudo, es un programa de consola de Linux que permite a los usuarios con pocos privilegios ejecutar un comando con privilegios elevados, normalmente como root.

Este comando ofrece mayor seguridad en Linux, ya que los servidores se pueden usar normalmente con cuentas con pocos privilegios y al mismo tiempo permiten a los usuarios elevar sus privilegios según sea necesario al ejecutar comandos específicos.

Probando sudo en Windows Server 2025

Microsoft lanzó la primera versión preliminar de Windows Server 2025 Insider la semana pasada. Sin embargo, poco después, se filtró en línea una versión más nueva.

Como informó por primera vez Windows Latest (descubierto por primera vez por @thebookisclosed en X), la versión filtrada contiene algunas características nuevas en desarrollo, incluida nueva configuración para un comando 'sudo' de Windows.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nueva configuración de sudo en la versión preliminar de Windows Server 2025
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estas configuraciones solo están disponibles después de habilitar el modo de desarrollador, y el comando sudo aún no funciona desde la línea de comando, lo que demuestra que se encuentra en una etapa temprana de desarrollo.

Sin embargo, la configuración de sudo proporciona algunas pistas sobre cómo funcionará el comando, con la capacidad de ejecutar aplicaciones sudo 'en una nueva ventana', 'con entrada deshabilitada' y 'en línea'.

Windows ya ofrece la posibilidad de elevar programas automáticamente mediante indicaciones de UAC, lo que hace que los programas se ejecuten con privilegios elevados en su propia ventana.

Sin embargo, algunas herramientas administrativas, como bcdedit y reagentc, requieren que sea administrador para ejecutar estos comandos.

En estos casos, el comando sudo permitirá que los programas se ejecuten según su configuración de Windows, como en una nueva ventana, en línea en la ventana actual o posiblemente en un shell no interactivo usando la configuración de entrada deshabilitada.

Si bien esta característica no se ha detectado en Windows 11, no sería sorprendente que Microsoft también agregue sudo a ese sistema operativo en el futuro.

Es importante tener en cuenta que Microsoft suele probar nuevas funciones en versiones preliminares que no se incluyen en las versiones de producción.

Sin embargo, será interesante ver cómo Microsoft integra esta característica en Windows y será algo a tener en cuenta.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#26
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

PIR
(**), el grupo que administra el dominio .org, anunció una nueva asociación para patrocinar el acceso gratuito para grupos que ejecutan "Dominios de Nivel Superior" (Top Level Domain o como es conocido en sus siglas: TLD) (think .com, .net, etc.) a la lista de salto de TLD de Internet Watch Foundation y Alertas de Dominio.

Con acceso gratuito a ambas funciones, pueden cerrar rápidamente un sitio web, si se detectase Material de Abuso Sexual Infantil (Child Sexual Abuse Material o como es conocido en sus siglas: CSAM), y ese sitio cerrado tampoco pudiese volver a registrarse fácilmente con el mismo nombre u otro similar, con otro proveedor de dominio.

Buscan aumentar el número de TLD (Dominios de Nivel Superior) suscritos, de una docena a más de mil.

(**)
En 2002, Internet Society creó el Registro de Interés Público (PIR o Public Interest Registry), una corporación sin fines de lucro para gestionar, mejorar y ampliar el dominio .org
La Internet Society es responsable de nombrar la Junta Directiva de PIR.

Fuente:
The Verge
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#27
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sucedió un escenario increíble: cepillos de dientes controlados remotamente participaron en un ataque distribuido de denegación de servicio (DDoS) para acceder y desactivar simultáneamente el sitio web de una empresa en Suiza, según informa Aargauer Zeitung.

Algunos cepillos de dientes inteligentes utilizan la conectividad para rastrear y mejorar los hábitos de higiene del usuario. Por ejemplo, las aplicaciones pueden determinar qué tan bien se cepillan los dientes los usuarios.

Los ciberdelincuentes aprovecharon las lagunas del lenguaje de programación Java para infectar en secreto cepillos de dientes inteligentes. Luego se utilizó un único comando para dirigir sus solicitudes a un servidor de destino.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Cada dispositivo conectado a Internet es un objetivo potencial o puede ser utilizado indebidamente para un ataque", advirtió Züger.

Los profesionales de la ciberseguridad evitan los dispositivos inteligentes por una buena razón: son fáciles de piratear debido a prácticas de actualización cuestionables y falta de soporte.

El informe de Aargauer Zeitung compartió que Züger y su equipo demostraron recientemente un experimento sobre cuánto tiempo tardaría una computadora conectada a Internet "sin ninguna protección" en infectarse. Supuestamente, el sistema quedó comprometido después de solo 20 minutos.

El año pasado se presentaron casi 50.000 incidentes cibernéticos ante la Oficina Federal Suiza de Ciberseguridad (BACS), un 43% más que el año anterior.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#28
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FlipperZero ha sido descrito como una "navaja suiza digital". Los ladrones se dirigen cada vez más a los coches sin llave aprovechando las vulnerabilidades del sistema de entrada.

"Anoche me robaron el coche en la entrada de mi casa", escribió la periodista tecnológica Eleanor Dallaway en una publicación de X el 6 de febrero.

"Aún conservo ambas llaves (estaban guardadas en un lugar seguro, lejos del coche), sin cristales rotos. La alarma no sonó (estábamos durmiendo con la ventana de arriba abierta y no escuchamos nada)", añade Dallaway.

Rik Ferguson, investigador de ciberseguridad y asesor especial de la unidad de delitos cibernéticos de Europol, respondió al tweet de Dallaway, diciendo que sospecha que FlipperZero podría haber sido utilizado para robar su Mercedes.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

FlipperZero, un pequeño dispositivo que comenzó como un proyecto de Kickstarter, puede leer, grabar y manipular señales inalámbricas como radiofrecuencia (RF), comunicación de campo cercano (NFC), infrarrojos e identificación por radiofrecuencia ( RFID).

