This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - Dragora

Pages: [1] 2 3 ... 114
1

Más de 1600 imágenes de Docker Hub disponibles públicamente ocultan comportamientos maliciosos, incluidos mineros de criptomonedas, secretos incrustados que se pueden usar como puertas traseras, secuestradores de DNS y redireccionadores de sitios web.

Docker Hub es una biblioteca de contenedores basada en la nube que permite a las personas buscar y descargar libremente imágenes de Docker o cargar sus creaciones en la biblioteca pública o repositorios personales.

Las imágenes de Docker son plantillas para la creación rápida y sencilla de contenedores que contienen código y aplicaciones listos para usar. Por lo tanto, aquellos que buscan configurar nuevas instancias a menudo recurren a Docker Hub para encontrar rápidamente una aplicación que se implemente fácilmente.

Desafortunadamente, debido al abuso del servicio por parte de los actores de amenazas, más de mil cargas maliciosas presentan riesgos graves para los usuarios desprevenidos que implementan imágenes cargadas de malware en contenedores alojados localmente o basados ​​en la nube.

Muchas imágenes maliciosas usan nombres que las disfrazan como proyectos populares y confiables, por lo que los actores de amenazas claramente las cargaron para engañar a los usuarios para que las descarguen.

Los investigadores de Sysdig investigaron el problema, trataron de evaluar la escala del problema e informaron sobre las imágenes encontradas que presentan algún tipo de código o mecanismo malicioso.

Trampas de Docker Hub

Además de las imágenes revisadas por Docker Library Project, que se verifica que son confiables, cientos de miles de imágenes con un estado desconocido están en el servicio.

Sysdig usó sus escáneres automatizados para analizar 250 000 imágenes de Linux no verificadas e identificó 1652 de ellas como maliciosas.


Tipos de imágenes maliciosas en Docker Hub  (Sysdig)

La categoría más grande fue la de cripto-mineros, que se encuentra en 608 imágenes de contenedores, apuntando a los recursos del servidor para extraer criptomonedas para los actores de amenazas.

La segunda ocurrencia más común fueron las imágenes que ocultaban secretos incrustados, midiendo 281 casos. Los secretos incrustados en estas imágenes son claves SSH, credenciales de AWS, tokens de GitHub, tokens de NPM y otros.


Tipos de secretos que quedan en las imágenes de Docker (Sysdig)

Sysdig comenta que estos secretos pueden haber sido dejados en imágenes públicas por error o inyectados intencionalmente por el actor de amenazas que los creó y subió.

“Al incorporar una clave SSH o una clave API en el contenedor, el atacante puede obtener acceso una vez que se implementa el contenedor”, advierte Sysdig en  el informe .

“Por ejemplo, cargar una clave pública en un servidor remoto permite a los propietarios de la clave privada correspondiente abrir un shell y ejecutar comandos a través de SSH, de forma similar a implantar una puerta trasera”.

Muchas imágenes maliciosas descubiertas por Sysdig usaban typosquatting para hacerse pasar por imágenes legítimas y confiables, solo para infectar a los usuarios con criptomineros.

Esta táctica sienta las bases para algunos casos de gran éxito, como los dos ejemplos que se muestran a continuación, que se han descargado casi 17.000 veces.


Typosquatting también garantiza que los usuarios que escriban mal el nombre de un proyecto popular descarguen una imagen maliciosa, por lo que, si bien esto no produce un gran número de víctimas, garantiza un flujo constante de infecciones.


Imágenes con errores tipográficos que capturan errores tipográficos aleatorios (Sysdig)

Un problema que empeora
Sysdig dice que en 2022, el 61 % de todas las imágenes extraídas de Docker Hub provienen de repositorios públicos, un aumento del 15 % con respecto a las estadísticas de 2021, por lo que el riesgo para los usuarios va en aumento.

Desafortunadamente, el tamaño de la biblioteca pública de Docker Hub no permite a sus operadores examinar todas las cargas diariamente; por lo tanto, muchas imágenes maliciosas no se denuncian.

Sysdig también notó que la mayoría de los actores de amenazas solo cargan un par de imágenes maliciosas, por lo que incluso si se elimina una imagen riesgosa y se prohíbe el cargador, no afecta significativamente el panorama de amenazas de la plataforma.

Fuente: You are not allowed to view links. Register or Login

2

Un actor de amenazas asociado con operaciones de ciberespionaje desde al menos 2017 ha estado atrayendo a las víctimas con un software VPN falso para Android que es una versión troyana del software legítimo SoftVPN y OpenVPN.

Los investigadores dicen que la campaña estaba "altamente dirigida" y tenía como objetivo robar datos de contacto y llamadas, ubicación del dispositivo, así como mensajes de múltiples aplicaciones.

Suplantación de identidad del servicio VPN

La operación se ha atribuido a un actor de amenazas avanzado rastreado como Bahamut, que se cree que es un grupo mercenario que brinda servicios de pirateo a sueldo.

El analista de malware de ESET, Lukas Stefanko, dice que Bahamut volvió a empaquetar las aplicaciones SoftVPN y OpenVPN para Android para incluir código malicioso con funciones de espionaje.

Al hacer esto, el actor se aseguró de que la aplicación aún brindara la funcionalidad VPN a la víctima mientras extraía información confidencial del dispositivo móvil.

Para ocultar su funcionamiento y con fines de credibilidad, Bahamut usó el nombre SecureVPN (que es un servicio VPN legítimo) y creó un sitio web falso [thesecurevpn] para distribuir su aplicación maliciosa.


Sitio web falso de SecureVPN de Bahamut
fuente: ESET

Stefanko dice que la aplicación VPN fraudulenta de los piratas informáticos puede robar contactos, registros de llamadas, detalles de ubicación, SMS, espiar chats en aplicaciones de mensajería como Signal, Viber, WhatsApp, Telegram y Messenger de Facebook, así como recopilar una lista de archivos disponibles en almacenamiento externo.

El investigador de ESET descubrió ocho versiones de la aplicación VPN de espionaje de Bahamut, todas con números de versión cronológicos, lo que sugiere un desarrollo activo.

Todas las aplicaciones falsas incluían código observado solo en operaciones atribuidas a Bahamut en el pasado, como la campaña SecureChat documentada por las empresas de ciberseguridad Cyble y CoreSec360 [ 1 ,  2 ].


Consultas SQL que Bahamut usó en sus aplicaciones maliciosas SecureChat y SecureVPN
fuente: ESET

Vale la pena señalar que ninguna de las versiones de VPN troyanizadas estaba disponible a través de Google Play, el repositorio oficial de recursos de Android, otra indicación de la naturaleza dirigida de la operación.

Se desconoce el método para el vector de distribución inicial, pero podría ser cualquier cosa, desde phishing por correo electrónico, redes sociales u otros canales de comunicación.

Los detalles sobre las operaciones de Bahamut  surgieron en el espacio público en 2017  cuando los periodistas del grupo de investigación Bellingcat publicaron un artículo sobre el actor de espionaje dirigido a activistas de derechos humanos de Oriente Medio.

Conectar a Bahamut con otros actores de amenazas es una tarea difícil si se tiene en cuenta que el grupo depende en gran medida de las herramientas disponibles públicamente, cambia constantemente de táctica y sus objetivos no se encuentran en una región en particular.

Sin embargo, los investigadores de BlackBerry señalan en un extenso  informe  sobre Bahamut en 2020 que el grupo "parece estar no solo bien financiado y con buenos recursos, sino también bien versado en investigación de seguridad y los sesgos cognitivos que los analistas suelen poseer".

Algunos grupos de actores de amenazas con los que Bahamut se ha asociado incluyen Windshift  y  Urpage .

Fuente: You are not allowed to view links. Register or Login

3

El notorio malware Emotet ha regresado con renovado vigor como parte de una campaña de malspam de alto volumen diseñada para lanzar cargas útiles como IcedID y Bumblebee .

Se han enviado "cientos de miles de correos electrónicos por día" desde principios de noviembre de 2022, dijo la empresa de seguridad empresarial Proofpoint la semana pasada, y agregó: "la nueva actividad sugiere que Emotet está volviendo a su funcionalidad completa actuando como una red de entrega para las principales familias de malware".

Entre los principales países objetivo se encuentran EE. UU., Reino Unido, Japón, Alemania, Italia, Francia, España, México y Brasil.