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El dispositivo se ha utilizado con éxito para leer y clonar la tarjeta NFC, tarjetas de entrada, aire acondicionado, controles de TV o puertas. FlipperZero también puede leer y grabar señales de los llaveros del coche.

Sin embargo, los autos tienen un nivel adicional de característica de seguridad llamado "códigos rodantes" que cambia el código después de cada uso para evitar una forma simple de ataque de repetición. Desbloquear un automóvil con FlipperZero requeriría la explotación de vulnerabilidades adicionales.


Coches sin llave, el objetivo de los ladrones

Dado que los coches de lujo funcionan sin llave, los llamados robos de relés están aumentando. Los ladrones están explotando las vulnerabilidades de los sistemas de entrada sin llave para obtener acceso no autorizado a los vehículos.

Los sistemas de automóviles sin llave funcionan mediante un control remoto con el que el automóvil se comunica para bloquear y desbloquear, en lugar de una llave física. Los ladrones ya no necesitan robar una llave o irrumpir en una propiedad; en cambio, simplemente necesitan interceptar la señal del llavero.

Existe una amplia gama de dispositivos electrónicos, dispositivos de clonación de claves y otras herramientas que se pueden obtener fácilmente en Internet para apuntar al vehículo y robarlo en cuestión de minutos.

Reto de robar un auto

El año pasado, Hyundai y KIA lanzaron actualizaciones de software para millones de propietarios de automóviles en un esfuerzo por combatir un desafío viral en TikTok vinculado a una serie de autos robados, golpes en los guardabarros y más de una docena de muertes en los EE. UU.

El "desafío KIA", iniciado en Milwaukee, Wisconsin, por una pandilla de adolescentes conocida como "KIA Boyz", llamó la atención en 2021. Estos jóvenes ladrones comenzaron a compartir videos instructivos que demostraban cómo eludir los sistemas de seguridad de los vehículos y los autos con cables usando solo un destornillador. y un cable USB.

Este exploit afectó a todos los automóviles fabricados por Hyundai y KIA entre 2015 y 2019, que carecían de encendido por botón y de mecanismos antirrobo inmovilizadores, sumando un total de 8,3 millones de vehículos.

Los fabricantes de automóviles fueron demandados por no instalar dispositivos antirrobo en la mayoría de los modelos antes de 2021, creando un entorno propicio para los ladrones de automóviles.

Fuente
:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#29
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los últimos resultados de la encuesta de hardware y software de Steam confirman que Windows 11 está recibiendo más interés por parte de los usuarios, y es que dicho sistema operativo ha subido un 2,29% durante el mes de enero, lo que lo sitúa con una cuota total del 44,24%. Si lo comparamos con Windows 10 vemos que la diferencia a favor de este es de solo un 7,19%.

Esto representa un importante cambio de tendencia. Si Windows 11 mantiene su tendencia al alza y los valores de crecimiento son similares a los que registró en enero de este año podría acabar superando a Windows 10 antes del verano. Con con una media de crecimiento mensual del 2% en cuatro meses ya estaría por encima de dicho sistema operativo. Como dato anecdótico vemos que Windows 7 todavía tiene un 0,59% de cuota de usuarios, a pesar de que hace años que no tiene soporte oficial.

Saltando al hardware vemos que no hay cambios importantes.

NVIDIA sigue liderando en tarjetas gráficas y la familia GeForce X060 sigue siendo la más popular.
La GeForce RTX 3060 es la más utilizada con una cuota del 4,83%, seguida de la GeForce GTX 1650 y la GeForce RTX 3060 para portátil. El cuarto puesto es para la GeForce GTX 1060, quinta es la GeForce RTX 2060 y sexta la GeForce RTX 3060 Ti.

Dentro de la serie GeForce RTX 40 el modelo que más alto posiciona es la GeForce RTX 4060 para portátiles, con un 2,52%, y en escritorio la GeForce RTX 4070 con un 1,50%. Por el lado de AMD las mejor clasificadas son sus GPUs integradas, que suman un 2,11%, y en escritorio la Radeon RX 580 con un 0,92%. La mayoría de los usuarios de Steam tienen 8 GB de memoria gráfica (31,79%), un 15,04% tiene 12 GB de memoria gráfica y solo un 1,81% cuenta con 16 GB de memoria gráfica.

Por lo demás no hay sorpresas, los procesadores de 6 núcleos siguen siendo los más utilizados con una cuota del 31,64%, seguidos de los procesadores de 4 núcleos con un 22,49% y los de 8 núcleos con un 20,89%. La velocidad de trabajo más común es entre 2,3 GHz y 2,9 GHz, y la mayoría de los usuarios (un 49,60%) tiene 16 GB de memoria RAM.

La resolución dominante a la hora de jugar en Steam no ha cambiado, ya que un 59,70% de los encuestados juega en 1080p, y un 51,98% tienen unidades de almacenamiento de más de 1 TB. El kit de realidad virtual más utilizado es el Oculus Quest 2, con un 40,64%, seguido del kit de Valve con un 15% y del Meta Quest 3 con un 14,05%.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
Steam
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Compendio al español):
MuyComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#30
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La red social descentralizada Mastodon ha revelado una falla de seguridad crítica que permite a actores maliciosos hacerse pasar por cualquier cuenta y apoderarse de ella.

"Debido a una validación de origen insuficiente en todo Mastodon, los atacantes pueden hacerse pasar por cualquier cuenta remota y apoderarse de ella", dijeron los responsables en un escueto aviso.