La actividad relacionada con Emotet se observó por última vez en julio de 2022, aunque desde entonces se han informado infecciones esporádicas . A mediados de octubre, ESET reveló que Emotet podría estar preparándose para una nueva ola de ataques y señaló las actualizaciones de su módulo "systeminfo".

El malware, que se atribuye a un actor de amenazas conocido como Mummy Spider (también conocido como Gold Crestwood o TA542), protagonizó una especie de renacimiento a fines del año pasado después de que su infraestructura fuera desmantelada durante una operación coordinada de aplicación de la ley en enero de 2021.

Europol llamó a Emotet el "malware más peligroso del mundo" por su capacidad de actuar como "principal abridor de puertas para los sistemas informáticos" para implementar binarios de próxima etapa que facilitan el robo de datos y el ransomware. Comenzó en 2014 como un troyano bancario antes de convertirse en una botnet.


Se sabe que las cadenas de infección que involucran el malware emplean señuelos genéricos, así como la técnica de secuestro de hilos de correo electrónico para atraer a los destinatarios a abrir archivos adjuntos de Excel habilitados para macros.

“Tras el reciente anuncio de Microsoft de que comenzaría a deshabilitar las macros de forma predeterminada en los documentos de Office descargados de Internet, muchas familias de malware han comenzado a migrar de las macros de Office a otros mecanismos de entrega como archivos ISO y LNK”, dijo Cisco Talos a principios de este mes.


"Por lo tanto, es interesante notar que esta nueva campaña de Emotet está utilizando su antiguo método de distribución de documentos maliciosos de Microsoft Office (maldocs) a través de phishing basado en correo electrónico.

Un método alternativo insta a las posibles víctimas a copiar el archivo en una ubicación de plantilla de Microsoft Office, una ubicación confiable, y ejecutar el documento de señuelo desde allí en lugar de tener que habilitar macros explícitamente para activar la cadena de eliminación.

La actividad renovada también ha ido acompañada de cambios en el componente del cargador de Emotet, una reimplementación de las comunicaciones de C2 utilizando la API de Windows Timer Queue , la adición de nuevos comandos y actualizaciones del empaquetador para resistir la ingeniería inversa.

Una de las cargas útiles de seguimiento distribuidas a través de Emotet es una nueva variante del cargador IcedID, que recibe comandos para leer y enviar contenidos de archivos a un servidor remoto, además de ejecutar otras instrucciones de puerta trasera que le permiten extraer datos del navegador web.

El uso de IcedID es preocupante, ya que probablemente sea un precursor del ransomware, señalaron los investigadores. Otro malware lanzado a través de Emotet es Bumblebee , según la Unidad 42 de Palo Alto Networks.

"En general, estas modificaciones realizadas en el cliente indican que los desarrolladores están tratando de disuadir a los investigadores y reducir la cantidad de bots falsos o cautivos que existen dentro de la botnet", dijeron los investigadores Pim Trouerbach y Axel F.

"Emotet no ha demostrado una funcionalidad completa y una entrega de carga útil de seguimiento constante (eso no es Cobalt Strike) desde 2021, cuando se observó que distribuía The Trick y Qbot".

Fuente: You are not allowed to view links. Register or Login

4

El Departamento de Justicia de EE. UU. (DoJ) anunció el lunes la eliminación de siete nombres de dominio en relación con una estafa de criptomonedas de "matanza de cerdos". El esquema fraudulento, que operó de mayo a agosto de 2022, les reportó a los actores más de $10 millones de cinco víctimas, dijo el Departamento de Justicia.

La matanza de cerdos, también llamada Sha Zhu Pan, es un tipo de estafa en la que los estafadores atraen a inversores desprevenidos para que envíen sus criptoactivos. Los delincuentes encuentran víctimas potenciales en aplicaciones de citas, sitios de redes sociales y mensajes SMS.

Estas personas inician relaciones falsas en un intento de generar confianza, solo para engañarlos para que realicen una inversión en criptomonedas en una plataforma falsa.

"Una vez que el dinero se envía a la aplicación de inversión falsa, el estafador desaparece y se lleva todo el dinero, lo que a menudo resulta en pérdidas significativas para la víctima", dijo el Departamento de Justicia.

Los siete portales incautados imitaban a la Bolsa Monetaria Internacional de Singapur (SIMEX), señaló la agencia.

Pero una vez que los fondos se transfirieron a direcciones de billetera supuestamente proporcionadas por estos dominios, se dice que las monedas digitales se movieron de inmediato a través de una serie de billeteras privadas y servicios de intercambio para ocultar el rastro.

"El fraude de matanza de cerdos destaca los extremos a los que los actores llegarán para diseñar socialmente a un objetivo para que sea víctima de un crimen perpetuado por grandes ecosistemas de ciberdelincuencia", dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, a The Hacker News.

"La manipulación emocional, el tono amistoso y la mera duración de la fase previa a la explotación permiten que se desarrollen sentimientos genuinos, y el actor explota esa emoción para obtener ganancias financieras, con pérdidas a veces de millones de dólares ".

Un aviso publicado por la Oficina Federal de Investigaciones (FBI) de EE. UU. el mes pasado señaló que cuando las víctimas intentaban retirar sus inversiones, se les pedía que pagaran impuestos o multas adicionales, lo que generaba más pérdidas.

La agencia de inteligencia, en abril, reveló que recibió más de 4300 quejas relacionadas con estafas de cripto-romance en 2021, lo que resultó en pérdidas por más de $429 millones.

Un informe reciente de Proofpoint también detalló algunas de las otras tácticas adoptadas por los estafadores, incluida la sugerencia de cambiar la conversación a Telegram o WhatsApp para un "chat más privado" y alentar a las víctimas a enviar fotos comprometedoras.

"Además de los señuelos basados ​​en criptomonedas, estas empresas criminales han utilizado oro, divisas, acciones y otros temas para explotar a sus víctimas", dijeron los investigadores Tim Kromphardt y Genina Po .

“Tales esquemas tienen éxito debido a la naturaleza íntima de las conversaciones que conducen a la 'masacre'. Causar vergüenza y vergüenza son objetivos clave para los actores de amenazas que aprovechan este tipo de ingeniería social para explotar a las víctimas, de forma similar al fraude romántico".

Fuente: You are not allowed to view links. Register or Login

5

Se dice que Meta Platforms despidió o sancionó a más de dos docenas de empleados y contratistas durante el último año por supuestamente comprometer y hacerse cargo de las cuentas de los usuarios, informó el jueves The Wall Street Journal.

Algunos de estos casos involucraron soborno, dijo la publicación, citando fuentes y documentos.

Entre los despedidos se encontraban contratistas que trabajaban como guardias de seguridad en las instalaciones de la empresa de redes sociales y se les dio acceso a una herramienta interna que permitía a los empleados ayudar a los "usuarios que conocen" a obtener acceso a las cuentas después de olvidar sus contraseñas o bloquear sus cuentas. .

El sistema, llamado "Oops" y abreviatura de Online Operations, está fuera del alcance de la gran mayoría de los usuarios de la plataforma, lo que lleva al surgimiento de una "industria casera de intermediarios" que cobran a los usuarios miles de dólares y se comunican con personas internas que estaban dispuesto a resetear las cuentas.

"Realmente tienes que tener a alguien adentro que realmente lo haga", dijo el propietario de una plataforma de creación de contenido.

Según el Journal, se estima que la alternativa al proceso automatizado de recuperación de cuentas de Meta , que se limita a los empleados y sus amigos y familiares, socios comerciales y figuras públicas, procesó alrededor de 50 270 informes en 2020, frente a los 22 000 de 2017.

Dado el acceso limitado a la herramienta, no sorprende que haya surgido una especie de mercado negro para los usuarios del servicio que han perdido el acceso a sus cuentas .

En un caso, un excontratista de seguridad supuestamente ayudó a terceros no identificados a hacerse cargo de forma fraudulenta de las cuentas de Instagram. El individuo afirmó que fue engañado para que presentara informes de Oops para restablecer las cuentas afectadas en cuestión.

Otro caso involucró a un contratista que fue despedido después de que una investigación interna descubrió que restableció varias cuentas de usuario en nombre de los piratas informáticos a cambio de recibir pagos de Bitcoin por sus servicios.

Meta le dijo al Journal que comprar o vender cuentas o pagar por un servicio de recuperación de cuentas es una violación de los términos de servicio de la red social.

Fuente: You are not allowed to view links. Register or Login

6

Atlassian ha lanzado actualizaciones para abordar las actualizaciones de gravedad crítica en su plataforma centralizada de gestión de identidades, Crowd Server and Data Center, y en Bitbucket Server and Data Center, la solución de la empresa para la gestión de repositorios Git.

Ambas vulnerabilidades de seguridad recibieron una calificación de gravedad de 9 sobre 10 (calculada por Atlassian) y afectan a varias versiones de los productos.

Configuración incorrecta en la multitud

Calificado como crítico, el problema en Crowd Server and Data Center se rastrea como CVE-2022-43782 y es una configuración incorrecta que permite a un atacante eludir las comprobaciones de contraseña al autenticarse como la aplicación Crowd y llamar a puntos finales de API privilegiados.

El problema se introdujo en la versión 3.0 del producto y no afecta las actualizaciones de versiones anteriores, como la 2.9.1.

Atlassian explica que la explotación es posible bajo ciertas condiciones. Uno de ellos es una configuración de dirección remota modificada para incluir una dirección IP permitida, una desviación de la configuración predeterminada (ninguna).

"Esto permitiría al atacante llamar a puntos finales privilegiados en la API REST de Crowd bajo la ruta de administración de usuarios", señala Atlassian en un aviso de seguridad .

El problema afecta a las versiones de Crowd 3.0.0 a 3.7.2, 4.0.0 a 4.4.3 y 5.0.0 a 5.0.2. Multitud 5.0.3 y 4.4.4 no se ven afectados.

Atlassian no corregirá la falla en la versión 3.0.0 del producto porque llegó al final de su vida útil y soporte.

El aviso de seguridad proporciona instrucciones detalladas para que los administradores verifiquen si una instancia se ha visto comprometida y los pasos a seguir en tales casos.

Detalles de la falla de Bitbucket

La falla que afecta a Bitbucket Server and Data Center se introdujo en la versión 7.0 del producto y se identifica como CVE-2022-43781. Es una vulnerabilidad de inyección de comandos que permite a un atacante con permiso controlar su nombre de usuario para obtener la ejecución del código en el sistema de destino bajo ciertas condiciones.

Todas las versiones de la 7.0 a la 7.21 se ven afectadas independientemente de su configuración, así como las versiones de la 8.0 a la 8.4 donde la función "mesh.enabled" está deshabilitada en "bitbucket.properties".

CVE-2022-43781 no afecta las instancias que ejecutan PostgreSQL y aquellas alojadas por Atlassian (a las que se accede a través de un dominio bitbucket.org).

Las versiones que solucionan el problema son:

7.6.19 o más reciente
7.17.12 o más reciente
7.21.6 o más reciente
8.0.5 o más reciente
8.1.5 o más reciente
8.2.4 o más reciente
8.3.3 o más reciente
8.4.2 o más reciente
8.5.0 o más reciente

Los usuarios que no puedan actualizar a las versiones fijas deben deshabilitar el "Registro público", lo que requeriría que el atacante se autentique con credenciales válidas, lo que reduce el riesgo de explotación.

El aviso de seguridad  señala que los usuarios de ADMIN y SYS_ADMIN aún pueden explotar la falla con esta configuración, por lo que debe tratarse como una medida de mitigación temporal.

Fuente: You are not allowed to view links. Register or Login

7

Microsoft ha lanzado actualizaciones opcionales fuera de banda (OOB) para solucionar un problema conocido que desencadena fallas de inicio de sesión de Kerberos y otros problemas de autenticación en los controladores de dominio de Windows empresariales después de instalar las actualizaciones acumulativas lanzadas durante el martes de parches de noviembre.

La compañía reconoció y  comenzó a investigar  el lunes cuando también dijo que el problema conocido podría afectar cualquier escenario de autenticación Kerberos dentro de los entornos empresariales afectados.

Si bien Microsoft también  comenzó a reforzar la seguridad  para Kerberos y Netlogon a partir del martes de parches de noviembre de 2022, dijo que estos problemas de autenticación no son un resultado esperado.

Problemas de autenticación en las versiones de Windows afectadas

"Después de instalar las actualizaciones lanzadas el 8 de noviembre de 2022 o más tarde en los servidores de Windows con la función de controlador de dominio, es posible que tenga problemas con la autenticación de Kerberos", explicó Microsoft.

"Cuando se encuentra este problema, es posible que reciba un evento de error de Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 en la sección Sistema del registro de eventos en su controlador de dominio con el siguiente texto".

La lista de escenarios de autenticación de Kerberos afectados incluye, entre otros, los siguientes:

- El inicio de sesión del usuario del dominio puede fallar. Esto también podría afectar  la  autenticación de los Servicios de federación de Active Directory (AD FS) .
- Las cuentas de servicio administradas de grupo  utilizadas para servicios como  Internet Information Services (IIS Web Server)  pueden fallar en la autenticación.
- Es posible que las conexiones de escritorio remoto que usan usuarios de dominio no se conecten.
- Es posible que no pueda acceder a carpetas compartidas en estaciones de trabajo y recursos compartidos de archivos en servidores.
- La impresión que requiere autenticación de usuario de dominio puede fallar.
- Corrección lanzada para las versiones de Windows afectadas
- Hoy, Microsoft ha lanzado actualizaciones de emergencia OOB que los administradores de Windows deben instalar en todos los controladores de dominio (DC) en los entornos afectados.

"No necesita instalar ninguna actualización ni realizar ningún cambio en otros servidores o dispositivos cliente en su entorno para resolver este problema", dice Microsoft .

"Si usó alguna solución o mitigación para este problema, ya no son necesarios y le recomendamos que los elimine".

Las actualizaciones OOB publicadas hoy solo están disponibles a través del  Catálogo de actualizaciones de Microsoft  y no se ofrecerán a través de Windows Update.

Redmond ha publicado actualizaciones acumulativas para la instalación en controladores de dominio (no se necesita ninguna acción en el lado del cliente):

- Servidor Windows 2022:  KB5021656
- Servidor Windows 2019:  KB5021655
- Servidor Windows 2016:  KB5021654

Microsoft también lanzó actualizaciones independientes que se pueden importar a Windows Server Update Services (WSUS) y Microsoft Endpoint Configuration Manager:

- Servidor de Windows 2012 R2:  KB5021653
- Servidor de Windows 2012:  KB5021652
- Servidor de Windows 2008 SP2:  KB5021657

La única plataforma afectada que aún espera una solución es Windows Server 2008 R2 SP1. Redmond dice que la próxima semana estará disponible una actualización dedicada.

Puede encontrar instrucciones detalladas de implementación de WSUS en  WSUS y en el Sitio del catálogo  y en las instrucciones del Administrador de configuración en la  página Importar actualizaciones desde el Catálogo de Microsoft Update.

"Si está utilizando solo actualizaciones de seguridad para estas versiones de Windows Server, solo necesita instalar estas actualizaciones independientes para el mes de noviembre de 2022", agregó Microsoft.

"Si está utilizando actualizaciones de paquetes acumulativos mensuales, deberá instalar las actualizaciones independientes enumeradas anteriormente para resolver este problema e instalar los paquetes acumulativos mensuales publicados el 8 de noviembre de 2022 para recibir las actualizaciones de calidad para noviembre de 2022".

Hace dos años, Redmond abordó  problemas similares de autenticación de Kerberos que  afectaban a los sistemas Windows  causados ​​por las actualizaciones de seguridad  lanzadas con el martes de parches de noviembre de 2020.

Fuente: You are not allowed to view links. Register or Login

8

Si has entrado en Twitter durante estos días, seguramente te has enterado de las catastróficas predicciones que apuntan al colapso de esta red. Recordemos por un segundo que la empresa ha perdido una gran cantidad de empelados, además de los que decidieron retirarse tras el polémico correo en el que avisó que tendrán que trabajar durante jornadas intensas o que se marcharan de la empresa.

Y es que ahora parece ser que Musk está buscando a cualquier programador de software que quede dentro de Twitter, pues aparentemente hay falta de persona calificado en este ramo. Así lo reporta Zoë Schiffer desde Twitter, oh, la ironía.