La vulnerabilidad, rastreada como CVE-2024-23832, tiene una calificación de gravedad de 9,4 sobre un máximo de 10. Al investigador de seguridad arcicanis se le atribuye haberla descubierto e informado.

Se ha descrito como un "error de validación de origen" (CWE-346), que normalmente puede permitir a un atacante "acceder a cualquier funcionalidad".

"Cualquier cantidad de detalles haría que fuera muy fácil encontrar un exploit", decía.

La naturaleza federada de la plataforma significa que se ejecuta en servidores separados (también conocidos como instancias), alojados y operados de forma independiente por los respectivos administradores que crean sus propias reglas y regulaciones y estas se aplican localmente.

Esto también significa que no solo cada instancia tiene un código de conducta, términos de servicio, política de privacidad y pautas de moderación de contenido únicos, sino que también requiere que cada administrador aplique actualizaciones de seguridad de manera oportuna para proteger las instancias contra riesgos potenciales.

La divulgación llega casi siete meses después de que Mastodon abordara otras dos fallas críticas (CVE-2023-36460 y 2023-36459) que los adversarios podrían haber utilizado como arma para causar denegación de servicio (DoS) o lograr la ejecución remota de código.

Todas las versiones de Mastodon anteriores a la 3.5.17 son vulnerables, al igual que las versiones 4.0.x anteriores a la 4.0.13, las versiones 4.1.x anteriores a la 4.1.13 y las versiones 4.2.x anteriores a la 4.2.5.

Mastodon dijo que retendrá detalles técnicos adicionales sobre la falla hasta el 15 de febrero de 2024, para darles a los administradores tiempo suficiente para actualizar las instancias del servidor y evitar la probabilidad de explotación.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#31
Noticias Informáticas / AnyDesk es hackeado
Febrero 05, 2024, 11:21:22 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El fabricante de software de escritorio remoto AnyDesk reveló el viernes que sufrió un ciberataque que comprometió sus sistemas de producción.

La empresa alemana dijo que el incidente, que descubrió tras una auditoría de seguridad, no es un ataque de ransomware y que ha notificado a las autoridades pertinentes.

"Hemos revocado todos los certificados relacionados con la seguridad y los sistemas han sido reparados o reemplazados cuando fue necesario", dijo la compañía en un comunicado. "En breve revocaremos el certificado de firma de código anterior para nuestros binarios y ya hemos comenzado a reemplazarlo por uno nuevo".

Por precaución, AnyDesk también ha revocado todas las contraseñas de su portal web, my.anydesk[.]com, e insta a los usuarios a cambiar sus contraseñas si las mismas se han reutilizado en otros servicios en línea.

También recomienda que los usuarios descarguen la última versión del software, que viene con un nuevo certificado de firma de código.

AnyDesk no reveló cuándo y cómo se violaron sus sistemas de producción. Actualmente no se sabe si se robó alguna información después del ataque. Sin embargo, enfatizó que no hay evidencia de que ningún sistema de usuario final haya sido afectado.

A principios de esta semana, Günter Born de BornCity reveló que AnyDesk había estado bajo mantenimiento desde el 29 de enero. El problema se solucionó el 1 de febrero. Anteriormente, el 24 de enero, la compañía también alertó a los usuarios sobre "tiempos de espera intermitentes" y "degradación del servicio" con su Portal del Cliente.

AnyDesk cuenta con más de 170.000 clientes, incluidos Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam y Thales.

La divulgación se produce un día después de que Cloudflare dijera que fue violado por un presunto atacante de un estado-nación que utilizó credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.

Actualización

La empresa de ciberseguridad Resecurity dijo que encontró dos actores de amenazas, uno de los cuales se conoce con el alias en línea "Jobaaaaa", anunciando un "número significativo de credenciales de clientes de AnyDesk a la venta en Exploit[.]in", señalando que podrían usarse para "soporte técnico, estafas y envíos postales (phishing)".

Se descubrió que el actor de amenazas ofrecía 18,317 cuentas por $15,000 en criptomonedas, además de aceptar un acuerdo a través de depósito en garantía en el foro sobre delitos cibernéticos.

"En particular, las marcas de tiempo visibles en las capturas de pantalla compartidas por el actor ilustran un acceso no autorizado exitoso con fecha del 3 de febrero de 2024 (divulgación posterior al incidente)", dijo la compañía. "Es posible que no todos los clientes hayan cambiado sus credenciales de acceso, o que este mecanismo aún estuviera en marcha por parte de los afectados".

No está claro cómo se obtuvieron las credenciales, pero Resecurity dijo que los ciberdelincuentes podrían apresurarse a monetizar las credenciales de los clientes disponibles a la luz del hecho de que las contraseñas podrían restablecerse.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#32
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un ex ingeniero de software de la Agencia Central de Inteligencia de Estados Unidos (CIA) ha sido condenado a 40 años de prisión por el Distrito Sur de Nueva York (SDNY) por transmitir documentos clasificados a WikiLeaks y por poseer material pornográfico infantil.

Joshua Adam Schulte, de 35 años, fue acusado originalmente en junio de 2018. Fue declarado culpable en julio de 2022. El 13 de septiembre de 2023, fue declarado culpable de recibir, poseer y transportar pornografía infantil. Además de la pena de prisión, Schulte ha sido condenado a cadena perpetua en libertad supervisada.

"El robo de Schulte es la mayor violación de datos en la historia de la CIA, y su transmisión de esa información robada a WikiLeaks es una de las mayores revelaciones no autorizadas de información clasificada en la historia de Estados Unidos", dijo el Departamento de Justicia de Estados Unidos.

La información confidencial compartida por Schulte incluía un tramo de herramientas de piratería y exploits denominados Vault 7 y Vault 8. Fue publicado por WikiLeaks a partir del 7 de marzo de 2017, durante un período de ocho meses.