NUEVO: Correo electrónico de Elon al equipo de ingeniería: "Cualquiera que realmente pueda escribir software, por favor preséntese hoy en el piso 10 a las 2 pm de hoy. Antes de hacerlo, por favor, envíeme por correo electrónico con un resumen de lo que su código han trabajado en los últimos 6 meses.

Además, en el correo, solicita que se suban hasta 10 capturas de pantalla de sus líneas de código más desatacado. Todo parece apuntar a que el equipo de desarrollo de Twitter ha quedado diezmado, como muchos otros sectores de la empresa.

Una compañía desolada

Encima, Musk solicita que estén presentes de manera física en la reunión y solo los que "solo aquellos que no pueden llegar físicamente a la sede de Twitter están exentos". Sin embargo, invita a que los que puedan volar a San Francisco, lo hagan.


NUEVO: En un correo electrónico para ingenieros remotos de Twitter, Elon Musk dice que quiere hablar con la gente en video ("solo aquellos que no pueden llegar físicamente a la sede de Twitter están exentos") pero "si es posible, los animo a volar a SF para presente en persona". Estará en la oficina hasta medianoche.

Por otra parte, como lo reportó la BBC News, a los empleados también les llegó un correo informando que los edificios destinados a oficinas será cerrados temporalmente y serán abierto hasta el próximo lunes 21 de noviembre. Por lo que las oficinas de Twitter están, para efectos prácticos, desoladas.

Twitter parece estar viviendo momentos difíciles, pues no solo en las oficinas centrales fue que se efectuaron estos despidos, también en las cedes internacionales, pues a principios del mes se anunciaba un recorte de casi el 50% del personal. De momento se desconoce el destino de esta red social, pero desde ayer en la noche los presagios era malo y una tormenta parece estar por llegar.


En caso de suceder lo peor, al menos las risas no faltaron, como con los tuits que lanzaron las personas que registraron su Twitter Blue como empresas y personas importantes, causando confusión y diversión a partes iguales, spoilers: el falso Nintendo of America subió un Mario grosero enseñando el dedo corazón.

Fuente: You are not allowed to view links. Register or Login

9
Video Juegos / Ubisoft hace equipo con Riot Games
« on: November 17, 2022, 06:22:45 pm »

Ubisoft y Riot Games han anunciado esta tarde que unirán fuerzas para combatir los comportamientos tóxicos en las comunidades de sus plataformas. El primer paso para esto será la creación de una base de datos para poder entrenar algoritmos de Deep Learning y así crear una Inteligencia Artificial que combata la toxicidad en el gaming.

El proyecto será llamado Zero Harm In Comms, que se traduce como "Cero Ataques en las Comunicaciones". En palabras de Yves Jacquier, director ejecutivo de Ubisoft, se están tomando muy en serio su meta y piensan que estos problemas pueden resolverse de una manera más efectiva uniéndose como industria.

El comportamiento inapropiado de los jugadores es un problema que nos tomamos muy en serio, pero a la vez es muy difícil de resolver. En Ubisoft hemos estado trabajando en medidas concretas que ayuden a lograr experiencias seguras y disfrutables, pero creemos que seremos capaces de abordar este tema de forma más eficaz si nos unimos como industria.
A través de esta colaboración tecnológica con Riot Games, estamos explorando cómo prevenir la toxicidad dentro del juego como diseñadores de estos entornos con una conexión directa a nuestras comunidades.


Es bien sabido que este tipo de comentarios y acciones negativas inundan todo tipo de juegos, desde títulos de deportes hasta FPS, sin importar la comunidad a la que vayan dirigidos. El proyecto Zero Harms in Comms no es una solución definitiva, sino un primer paso hacia soluciones y regulaciones de estos problemas dentro del gaming.

Una alianza inesperada pero necesaria


Podemos leer en el boletín de prensa, que la colaboración llega tras el análisis de las distintas naturalezas de las empresas, como la gran cantidad de títulos de Ubisoft así como los juegos multijugador de Riot Games.

Con el proyecto de investigación ''Zero Harm in Comms'', Ubisoft y Riot Games estudian cómo sentar las bases tecnológicas para futuras colaboraciones en la industria y cómo crear un marco que garantice la ética y la privacidad de esta iniciativa. Gracias a los juegos altamente competitivos de Riot Games y a los diversos proyectos de Ubisoft, la base de datos resultante debería cubrir a todo tipo de jugadores y de comportamientos en el juego para poder entrenar mejor los sistemas de IA de Riot Games y Ubisoft.

Y es que las bases de datos son una parte fundamental para entrenar una IA, pues de lo contrario, no tienes nada con lo cual puedan aprender a identificar patrones. Los algoritmos de Inteligencia Artificial necesitan de información para su aprendizaje y en muchas ocasiones la recolección y limpieza de datos se lleva gran parte del tiempo y recursos del proyecto.

Si bien aún está en su etapa inicial, el proyecto de investigación ''Zero Harm in Comms'' es el primer paso de un proyecto más ambicioso que busca beneficiar a toda la comunidad de jugadores en el futuro. Como parte de la primera fase de este proyecto, Ubisoft y Riot se comprometieron a compartir los aprendizajes de la etapa inicial del experimento con toda la industria el próximo año, sin importar el resultado.

Por ello es que Zero Harm in Comms parece tan importante, porque supondrá un primer paso para crear una sólida base de datos y entrenamiento de IA que ayuden a crear algoritmos más eficaces en el futuro.

Fuente: You are not allowed to view links. Register or Login

10

Los correos electrónicos de phishing que distribuyen el malware QBot utilizan una falla de secuestro de DLL en el Panel de control de Windows 10 para infectar computadoras, probablemente como un intento de evadir la detección por parte del software de seguridad.

El secuestro de DLL es un método de ataque común que aprovecha cómo se cargan las bibliotecas de vínculos dinámicos (DLL) en Windows.

Cuando se inicia un ejecutable de Windows, buscará cualquier dependencia de DLL en la ruta de búsqueda de Windows. Sin embargo, si un actor de amenazas crea una DLL maliciosa con el mismo nombre que una de las DLL requeridas del programa y la almacena en la misma carpeta que el ejecutable, el programa cargaría esa DLL maliciosa e infectaría la computadora.

QBot, también conocido como Qakbot, es un malware de Windows que comenzó como un troyano bancario pero evolucionó hasta convertirse en un cuentagotas de malware con todas las funciones. Las pandillas de ransomware, incluidas  Black Basta ,  Egregor y  Prolock , también usan el malware para obtener acceso inicial a las redes corporativas.

En julio, el investigador de seguridad ProxyLife descubrió que los actores de amenazas estaban explotando una  vulnerabilidad de secuestro de DLL en la calculadora de Windows 7  para instalar el malware QBot.

Esta semana, ProxyLife le dijo a BleepingComputer que los atacantes han pasado a usar una falla de secuestro de DLL en el ejecutable del Panel de control de Windows 10, control.exe.


Abusar del panel de control de Windows

En una campaña de phishing vista por ProxyLife, los actores de la amenaza utilizan correos electrónicos de cadena de respuesta robados para distribuir un archivo adjunto HTML que descarga un archivo ZIP protegido por contraseña con un archivo ISO dentro.


Correo electrónico de phishing de QBot en una nueva campaña
Fuente: BleepingComputer

El archivo HTML, con un nombre similar a 'RNP_[número]_[número].html, muestra una imagen que pretende ser Google Drive y una contraseña para un archivo ZIP que se descarga automáticamente, como se muestra a continuación.


Archivo adjunto HTML en correos electrónicos no deseados de QBot
Fuente: BleepingComputer

Este archivo ZIP contiene una imagen de disco ISO que, al hacer doble clic, se abrirá automáticamente en una nueva letra de unidad en Windows 10 y versiones posteriores.

Este archivo ISO contiene un archivo de acceso directo de Windows (.LNK), un  ejecutable 'control.exe'  (Panel de control de Windows 10) y dos archivos DLL llamados  edputil.dll  (utilizado para el secuestro de DLL) y  msoffice32.dll  (malware QBot).


Contenido de la imagen ISO
Fuente: BleepingComputer

El acceso directo de Windows (.LNK) incluido en la ISO utiliza un icono que intenta que parezca una carpeta.