Schulte trabajó como desarrollador de software en el Centro de Inteligencia Cibernética (CCI) de 2012 a 2016, donde trabajó en herramientas relacionadas con operaciones cibernéticas ofensivas realizadas por la CIA, y posteriormente abusó de sus privilegios de administrador para saquear "copias de archivos de desarrollo de herramientas de la CCI"en 2016.

Esta información incluía métodos para "recopilar inteligencia extranjera contra los adversarios de Estados Unidos", incluido un arsenal de armas cibernéticas y exploits de día cero que permitieron comprometer automóviles, televisores inteligentes, navegadores web y sistemas operativos móviles y de escritorio ampliamente utilizados.

La filtración, descrita como un "Pearl Harbor digital", le costó a la agencia "cientos de millones de dólares" y "perjudicó gravemente la seguridad nacional de Estados Unidos y arriesgó directamente las vidas del personal de la CIA", dijeron los fiscales.

Schulte también fue acusado de mentir repetidamente a la Oficina Federal de Investigaciones (FBI) de Estados Unidos sobre su participación, así como de "tejer narrativas falsas" sobre cómo la información podría haberse obtenido de las computadoras de la CIA en un intento de desviar sospechas.

Una búsqueda posterior en su departamento de Nueva York en marzo de 2017 descubrió una reserva de material de abuso sexual infantil (CSAM, por sus siglas en inglés) que abarca aproximadamente 3,400 imágenes y videos, algunos de los cuales fueron recopilados durante su empleo con la CIA en la dark web y sitios web rusos.

Durante su detención en espera de juicio, se descubrió que había utilizado teléfonos celulares de contrabando en la cárcel para crear cuentas anónimas y cifradas de correo electrónico y de redes sociales, e intentó transmitir materiales protegidos a WikiLeaks y publicar información clasificada sobre técnicas y herramientas cibernéticas de la CIA.

El objetivo de Schulte, dijo el Departamento de Justicia, citando un diario escrito por él, era "romper relaciones diplomáticas, cerrar embajadas [y] poner fin a la ocupación estadounidense en todo el mundo".

"Joshua Schulte fue justamente castigado no sólo por su traición a nuestro país, sino también por su posesión sustancial de horrible material pornográfico infantil", dijo el subdirector a cargo del FBI, James Smith. "La gravedad de sus acciones es evidente y la sentencia impuesta refleja la magnitud de la amenaza inquietante y dañina que representa su conducta criminal".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#33
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cloudflare ha revelado que fue el objetivo de un probable ataque de un estado-nación en el que el actor de la amenaza aprovechó las credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.

La intrusión, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llevó a cabo "con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare", dijo la empresa de infraestructura web, describiendo al actor como "sofisticado" y alguien que "operaba de manera reflexiva y metódica".

Como medida de precaución, la compañía dijo además que rotó más de 5.000 credenciales de producción, sistemas de prueba y preparación segmentados físicamente, llevó a cabo clasificaciones forenses en 4.893 sistemas, volvió a crear imágenes y reinició todas las máquinas en su red global.

El incidente implicó un período de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario creó una cuenta de usuario maliciosa de Atlassian y estableció un acceso persistente a su servidor Atlassian para finalmente obtener acceso al sistema de gestión de código fuente de Bitbucket mediante el framework de simulación de adversario Sliver.

Se visitaron hasta 120 repositorios de código, de los cuales se estima que 76 fueron extraídos por el atacante.

"Los 76 repositorios de código fuente estaban casi todos relacionados con cómo funcionan las copias de seguridad, cómo se configura y administra la red global, cómo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes", dijo Cloudflare.

"Un pequeño número de repositorios contenían secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados".

Luego se dice que el actor de amenazas intentó sin éxito "acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil".

El ataque fue posible gracias al uso de un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados tras el hackeo en octubre de 2023 del sistema de gestión de casos de soporte de Okta.

Cloudflare reconoció que no había rotado estas credenciales, asumiendo erróneamente que no estaban en uso.

La compañía también dijo que tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2023. También involucró a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente.

"Los únicos sistemas de producción a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las páginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de código fuente, parece que estaban buscando información sobre la arquitectura, la seguridad y la gestión. de nuestra red global", afirmó Cloudflare.

Fuente
:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#34
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se han revelado múltiples vulnerabilidades de seguridad en la herramienta de línea de comandos runC que podrían ser aprovechadas por actores de amenazas para escapar de los límites del contenedor y realizar ataques de seguimiento.

Las vulnerabilidades, rastreadas como CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 y CVE-2024-23653, han sido denominadas colectivamente Leaky Vessels por el proveedor de ciberseguridad Snyk.

"Estos escapes de contenedores podrían permitir a un atacante obtener acceso no autorizado al sistema operativo host subyacente desde dentro del contenedor y potencialmente permitir el acceso a datos confidenciales (credenciales, información del cliente, etc.) y lanzar más ataques, especialmente cuando el acceso obtenido incluye privilegios de superusuario", dijo la compañía.

runC es una herramienta para generar y ejecutar contenedores en Linux. Originalmente se desarrolló como parte de Docker y luego se dividió en una biblioteca de código abierto separada en 2015.

A continuación, se incluye una breve descripción de cada uno de los defectos:

    CVE-2024-21626 (puntuación CVSS: 8,6 ): runC Process.cwd y fuga del contenedor fds filtrado

    CVE-2024-23651 (puntuación CVSS: 8,7 ): desglose del contenedor de condiciones de carrera en tiempo de construcción de Buildkit

    CVE-2024-23652 (puntuación CVSS: 10.0 ) - Eliminación arbitraria de desmontaje de contenedores en tiempo de construcción de Buildkit

    CVE-2024-23653 (puntuación CVSS: 9,8 ) - Verificación de privilegios de Buildkit GRPC SecurityMode: ruptura del contenedor en tiempo de compilación

La falla más grave es CVE-2024-21626, que podría provocar un escape de contenedor centrado en el comando "WORKDIR".

"Esto podría ocurrir al ejecutar una imagen maliciosa o al crear una imagen de contenedor usando un Dockerfile malicioso o una imagen ascendente (es decir, cuando se usa `FROM`)", dijo Snyk.

No hay evidencia de que alguna de las deficiencias recientemente descubiertas haya sido explotada en la naturaleza hasta la fecha. Dicho esto, los problemas se solucionaron en la versión 1.1.12 de runC lanzada hoy luego de la divulgación responsable en noviembre de 2023. Las otras tres fallas de Buildkit se solucionaron con la versión 0.12.5.

"Debido a que estas vulnerabilidades afectan los componentes del motor de contenedores de bajo nivel y las herramientas de creación de contenedores ampliamente utilizados, Snyk recomienda encarecidamente que los usuarios busquen actualizaciones de cualquier proveedor que proporcione sus entornos de ejecución de contenedores, incluidos Docker, proveedores de Kubernetes, servicios de contenedores en la nube y comunidades de código abierto. " dijo la empresa.

Docker, en un aviso independiente, dijo que las vulnerabilidades solo pueden explotarse si un usuario interactúa activamente con contenido malicioso incorporándolo al proceso de construcción o ejecutando un contenedor desde una imagen no autorizada.

"Los posibles impactos incluyen el acceso no autorizado al sistema de archivos del host, comprometer la integridad de la caché de compilación y, en el caso de CVE-2024-21626, un escenario que podría conducir a un escape completo del contenedor", dijo Docker.

Amazon Web Services (AWS), Google Cloud y Ubuntu también han publicado sus propias alertas, instando a los clientes a tomar las medidas adecuadas cuando sea necesario.

En febrero de 2019, los mantenedores de runC abordaron otra falla de alta gravedad (CVE-2019-5736, puntuación CVSS: 8.6 ) que un atacante podría aprovechar para salir del contenedor y obtener acceso raíz en el host.

Las debilidades de seguridad de la nube y los contenedores siguen siendo un riesgo de ataque, ya que las organizaciones otorgan permisos y privilegios administrativos excesivos a las cuentas durante la configuración inicial, dejando atrás configuraciones incorrectas y oportunidades de escalada de privilegios para los atacantes.

"Esta práctica crea un riesgo indebido cuando la mayoría de los incidentes graves de seguridad en la nube con impacto material están vinculados a la gestión fallida de identidades, acceso y privilegios", señaló Sysdig en su Informe de uso y seguridad nativo de la nube de 2024. "A menudo es el vector de ataque inicial en una cadena de ataques, y este compromiso de identidad conduce inevitablemente al abuso de aplicaciones, compromiso del sistema o filtración de datos".

Fuente[/b]:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#35
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de ciberseguridad están llamando la atención sobre la "democratización" del ecosistema de phishing debido al surgimiento de Telegram como epicentro del cibercrimen, que permite a los actores de amenazas montar un ataque masivo por tan solo 230 dólares.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Esta aplicación de mensajería se ha transformado en un centro bullicioso donde tanto los ciberdelincuentes experimentados como los recién llegados intercambian herramientas e ideas ilícitas creando una cadena de suministro oscura y bien engrasada de herramientas y datos de las víctimas", dijeron los investigadores de Guardio Labs Oleg Zaytsev y Nati Tal en un nuevo informe.

"Muestras gratuitas, tutoriales, kits e incluso piratas informáticos contratados: todo lo necesario para construir una campaña maliciosa completa de extremo a extremo". La compañía también describió a Telegram como un "paraíso de los estafadores" y un "caldo de cultivo para las operaciones modernas de phishing".

Esta no es la primera vez que la popular plataforma de mensajería pasa desapercibida por facilitar actividades maliciosas, impulsadas en parte por sus indulgentes esfuerzos de moderación.

Como resultado, lo que solía estar disponible sólo en foros de la dark web a los que solo se podía acceder mediante invitación ahora es fácilmente accesible a través de canales y grupos públicos, abriendo así las puertas del cibercrimen a ciberdelincuentes aspirantes e inexpertos.

En abril de 2023, Kaspersky reveló cómo los phishers crean canales de Telegram para educar a los novatos sobre el phishing, así como para anunciar bots que pueden automatizar el proceso de creación de páginas de phishing para recopilar información confidencial, como credenciales de inicio de sesión.

Uno de esos robots maliciosos de Telegram es Telekopye (también conocido como Classiscam), que puede crear páginas web, correos electrónicos y mensajes SMS fraudulentos para ayudar a los actores de amenazas a realizar estafas de phishing a gran escala.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Guardio dijo que los componentes básicos para construir una campaña de phishing se pueden comprar fácilmente en Telegram - "algunos se ofrecen a precios muy bajos y otros incluso gratis" - lo que hace posible configurar páginas fraudulentas a través de un kit de phishing, alojar la página en un sitio web de WordPress comprometido a través de un shell web y aprovechar un correo de puerta trasera para enviar los mensajes de correo electrónico.

Los correos de puerta trasera, comercializados en varios grupos de Telegram, son scripts PHP inyectados en sitios web ya infectados pero legítimos para enviar correos electrónicos convincentes utilizando el dominio legítimo del sitio web explotado para evitar los filtros de spam.