Sin embargo, cuando un usuario intenta abrir esta carpeta falsa, el acceso directo inicia el ejecutable del Panel de control de Windows 10, control.exe, que se almacena en el archivo ISO, como se muestra a continuación.


Acceso directo de Windows que desencadena la infección de QBot
Fuente: BleepingComputer

Cuando se inicia control.exe, automáticamente intentará cargar la DLL legítima edputil.dll, que se encuentra en la carpeta C:\Windows\System32. Sin embargo, no busca la DLL en carpetas específicas y cargará cualquier DLL con el mismo nombre si se coloca en la misma carpeta que el ejecutable control.exe.

Como los actores de la amenaza están agrupando una DLL maliciosa edputil.dll en la misma carpeta que control.exe, esa DLL maliciosa se cargará en su lugar.

Una vez cargada, la  DLL maliciosa edputil.dll infecta el dispositivo con el malware QBot ( msoffice32.dll ) usando el comando regsvr32.exe msoffice32.dll.

Al instalar QBot a través de un programa confiable como el Panel de control de Windows 10, es posible que el software de seguridad no marque el malware como malicioso, lo que le permite evadir la detección.

QBot ahora se ejecutará silenciosamente en segundo plano, robando correos electrónicos para usarlos en ataques de phishing y descargando cargas adicionales como  Brute Ratel  o  Cobalt Strike .

Brute Ratel y Cobalt Strike son kits de herramientas posteriores a la explotación que los actores de amenazas utilizan para obtener acceso remoto a las redes corporativas.

Este acceso remoto comúnmente conduce al robo de datos corporativos y ataques de ransomware.

Fuente: You are not allowed to view links. Register or Login

11

Un ransomware 'ARCrypter' previamente desconocido que comprometió a organizaciones clave en América Latina ahora está expandiendo sus ataques en todo el mundo.

Los actores de amenazas detrás de la nueva familia de ransomware  atacaron una agencia gubernamental en Chile en  agosto pasado, apuntando a los sistemas Linux y Windows y agregando la extensión ".crypt" en los archivos cifrados.

En ese entonces, el analista de amenazas chileno Germán Fernández le dijo a BleepingComputer que la cepa parecía completamente nueva, sin conexión con ninguna familia de ransomware conocida.

Los investigadores de BlackBerry han confirmado esto a través de un informe que identifica a la familia como ARCrypter y la vincula a un  segundo ataque  contra el Instituto Nacional de Vigilancia de Drogas y Alimentos de Colombia (Invima) en octubre.

BlackBerry también advierte que ARCrypter ahora está expandiendo sus operaciones fuera de América Latina y apuntando a varias organizaciones en todo el mundo, incluidas China y Canadá.

BleepingComputer confirmó esta expansión y también vio víctimas de ARCrypter en Alemania, EE. UU. y Francia.

Las demandas de rescate varían y llegan a ser tan bajas como $ 5,000 en algunos casos vistos por BleepingComputer, por lo que ARCrypter opera como un actor de ransomware de nivel medio.

Detalles de ARCrypter

BlackBerry dice que las primeras muestras de ARCrypter aparecieron a principios de agosto de 2022, unas semanas antes del ataque en Chile.

El vector de ataque sigue siendo desconocido, pero los analistas pudieron localizar dos URL de AnonFiles que se utilizan como recursos remotos para obtener un archivo "win.zip" que contiene "win.exe".

El ejecutable es un archivo cuentagotas que contiene los recursos BIN y HTML. HTML contiene los datos de la nota de rescate, mientras que BIN contiene datos cifrados que requieren una contraseña.


La nota de rescate, generada antes del cifrado (BleepingComputer)

Si se proporciona una contraseña, BIN creará un directorio aleatorio en la máquina comprometida para almacenar la carga útil de la segunda etapa, que se nombra con caracteres alfanuméricos aleatorios.

“Si bien no pudimos identificar la clave de descifrado correcta utilizada para descifrar el recurso BIN, creemos con un alto grado de certeza que la segunda carga útil es el ransomware ARCrypter”, dice BlackBerry en el informe.


La carga útil con nombre aleatorio cayó en una carpeta recién creada (BlackBerry)

La carga útil de ARCrypter luego crea persistencia agregando la siguiente clave de registro:

“HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate”

A continuación, el malware elimina todas las instantáneas de volumen para evitar una fácil restauración de datos, modifica la configuración de la red para asegurar una conectividad estable y luego encripta todos los archivos excepto los tipos que se muestran a continuación.


Tipos de archivos excluidos del cifrado (BlackBerry)

Los archivos en ubicaciones críticas como las carpetas "Arranque" y "Windows" también se omiten para evitar que el sistema quede completamente inutilizable.

Aparte de la extensión '.crypt', los archivos encriptados mostrarán un mensaje 'TODOS SUS ARCHIVOS HAN SIDO ENCRIPTADOS' en el administrador de archivos, gracias a las modificaciones en las siguientes claves del Registro:



Archivos encriptados por ARCrypter  (BlackBerry)

Si bien los actores de amenazas afirman robar datos durante sus ataques, la operación de ransomware actualmente no tiene un sitio de fuga de datos que utilicen para publicar datos para víctimas no remuneradas.

En este momento, se sabe poco sobre los operadores de ARCrypter, su origen, idioma y vínculos potenciales con otras bandas de ransomware.

Fuente: You are not allowed to view links. Register or Login

12

Se han revelado múltiples vulnerabilidades de seguridad en los dispositivos F5 BIG-IP y BIG-IQ que, si se explotan con éxito, comprometen completamente los sistemas afectados.

La firma de seguridad cibernética Rapid7 dijo que se podría abusar de las fallas para acceder de forma remota a los dispositivos y vencer las restricciones de seguridad. Los problemas afectan las versiones 13.x, 14.x, 15.x, 16.x y 17.x de BIG-IP, y las versiones 7.x y 8.x de BIG-IQ Centralized Management.

Los dos problemas de alta gravedad, que se informaron a F5 el 18 de agosto de 2022, son los siguientes:

- CVE-2022-41622 (puntaje CVSS: 8.8): una vulnerabilidad de falsificación de solicitud entre sitios ( CSRF ) a través de iControl SOAP, lo que lleva a la ejecución remota de código no autenticado.

- CVE-2022-41800 (puntaje CVSS: 8.7): una vulnerabilidad REST de iControl que podría permitir que un usuario autenticado con una función de administrador eluda las restricciones del modo de dispositivo .

"Al explotar con éxito la peor de las vulnerabilidades (CVE-2022-41622), un atacante podría obtener acceso raíz persistente a la interfaz de administración del dispositivo (incluso si la interfaz de administración no está orientada a Internet)", dijo Ron Bowes, investigador de Rapid7 .

Sin embargo, vale la pena señalar que tal exploit requiere que un administrador con una sesión activa visite un sitio web hostil.

También se identificaron tres instancias diferentes de elusión de seguridad, que según F5 no se pueden explotar sin primero romper las barreras de seguridad existentes a través de un mecanismo previamente no documentado.

Si surgiera tal escenario, un adversario con acceso Advanced Shell ( bash ) al dispositivo podría utilizar estas debilidades como armas para ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o deshabilitar servicios.

Si bien F5 no ha mencionado ninguna de las vulnerabilidades que se explotan en los ataques, se recomienda que los usuarios apliquen los parches necesarios a medida que estén disponibles para mitigar los riesgos potenciales.

Fuente: You are not allowed to view links. Register or Login

13

Un grupo motivado financieramente con sede en China está aprovechando la confianza asociada con marcas internacionales populares para orquestar una campaña de phishing a gran escala que data de 2019.

Se dice que el actor de amenazas, apodado Fangxiao por Cyjax, registró más de 42,000 dominios impostores , con una actividad inicial observada en 2017.

"Se dirige a negocios en múltiples verticales, incluidos el comercio minorista, la banca, los viajes y la energía", dijeron las investigadoras Emily Dennison y Alana Witten . "Los incentivos financieros o físicos prometidos se utilizan para engañar a las víctimas para que sigan difundiendo la campaña a través de WhatsApp".

Los usuarios que hacen clic en un enlace enviado a través de la aplicación de mensajería son dirigidos a un sitio controlado por el actor que, a su vez, los envía a un dominio de destino que se hace pasar por una marca conocida, desde donde las víctimas son nuevamente conducidas a sitios que distribuyen aplicaciones fraudulentas. y recompensas falsas.