"Esta situación pone de relieve una doble responsabilidad de los propietarios de los sitios", dijeron los investigadores. "Deben salvaguardar no sólo sus intereses comerciales, sino también protegerse contra el uso de sus plataformas por parte de estafadores para albergar operaciones de phishing, enviar correos electrónicos engañosos y realizar otras actividades ilícitas, todo ello sin que ellos lo sepan".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para aumentar aún más la probabilidad de éxito de este tipo de campañas, los mercados digitales en Telegram también ofrecen lo que se conoce como "cartas", que son "plantillas de marca diseñadas por expertos" que hacen que los mensajes de correo electrónico parezcan lo más auténticos posible para engañar a las víctimas para que hagan clic en el enlace falso que apunta a la página fraudulenta.

Telegram también alberga conjuntos de datos masivos que contienen direcciones de correo electrónico y números de teléfono válidos y relevantes a los que dirigirse. Conocidos como "clientes potenciales", a veces se "enriquecen" con información personal como nombres y direcciones físicas para maximizar el impacto.

"Estos clientes potenciales pueden ser increíblemente específicos, adaptados a cualquier región, nicho, grupo demográfico, clientes específicos de la empresa y más", dijeron los investigadores. "Cada pieza de información personal aumenta la efectividad y credibilidad de estos ataques".

La forma en que se preparan estas listas de clientes potenciales puede variar de un vendedor a otro. Se pueden obtener en foros de ciberdelincuencia que venden datos robados de empresas atacadas o en sitios web dudosos que instan a los visitantes a completar una encuesta falsa para ganar premios.

Otro componente crucial de estas campañas de phishing es un medio para monetizar las credenciales robadas recopiladas vendiéndolas a otros grupos criminales en forma de "registros", lo que genera a los actores de amenazas un retorno de su inversión diez veces mayor según el número de víctimas que termine proporcionando detalles válidos en la página de estafa.

"Las credenciales de cuentas de redes sociales se venden por tan solo un dólar, mientras que las cuentas bancarias y las tarjetas de crédito podrían venderse por cientos de dólares, dependiendo de su validez y fondos", dijeron los investigadores.

"Desafortunadamente, con sólo una pequeña inversión, cualquiera puede iniciar una operación de phishing importante, independientemente de sus conocimientos previos o conexiones en el mundo criminal".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#36
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La empresa de telecomunicaciones Digitel informó que detectaron una amenaza de seguridad en su sistema, por lo que procedió a bloquear temporalmente sus servidores para prevenir cualquier hackeo y filtración de información.

En ese sentido, la compañía de telefonía móvil señaló que solo su página web estará fuera de servicio y dijo que este bloqueo no afecta la comunicación de los clientes, quienes pueden disfrutar de su servicio normalmente.

El equipo técnico y de seguridad de Digitel atiende la incidencia para restablecer la operatividad en todos sus portales y canales de atención. De esa manera ofrece disculpas por las molestias ocasionadas.

Fuente:
Globovisión
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#37
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se descubrió que un actor de amenazas con motivación financiera que utilizaba dispositivos USB para la infección inicial, abusaba de plataformas en línea legítimas, incluidas GitHub, Vimeo y Ars Technica, para alojar cargas útiles codificadas, incrustadas en contenido aparentemente benigno.

Los atacantes ocultan estas cargas útiles a plena vista, colocándolas en perfiles de usuarios de foros en sitios de noticias tecnológicas o descripciones de videos en plataformas de alojamiento de medios.

Estas cargas útiles no suponen ningún riesgo para los usuarios que visitan estas páginas web, ya que son simplemente cadenas de texto. Sin embargo, cuando se integran en la cadena de ataque de la campaña, son fundamentales para descargar y ejecutar malware en los ataques.

Mandiant rastrea a los piratas informáticos responsables de esta campaña como UNC4990 y han estado activos desde 2020, apuntando principalmente a usuarios en Italia.

Alojamiento de carga útil (payloads) involuntario

El ataque comienza cuando las víctimas hacen doble clic en un archivo de acceso directo LNK malicioso en una unidad USB. No se sabe cómo los dispositivos USB maliciosos llegan a las víctimas para iniciar la cadena de ataque.

Cuando se inicia el acceso directo, ejecuta un script de PowerShell explorer.ps1, que a su vez descarga una carga útil intermedia que decodifica una URL utilizada para descargar e instalar el descargador de malware llamado 'EMPTYSPACE'.

Estas cargas útiles intermedias son cadenas de texto que se decodifican en una URL para descargar la siguiente carga útil: EMPTYSPACE.

UNC4990 ha probado varios enfoques para alojar cargas útiles intermedias, inicialmente usando archivos de texto codificados en GitHub y GitLab y luego cambiando a abusar de Vimeo y Ars Technica para alojar cargas útiles de cadenas codificadas en Base64 y cifradas con AES.

Mandiant señala que los atacantes no explotan una vulnerabilidad en estos sitios, sino que simplemente emplean características habituales del sitio, como una página Acerca de en un perfil del foro Ars Technica o una descripción de video de Vimeo, para alojar de manera encubierta la carga útil ofuscada sin levantar sospechas.

Vídeo de Vimeo que oculta código malicioso en la descripción
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, estas cargas útiles no amenazan directamente a los visitantes de los sitios abusados, ya que son simplemente cadenas de texto inofensivas, y todos los casos documentados por Mandiant ahora han sido eliminados de las plataformas intermediarias afectadas.

La ventaja de alojar las cargas útiles en plataformas legítimas y de buena reputación es que los sistemas de seguridad confían en ellas, lo que reduce la probabilidad de que sean marcadas como sospechosas.

Además, los actores de amenazas se benefician de las sólidas redes de entrega de contenido de esas plataformas y disfrutan de resiliencia ante las eliminaciones.

Incrustar las cargas útiles en contenido legítimo y mezclarlo con grandes volúmenes de tráfico legítimo hace que sea más difícil identificar y eliminar el código malicioso.

Incluso entonces, los atacantes podrían fácilmente reintroducirlo en una plataforma diferente que admita comentarios o perfiles visibles públicamente.