Estos sitios invitan a los visitantes a completar una encuesta para reclamar premios en efectivo, a cambio de lo cual se les pide que reenvíen el mensaje a cinco grupos o 20 amigos. La redirección final, sin embargo, depende de la dirección IP de la víctima y la cadena User-Agent del navegador .

Más de 400 organizaciones, incluidas Emirates, Shopee, Unilever, Indomie, Coca-Cola, McDonald's y Knorr, están siendo imitadas como parte del esquema criminal, dijeron los investigadores.

Alternativamente, se ha observado que los ataques en los que se hace clic en anuncios móviles fraudulentos desde un dispositivo Android culminan en el despliegue de un troyano móvil llamado Triada , que recientemente se detectó propagándose a través de aplicaciones falsas de WhatsApp.


No es solo Triada, ya que otro destino de la campaña es la lista de Google Play Store de una aplicación llamada "App Booster Lite - RAM Booster" ( com.app.booster.lite.phonecleaner.batterysaver.cleanmaster ), que tiene más de 10 millones descargas

La aplicación, creada por un desarrollador con sede en Chequia conocido como LocoMind, se describe como un "Potente refuerzo de teléfono", "Limpiador de chatarra inteligente" y un "Ahorrador de batería efectivo".

Las revisiones de la aplicación han llamado al editor por mostrar demasiados anuncios, e incluso señalan que "Llegaron aquí [la página de Play Store] desde uno de esos anuncios 'su Android está dañado x%'".

"Nuestra aplicación no puede propagar virus", respondió LocoMind a la revisión el 31 de octubre de 2022. "Google Play verifica cada una de nuestras actualizaciones; habrían eliminado nuestra aplicación hace mucho tiempo por este motivo".

Si se realiza la misma acción desde un dispositivo con iOS, la víctima es redirigida a Amazon a través de un enlace de afiliado, lo que le otorga al actor una comisión por cada compra en la plataforma de comercio electrónico realizada durante las próximas 24 horas.

Las conexiones chinas del actor de amenazas se derivan de la presencia de texto en mandarín en un servicio web asociado con aaPanel , un panel de control de código abierto basado en Python para alojar múltiples sitios web.

Un análisis más detallado de los certificados TLS emitidos para los dominios de la encuesta en 2021 y 2022 revela que la mayor parte de los registros se superponen con la zona horaria UTC+08:00, que corresponde a la hora estándar de China de 9:00 a. m. a 11:00 p. m.

"Los operadores tienen experiencia en la ejecución de este tipo de campañas impostoras, están dispuestos a ser dinámicos para lograr sus objetivos y son técnica y logísticamente capaces de escalar para expandir su negocio", dijeron los investigadores.

"Las campañas de Fangxiao son métodos efectivos de generación de clientes potenciales que se han redirigido a varios dominios, desde malware hasta enlaces de referencia, anuncios y adware".

Fuente: You are not allowed to view links. Register or Login

14

El pasado 6 de noviembre, los seguidores de Sword Art Online conmemoraron la fecha de lanzamiento del VRMMORPG que da sentido a la historia del manganime. En él, la premisa arranca cuando los jugadores interesados en este título masivo de realidad virtual se dan cuenta que, una vez dentro de la propuesta, no pueden escapar hasta que completen los cien pisos del juego. Además, si mueren dentro de Aincrad, el mundo de Sword Art Online, también lo harán en la vida real.

Aunque suene macabro, muchos seguidores de la licencia nipona han buscado la forma de hacer realidad esta alocada premisa. Por ello, Palmer Luckey, fundador de Oculus VR y diseñador de Oculus Rift, se ha puesto manos a la obra para lograr lo inimaginable: unas gafas de realidad virtual capaces de acabar con tu vida si pierdes la partida. De hecho, Luckey ha querido ir más allá y ha ofrecido, además de detalles relacionados con la muerte del jugador, otras opciones que ha pensado para hacerlo más fiel a la premisa de Sword Art Online.


Será imposible destruir o retirarse el casco

Palmer ofreció varios detalles relacionados con esta macabra idea en su blog. En él detalla que su versión de NerveGear, el dispositivo de Sword Art Online que conecta a los jugadores con su avatar de Aincrad, lleva integrado una serie de explosivos que detonarán a través de un sensor que alcanza una frecuencia específica. Dicha frecuencia, tal y como sucede en el manganime, aparece cuando la vida del jugador llega a 0 y la partida se termina.

Además, Luckey añadió que está buscando la forma de hacer su dispositivo más real intentando evitar que los jugadores puedan quitárselo o, en su defecto, destruirlo. Pese a ello, hace hincapié en que se trata de un “trabajo de oficina”, motivo por el que este casco no contará con distribución oficial ni llegará a varios puntos de venta ya que se trata de un proyecto cerrado que nunca verá la luz.

¿Y si...sí tuvieras la oportunidad de usarlo...lo harías?


Fuente: You are not allowed to view links. Register or Login

15

El servicio de alojamiento de repositorios basado en la nube GitHub ha abordado una falla de seguridad de alta gravedad que podría haberse aprovechado para crear repositorios maliciosos y montar ataques a la cadena de suministro.

La técnica RepoJacking , divulgada por Checkmarx, implica eludir un mecanismo de protección llamado retiro del espacio de nombres del repositorio popular , que tiene como objetivo evitar que los desarrolladores extraigan repositorios inseguros con el mismo nombre.

El problema fue abordado por la subsidiaria propiedad de Microsoft el 19 de septiembre de 2022 luego de una divulgación responsable.

RepoJacking ocurre cuando un creador de un repositorio opta por cambiar el nombre de usuario, lo que podría permitir que un actor de amenazas reclame el nombre de usuario anterior y publique un repositorio falso con el mismo nombre en un intento de engañar a los usuarios para que los descarguen.


Si bien la contramedida de Microsoft "retira  [ s ] el espacio de nombres de cualquier proyecto de código abierto que tuvo más de 100 clones en la semana previa al cambio de nombre o la eliminación de la cuenta del propietario", Checkmarx descubrió que esto se puede eludir a través de la característica de " transferencia de repositorio ". .

La forma en que esto funciona es la siguiente:

- Un actor de amenazas crea un repositorio con el mismo nombre que el repositorio retirado (por ejemplo, "repo") propiedad de un usuario llamado "víctima" pero con un nombre de usuario diferente (por ejemplo, "ayudante").

- "ayudante" transfiere la propiedad de "repo" a una segunda cuenta con el nombre de usuario "atacante"

- "atacante" cambia el nombre de usuario de la cuenta a "víctima"

- El espacio de nombres "víctima/repo" ahora está bajo el control del adversario

En otras palabras, el ataque depende de la peculiaridad de que GitHub solo considera como retirado el espacio de nombres, es decir, la combinación de nombre de usuario y nombre de repositorio, lo que permite que un mal actor reutilice el nombre del repositorio junto con un nombre de usuario arbitrario.


Una explotación exitosa podría haber permitido efectivamente a los atacantes impulsar repositorios envenenados, poniendo los nombres de usuario renombrados en riesgo de ser víctimas de ataques a la cadena de suministro.

"Si no se atiende explícitamente, todos los nombres de usuario renombrados en GitHub eran vulnerables a esta falla, incluidos más de 10,000 paquetes en los administradores de paquetes Go, Swift y Packagist", dijo Aviad Gershon, investigador de Checkmarx.

Fuente: You are not allowed to view links. Register or Login

16

Se ha puesto a disposición un parche no oficial para una falla de seguridad explotada activamente en Microsoft Windows que hace posible que los archivos firmados con firmas mal formadas pasen sigilosamente las protecciones Mark-of-the-Web ( MotW ).

La solución, lanzada por 0patch, llega semanas después de que HP Wolf Security revelara una campaña de ransomware Magniber que se dirige a los usuarios con actualizaciones de seguridad falsas que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.

Si bien los archivos descargados de Internet en Windows están etiquetados con un indicador MotW para evitar acciones no autorizadas, desde entonces se descubrió que las firmas corruptas de Authenticode se pueden usar para permitir la ejecución de ejecutables arbitrarios sin ninguna advertencia de SmartScreen .

Authenticode es una tecnología de firma de código de Microsoft que autentica la identidad del editor de un software en particular y verifica si el software fue manipulado después de que se firmó y publicó.

"El archivo [JavaScript] en realidad tiene el MotW, pero aún se ejecuta sin una advertencia cuando se abre", señaló Patrick Schläpfer, investigador de HP Wolf Security.


Quote
"Si el archivo tiene esta firma de Authenticode mal formada, se omitirá el cuadro de diálogo de advertencia de SmartScreen y/o apertura de archivo", explicó el investigador de seguridad Will Dormann .
Fuente: Twitter de Will Dormann

Ahora, según la cofundadora de 0patch, Mitja Kolsek, el error de día cero es el resultado de que SmartScreen devuelve una excepción al analizar la firma con formato incorrecto, lo que se interpreta incorrectamente como una decisión de ejecutar el programa en lugar de activar una advertencia.

Las correcciones para la falla también llegan menos de dos semanas después de que se enviaran parches no oficiales para otra falla de derivación de MotW de día cero que salió a la luz en julio y desde entonces ha sido atacada activamente, según el investigador de seguridad Kevin Beaumont .

La vulnerabilidad, descubierta por Dormann, se relaciona con la forma en que Windows no establece el identificador MotW en archivos extraídos de archivos .ZIP específicamente diseñados.

"Por lo tanto, los atacantes, comprensiblemente, prefieren que sus archivos maliciosos no estén marcados con MOTW; esta vulnerabilidad les permite crear un archivo ZIP de modo que los archivos maliciosos extraídos no estén marcados", dijo Kolsek.

Fuente: You are not allowed to view links. Register or Login

17

Mal día para los usuarios de Instagram. La red social centrada en la fotografía y el vídeo de Meta está dando fallos en todo el mundo. De acuerdo a comentarios de los usuarios en otras redes sociales, como Twitter, los problemas se presentan a la hora de iniciar sesión. Además, algunas cuentas parecen estar siendo bloqueadas por error.

El equipo de relaciones públicas de Instagram, a través de su cuenta en Twitter, ha reconocido los inconvenientes de este lunes. "Somos conscientes de que algunos de vosotros tenéis problemas para acceder a vuestra cuenta de Instagram. Lo estamos investigando y pedimos disculpas por las molestias", han indicado en el mensaje.


Instagram está dando fallos en todo el mundo


Downdetector, plataforma digital en línea que proporciona información en tiempo real sobre el estado actual de varias páginas web y servicios, señala que los inconvenientes con la red social adquirieron mayor magnitud alrededor de las 14:30 (hora peninsular española). Al momento de escribir este artículo, más de 7.000 usuarios han indicado en la mencionada plataforma digital que están teniendo problemas con Instagram.


Como podemos ver en la captura superior, uno de los errores que están recibiendo los usuarios tienen que ver con el inicio de sesión. Al ingresar su nombre usuario y contraseña y pulsar en Iniciar sesión, reciben el mensaje "Se ha producido un error al iniciar sesión en Instagram. Vuelve a intentarlo más tarde". Las cuentas con la sesión iniciada previamente parecen no estar dando problemas.

Otro de los inconvenientes tiene que ver con suspensiones de cuentas sin aparente razón. Después de intentar iniciar sesión, como menciona Trendulkar en Twitter, algunos usuarios están recibiendo un mensaje que les indica que su cuenta ha sido suspendida y enumera una serie de razones que podrían haber causado esta medida, dando al usuario la posibilidad de apelar la decisión.


Ante este escenario es recomendable no iniciar un proceso de apelación inmediatamente ya que, si la medida corresponde a un error por parte de Instagram, la compañía debería restaurar el acceso a las cuentas en cuestión de tiempo. Las cuentas suspendidas dejan de contabilizase, por lo que los usuarios pueden experimentar una caída temporal en el número de sus seguidores.

Nueva interfaz web de Instagram

De momento se desconocen los motivos del fallo de la red social, pero coincide con el despliegue de una renovada interfaz web para la aplicación. Como mencionamos al principio, desde la red social han indicado que están investigando el origen de los inconvenientes y actualizaremos este artículo cuando tengamos más detalles.

En cuanto a los cambios que Instagram está desplegando, se trata de una renovada interfaz web que sitúa el menú con el acceso a Inicio, Buscar, Explorar, Mensajes, Notificaciones, Crear y Perfil en la parte izquierda de la pantalla. Anteriormente, todos estos accesos se encontraban en la parte superior.

Imágenes: Solen Feyissa
Fuente: You are not allowed to view links. Register or Login

18

El pasado jueves 27 de octubre, Elon Musk concretó la compra de la red social por 44,000 millones de dólares. Tras la noticia, usuarios comenzaron a externar su preocupación en la propia empresa sobre el nivel de control o las libertades que se perderían bajo la nueva dirección, comenzando a crear nuevas cuentas en otras plataformas, como Mastodon y Discord.

De acuerdo con Wired, solamente entre el 20 y el 27 de octubre, se inscribieron unas 18,000 personas en esta red social, y al 28 de octubre se contabilizaban 381,113 usuarios, según Eugen Rochko, director general de la plataforma.

El movimiento comenzó a tomar fuerza apenas horas después de la noticia de la adquisición, generando tendencias en Twitter con #TwitterMigration, en previsión a que se dieran cambios radicales en la nueva red social de Musk.

De acuerdo con la propia Mastodon, el nombre de su plataforma comenzó a ser tendencia conforme más usuarios creaban nuevas cuentas y las anunciaban en Twitter para que sus seguidores también los pudieran encontrar en sus nuevos sitios.

Quote
For anyone wondering, Mastodon got over 70K sign-ups yesterday alone. Let's keep the momentum going! The "public square" of the web must not belong to any one person or corporation!

— Mastodon (@joinmastodon) October 30, 2022

Según Mastodon, esto derivó en que solamente durante el viernes 28 de octubre, se registraron más de 70,000 nuevas cuentas, lo que derivó en una sobrecarga a los servidores por "el pico extremo" de usuarios.

Los argumentos para decidir abandonar Twitter

Las razones para decidir cambiarse son variadas, y Wired recoge los argumentos de distintos usuarios. Por ejemplo, en el caso de Cassie LaBelle, escritora que es parte de la comunidad transgénero en Twitter, escribió en su momento que "no sabía si Musk compraría y destruiría la plataforma".


Por esto, inició su propio servidor de Discord, que a pesar de no ser lo mismo, le permitiría "llevar consigo" a toda la comunidad para tener un espacio de respaldo que se sienta seguro, sobre todo por el riesgo que presentan las reglas de moderación, que puede convertirse en un problema para grupos marginados.

Otro caso es el de comunidades académicas y tecnológicas, que también se encuentran publicando sus perfiles de Mastodon en sus biografías o nombres de Twitter.


También está la situación de empresas, como Danny Groner, director de marketing en el grupo de riesgo Forecast Labs, que utiliza la plataforma para conectarse con la gente de forma profesional. A pesar de que no va a dejarla en este momento, lo tiene contemplado si la red social cambia y afecta la presentación del contenido inapropiado, donde Mastodon funciona como plan de contingencia si trolls y acosadores aumentan en Twitter.

Hay algunos que incluso son más extremos, como con Matt Haughey, quien tenía contemplado dejar Twitter en el momento en que el trato por la adquisición de la plataforma se completara, pues "no confía" en el juicio de Musk, ni quiere ser parte de una empresa de su propiedad.

Sin embargo, quizá el caso más sonado de todos es el de Nibel (@Nibellion), un periodista especializado en noticias de videojuegos, quien también anunció que dejaría la plataforma, por apoyo financiero, pero también por las preocupaciones sobre el liderazgo de Musk.

Imagen: Mastodon
Fuente: You are not allowed to view links. Register or Login

19

Reconocer que tiene un problema es el primer paso para abordar el problema de manera seria. Este parece ser el razonamiento por el que la Casa Blanca anunció recientemente su iniciativa "Fortalecimiento de la ciberseguridad de Estados Unidos".

El texto del anuncio contiene varias declaraciones que cualquiera que haya leído sobre seguridad cibernética habrá escuchado muchas veces: aumento de la resiliencia, mayor conciencia, contrarrestar los ataques de ransomware, y la lista continúa.

También hay algunos aspectos novedosos en el texto, incluida la comprensión de que la seguridad cibernética no es, nunca ha sido y nunca será algo que pueda resolverse a nivel de estado-nación.

La Casa Blanca también señaló las etiquetas de advertencia de IoT como una solución, y nos recordó a todos (y necesitamos que nos lo recuerden) sobre la importancia de la educación en seguridad cibernética. Vamos a ver.

La cooperación internacional es fundamental

Un punto clave que la declaración de la Casa Blanca deja muy claro es que los ataques cibernéticos son asimétricos en el sentido de que los actores de amenazas pueden operar a través de las fronteras con impunidad. Mientras tanto, los defensores a menudo se verán restringidos por requisitos legales que no permiten respuestas proporcionales.

Los atacantes sienten una sensación de protección porque disfrutan de medidas regulatorias y de aplicación más estrictas en casa, mientras que pueden apuntar a sistemas que operan prácticamente en cualquier parte del planeta, sin importar qué tan estricta sea la aplicación de la ley en el país de residencia del objetivo.

Mientras el problema no se aborde a nivel internacional, las soluciones que se encuentren no serán mejores que curitas. La iniciativa de la Casa Blanca afirma correctamente, en múltiples instancias, que los socios y organizaciones internacionales como la OTAN desempeñarán un papel decisivo en el espacio de la ciberseguridad.

Esta no es una solución ideal. Sí, los socios internacionales que trabajan juntos expanden el panorama de la defensa a un tamaño que se parece más al tamaño del problema. Sin embargo, esta sigue siendo una solución de retazos con una eficacia limitada.

Lo que necesitamos es algo más parecido a un tratado global que realmente haga cumplir la ley de seguridad cibernética. Basta pensar en el impacto del derecho marítimo internacional, por ejemplo.

No obstante, compartir información sobre actores de amenazas, metodologías y técnicas novedosas es, sin duda, lo mejor para todos y, si se pone en marcha adecuadamente, permitirá respuestas más rápidas a las nuevas amenazas.

La educación en ciberseguridad sigue siendo importante

Otro aspecto interesante de la iniciativa Fortalecimiento de la seguridad cibernética de Estados Unidos es el enfoque en impulsar la educación en seguridad cibernética. Como se nos advierte constante y dolorosamente, la ciberseguridad es ante todo un problema de personas más que un problema de tecnología.

Aumentar la alfabetización en seguridad cibernética y enseñar a las personas los conceptos básicos de cómo comportarse en línea de manera segura en todas las etapas de la vida privada y comercial tendrá efectos combinados tanto en la reducción del riesgo como en la reducción del impacto de cualquier incidente que inevitablemente seguirá ocurriendo.

Tome la Iniciativa Nacional para la Educación en Seguridad Cibernética (NICE) apoyada por el NIST, por ejemplo. Con un marco formal, eventos regulares y actualizaciones de boletines, hace un gran esfuerzo. Por supuesto, ninguna solución es infalible, pero los efectos acumulativos de cada iniciativa marcarán la diferencia.

¿Qué pasa con las etiquetas de riesgo para dispositivos IoT?

Hay un debate candente en torno a un nuevo esquema de etiquetas de riesgo para dispositivos IoT. Las etiquetas de seguridad cibernética para el consumidor están destinadas a actuar como una ruta para la divulgación, de manera similar a la forma en que las etiquetas de los alimentos enumeran los ingredientes y los puntajes nutricionales.

Sin embargo, aún no se sabe qué tan efectiva será una etiqueta de ciberseguridad para el consumidor. Surgen nuevas vulnerabilidades todo el tiempo, por lo que es discutible la precisión de una etiqueta impresa hace medio año cuando un dispositivo está en un estante en Best Buy.

Además, sin el apoyo internacional adecuado, la iniciativa de etiquetado probablemente conducirá a la fragmentación, tal como lo hizo el RGPD, ya que algunos sitios web ahora eligen simplemente bloquear a todos los visitantes de las regiones cubiertas por el RGPD en lugar de intentar cumplir con los requisitos del RGPD.

También existe la preocupación de que una etiqueta pueda ser simplemente un menú "a la carta" para los atacantes. Si una etiqueta especifica claramente todas las medidas de seguridad cibernética que tiene implementado un dispositivo, simplemente se lo hace más fácil para un atacante porque puede ahorrar tiempo al omitir estrategias de ataque que obviamente no funcionarán.

Es un proceso paso a paso

Una etiqueta de ciberseguridad para el consumidor es un paso en la dirección correcta en un panorama en el que a menudo es difícil lograr algún progreso. Si se implementan correctamente, las etiquetas de ciberseguridad para el consumidor podrían conducir a una mejora general de las condiciones de seguridad en Internet y sus diversas redes. Lo mismo ocurre con el creciente número de iniciativas de educación en ciberseguridad.

Pero, como dicen, el diablo está en los detalles, y esos aún están por anunciarse. La conclusión es que el gobierno de EE. UU. está haciendo al menos algún esfuerzo para ayudar a los ciudadanos y empresas del país a controlar la crisis de ciberseguridad.


Fuente: You are not allowed to view links. Register or Login

20

La empresa de seguridad de WordPress, Wordfence, dijo el jueves que comenzó a detectar intentos de explotación dirigidos a la falla recientemente revelada en Apache Commons Text el 18 de octubre de 2022.

A la vulnerabilidad, rastreada como CVE-2022-42889 , también conocida como Text4Shell , se le ha asignado una clasificación de gravedad de 9,8 de un posible 10,0 en la escala CVSS y afecta a las versiones 1.5 a 1.9 de la biblioteca.

También es similar a la ahora infame vulnerabilidad Log4Shell en el sentido de que el problema radica en la forma en que las sustituciones de cadenas realizadas durante las búsquedas de DNS, secuencias de comandos y URL podrían conducir a la ejecución de código arbitrario en sistemas susceptibles al pasar una entrada que no es de confianza.

"El atacante puede enviar una carga útil manipulada de forma remota utilizando búsquedas de 'script', 'dns' y 'url' para lograr la ejecución remota de código arbitrario", explicó el equipo de Zscaler ThreatLabZ .

Una explotación exitosa de la falla puede permitir que un actor de amenazas abra una conexión de shell inversa con la aplicación vulnerable simplemente a través de una carga útil especialmente diseñada, abriendo efectivamente la puerta para ataques de seguimiento.

Si bien el problema se informó originalmente a principios de marzo de 2022, Apache Software Foundation (ASF) lanzó una versión actualizada del software (1.10.0) el 24 de septiembre, y luego emitió un aviso la semana pasada, el 13 de octubre.

"Afortunadamente, no todos los usuarios de esta biblioteca se verían afectados por esta vulnerabilidad, a diferencia de Log4j en la vulnerabilidad Log4Shell, que era vulnerable incluso en sus casos de uso más básicos", dijo Yaniv Nizry, investigador de Checkmarx .

"Apache Commons Text debe usarse de cierta manera para exponer la superficie de ataque y hacer que la vulnerabilidad sea explotable".

Wordfence también reiteró que la probabilidad de una explotación exitosa tiene un alcance significativamente limitado en comparación con Log4j, con la mayoría de las cargas útiles observadas hasta ahora diseñadas para buscar instalaciones vulnerables.

"Un intento exitoso daría como resultado que el sitio de la víctima realice una consulta de DNS al dominio de escucha controlado por el atacante", dijo Ram Gall, investigador de Wordfence , y agregó que las solicitudes con prefijos de script y URL han sido comparativamente más bajas en volumen.

En todo caso, el desarrollo es otra indicación de los posibles riesgos de seguridad que plantean las dependencias de código abierto de terceros, lo que requiere que las organizaciones evalúen de forma rutinaria su superficie de ataque y establezcan estrategias de administración de parches adecuadas.

Se recomienda a los usuarios que tienen dependencias directas en Apache Commons Text que actualicen a la versión fija para mitigar posibles amenazas. Según Maven Repository , hasta 2593 proyectos usan la biblioteca, aunque Flashpoint señaló que muy pocos de los enumerados usan el método vulnerable.

La falla de Apache Commons Text también sigue a otra debilidad de seguridad crítica que se reveló en la configuración de Apache Commons en julio de 2022 ( CVE-2022-33980 , puntaje CVSS: 9.8), lo que podría resultar en la ejecución de código arbitrario a través de la funcionalidad de interpolación variable.

Fuente: You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 114