Cadena de ataque completa UNC4990
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cargando QUIETBOARD

El script de PowerShell decodifica, descifra y ejecuta la carga útil intermedia obtenida de los sitios legítimos y coloca EMPTYSPACE en el sistema infectado, que establece comunicación con el servidor de comando y control (C2) de la campaña.

Evolución del script de PowerShell
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En las fases posteriores del ataque, EMPTYSPACE descarga una puerta trasera llamada 'QUIETBOARD', así como mineros de criptomonedas que extraen Monero, Ethereum, Dogecoin y Bitcoin.

Las direcciones de billetera vinculadas a esta campaña han obtenido ganancias que superan los 55.000 dólares, sin contar Monero, que está oculto.

QUIETBOARD es una puerta trasera sofisticada de múltiples componentes utilizada por UNC4990, que ofrece una amplia gama de capacidades, que incluyen:

    Ejecutar comandos o scripts recibidos del servidor C2

    Ejecutando código Python recibido del C2

    Alteración del contenido del portapapeles para el robo de criptomonedas

    Infectar unidades USB/extraíbles para propagar malware en otros sistemas

    Tomar capturas de pantalla para robar información

    Recopilación de información detallada del sistema y de la red
    Determinar la ubicación geográfica del sistema infectado


QUIETBOARD también establece persistencia entre reinicios del sistema y admite la adición dinámica de nuevas funcionalidades a través de módulos adicionales.

Mandiant concluye subrayando cómo a UNC4990 le gusta realizar experimentos con sus campañas para descubrir vías óptimas para su cadena de ataque y perfeccionar sus metodologías.

A pesar de las medidas de prevención aparentemente sencillas, el malware basado en USB sigue representando una amenaza importante y sirve a los ciberdelincuentes como un medio de propagación eficaz.

En cuanto a la táctica de abusar de sitios legítimos para colocar cargas útiles intermedias, esto muestra que las amenazas pueden acechar en lugares inesperados y aparentemente inofensivos, desafiando los paradigmas de seguridad convencionales.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#38
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La policía de Sajonia, en el este de Alemania, confiscó 50.000 Bitcoin al antiguo operador del sitio pirata "movie2k.to" mediante un depósito voluntario en una billetera controlada por el estado.

Se trata de una cifra récord para las autoridades encargadas de hacer cumplir la ley del país, que corresponde a más de 2.100 millones de dólares al tipo de cambio actual Bitcoin-USD.

Movie2k fue una plataforma que funcionó entre 2008 y 2013 en un área legal gris, brindando principalmente a usuarios de habla inglesa y alemana enlaces para transmitir o descargar películas y programas de televisión, pero no alojaba ningún material protegido por derechos de autor.

Debido a su papel central en la piratería, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta enfrentó un importante escrutinio y desafíos legales por parte de las autoridades y varios grupos de la industria del entretenimiento, lo que provocó múltiples bloqueos a nivel de ISP y obligó a los operadores a cambiar sus dominios web varias veces.

El No tienes permitido ver los links. Registrarse o Entrar a mi cuenta original fue retirado alrededor de mayo de 2013 luego de una acción legal por parte de la Motion Picture Association of America (MPAA).

Con el apoyo de expertos del FBI, las autoridades policiales de Alemania continuaron investigando la identidad de los operadores detrás de la plataforma original y finalmente identificaron a un alemán de 40 años y a un polaco de 37.

Como anunció la policía, uno de los dos sospechosos transfirió voluntariamente Bitcoin a la Oficina Federal de Policía Criminal (BKA).

Se cree que las cantidades se obtuvieron de las ganancias obtenidas a través del funcionamiento de Movie2k, como ingresos por publicidad y suscripciones de membresía.

Los operadores de la plataforma comenzaron a intercambiar agresivamente dinero fiduciario con Bitcoin a mediados de 2012, ya sea como una opción de inversión o en anticipación de los riesgos legales de administrar una plataforma pirata a gran escala, asumiendo que la criptomoneda sería más difícil de rastrear y confiscar.

"En una investigación de la Fiscalía General de Dresde, la Oficina de la Policía Criminal del Estado de Sajonia y la investigación fiscal de la Oficina de Impuestos de Leipzig II como Unidad de Investigación Integrada de Sajonia (INES), a mediados de enero de 2024 se aseguraron provisionalmente casi 50.000 Bitcoins. " se lee en el anuncio de la policía.

"Se trata de la seguridad más amplia de Bitcoins realizada hasta la fecha por las autoridades policiales de la República Federal de Alemania."

La policía afirma que el acusado los transfirió voluntariamente a carteras proporcionadas por la BKA y que aún está pendiente la decisión final sobre el uso de esta importante cantidad.

Según el sitio de noticias alemán TarnKappe, uno de los dos sospechosos también estaba vinculado a "mega-downloads.net", cuyos operadores la policía de Hannover intenta descubrir desde 2009.

En agosto de 2020, el programador del sitio, que ha estado detenido desde noviembre de 2019, entregó más de 25 millones de dólares en Bitcoin (en ese momento) a las autoridades, admitiendo su participación en la plataforma.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#39
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un exploit de prueba de concepto (PoC) para una falla de elevación de privilegios local que afecta al menos a siete fabricantes de equipos originales (OEM) de Android ahora está disponible públicamente en GitHub. Sin embargo, como el exploit requiere acceso local, su lanzamiento será de gran ayuda para los investigadores.

Registrada como CVE-2023-45779, la falla fue descubierta por el Red Team X de Meta a principios de septiembre de 2023 y se solucionó en la actualización de seguridad de Android de diciembre de 2023 sin revelar detalles que un atacante podría usar para discernirla y explotarla.

La vulnerabilidad existe debido a la firma insegura de los módulos APEX mediante claves de prueba, lo que permite a los atacantes enviar actualizaciones maliciosas a los componentes de la plataforma, lo que lleva a una elevación de privilegios locales.

Aunque la vulnerabilidad no se puede explotar directamente de forma remota, resalta las debilidades en la documentación de Compatibility Test Suite (CTS) y Android Open Source Project (AOSP) que Google planea abordar en la próxima versión de Android 15.

Los dispositivos que recibieron el nivel de parche de seguridad de Android 2023-12-05 están protegidos contra CVE-2023-45779.

Firma APEX insegura

Tom Hebb de Meta publicó un artículo explicando que el problema radica en la firma de módulos APEX utilizando claves de prueba disponibles públicamente de AOSP.

Los módulos APEX permiten a los OEM impulsar actualizaciones en componentes específicos del sistema sin emitir una actualización inalámbrica (OTA) completa, lo que hace que los paquetes de actualización sean más ágiles y fáciles de probar y entregar a los usuarios finales.

Estos módulos deben firmarse con una clave privada conocida sólo por el OEM, creada durante el proceso de construcción. Sin embargo, usar la misma clave pública que se encuentra en el árbol de compilación del código fuente de Android significa que cualquiera podría falsificar actualizaciones de componentes críticos del sistema.

Estas actualizaciones podrían otorgar a los atacantes privilegios elevados en el dispositivo, evitando los mecanismos de seguridad existentes y resultando en un compromiso total.

CVE-2023-45779 afecta a muchos fabricantes de equipos originales, incluidos ASUS (probado en Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) y Fairphone (5).

Los modelos anteriores se refieren únicamente a la cobertura de prueba, por lo que es probable que varios modelos, si no todos, de estos siete OEM sean vulnerables a CVE-2023-45779. El boletín de Fairphone sobre el tema lo confirma.

Hebb dice que la razón por la que varios OEM no detectaron el problema de seguridad es multifacética, incluyendo configuraciones predeterminadas inseguras en AOSP, documentación inadecuada y cobertura insuficiente por parte del CTS, que no pudo detectar el uso de claves de prueba en las firmas APEX.

Los fabricantes de equipos originales cuyos modelos de dispositivos fueron probados por los analistas de Meta y se confirmó que no eran vulnerables a CVE-2023-45779 gracias al uso de claves privadas son Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) y OnePlus (10T).

Exploit disponible

Los investigadores lanzaron un exploit para CVE-2023-45779 en GitHub, haciéndolo ampliamente disponible, pero eso no significa que los usuarios que aún no han recibido una solución deban estar particularmente preocupados.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Normalmente, la falla requeriría acceso físico al dispositivo objetivo y cierta experiencia en el uso de 'adb shell' para explotarlo, por lo que la prueba de concepto está destinada principalmente a la investigación y la validación de la mitigación.

Sin embargo, como hemos visto varias veces, siempre existe la posibilidad de que el exploit se utilice como parte de una cadena de exploits para elevar los privilegios en un dispositivo ya comprometido.

Si su dispositivo Android ejecuta algo anterior al nivel de parche de seguridad de Android 2023-12-05, considere cambiar a una distribución con soporte activo o actualizar a un modelo más nuevo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

#40
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

CISA advirtió hoy que una falla de seguridad del kernel parcheada que afecta a los iPhone, Mac, televisores y relojes de Apple ahora se está explotando activamente en ataques.

Rastreado como CVE-2022-48618 y descubierto por los investigadores de seguridad de Apple, el error no se reveló hasta el 9 de enero en una actualización de un aviso de seguridad publicado en diciembre de 2022.

La compañía aún tiene que revelar si la vulnerabilidad también fue reparada silenciosamente hace más de dos años cuando se emitió el aviso por primera vez.

"Un atacante con capacidad de lectura y escritura arbitraria puede ser capaz de eludir la autenticación de puntero", reveló la compañía este mes.

"Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado en versiones de iOS lanzadas antes de iOS 15.7.1".

Esta vulnerabilidad de seguridad de autenticación inadecuada permite a los atacantes eludir la autenticación de puntero, una característica de seguridad diseñada para bloquear ataques que intentan explotar errores de corrupción de memoria.

Apple solucionó la falla con comprobaciones mejoradas en dispositivos con iOS 16.2 o posterior, iPadOS 16.2 o posterior, macOS Ventura o posterior, tvOS 16.2 o posterior y watchOS 9.2 o posterior.

La lista de dispositivos afectados por esta falla explotada activamente es bastante extensa y afecta tanto a modelos más antiguos como a más nuevos, incluyendo:

     iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores y iPad mini de 5.ª generación y posteriores

     Macs con macOS Ventura

     Apple TV 4K, Apple TV 4K (segunda generación y posteriores) y Apple TV HD

     y Apple Watch Series 4 y posteriores

Se ordenó a las agencias federales aplicar parches antes del 21 de febrero

Si bien Apple aún tiene que compartir más detalles sobre la explotación activa de CVE-2022-48618 en la naturaleza, CISA ha agregado la vulnerabilidad a su Catálogo de vulnerabilidades explotadas conocidas.

También ordenó a las agencias federales de EE. UU. que corrigieran el error antes del 21 de febrero, como lo exige una directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.

La semana pasada, Apple también lanzó actualizaciones de seguridad para corregir el primer error de día cero de este año (CVE-2024-23222) explotado en ataques, un problema de confusión de WebKit que los atacantes podrían aprovechar para obtener la ejecución de código en iPhones, Mac y Apple TV vulnerables.

El mismo día, la compañía también respaldó parches para modelos más antiguos de iPhone y iPad para dos días cero WebKit más, rastreados como CVE-2023-42916 y CVE-2023-42917 y parcheados en noviembre para dispositivos más nuevos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta