This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - Dragora

Pages: 1 2 [3] 4 5 ... 114
41
Noticias Informáticas / Error crítico en los PLC SIMATIC de Siemens
« on: October 12, 2022, 08:34:57 pm »

Se puede explotar una vulnerabilidad en el controlador lógico programable (PLC) Siemens Simatic para recuperar las claves criptográficas privadas globales codificadas de forma rígida y tomar el control de los dispositivos.

"Un atacante puede usar estas claves para realizar múltiples ataques avanzados contra los dispositivos SIMATIC de Siemens y el TIA Portal relacionado , mientras pasa por alto las cuatro protecciones de su nivel de acceso ", dijo la empresa de ciberseguridad industrial Claroty en un nuevo informe.

"Un actor malicioso podría usar esta información secreta para comprometer toda la línea de productos SIMATIC S7-1200/1500 de manera irreparable".

La vulnerabilidad crítica, a la que se le asignó el identificador CVE-2022-38465 , tiene una calificación de 9,3 en la escala de puntuación CVSS y ha sido abordada por Siemens como parte de las actualizaciones de seguridad emitidas el 11 de octubre de 2022.


La lista de productos y versiones afectados se encuentra a continuación:

- Familia SIMATIC Drive Controller (todas las versiones anteriores a la 2.9.2)
- SIMATIC ET 200SP Open Controller CPU 1515SP PC2, incluidas las variantes SIPLUS (todas las versiones anteriores a la 21.9)
- SIMATIC ET 200SP Open Controller CPU 1515SP PC, incluidas variantes SIPLUS (todas las versiones)
- Familia de CPU SIMATIC S7-1200, incluidas las variantes SIPLUS (todas las versiones anteriores a la 4.5.0)
- Familia de CPU SIMATIC S7-1500, incluidas las CPU ET200 relacionadas y las variantes SIPLUS (todas las versiones anteriores a la V2.9.2)
- Controlador de software SIMATIC S7-1500 (todas las versiones anteriores a la 21.9), y
- SIMATIC S7-PLCSIM Advanced (todas las versiones anteriores a la 4.0)

Claroty dijo que pudo obtener privilegios de lectura y escritura para el controlador al explotar una falla previamente revelada en los PLC de Siemens ( CVE-2020-15782 ), lo que permitió la recuperación de la clave privada.

Hacerlo no solo permitiría a un atacante eludir los controles de acceso y anular el código nativo, sino también obtener el control total sobre cada PLC por línea de productos de Siemens afectada.

CVE-2022-38465 refleja otra deficiencia grave que se identificó en los PLC de Rockwell Automation (CVE-2021-22681) el año pasado y que podría haber permitido a un adversario conectarse de forma remota al controlador y cargar código malicioso, descargar información del PLC, o instale un nuevo firmware.

"La vulnerabilidad radica en el hecho de que el software Studio 5000 Logix Designer puede permitir que se descubra una clave criptográfica secreta", señaló Claroty en febrero de 2021.

Como soluciones alternativas y mitigaciones, Siemens recomienda a los clientes que utilicen comunicaciones PG/PC y HMI heredadas solo en entornos de red confiables y acceso seguro a TIA Portal y CPU para evitar conexiones no autorizadas.


La empresa de fabricación industrial alemana también ha dado el paso de cifrar las comunicaciones entre estaciones de ingeniería, PLC y paneles HMI con Transport Layer Security (TLS) en TIA Portal versión 17, al tiempo que advierte que la "probabilidad de que actores malintencionados hagan un mal uso de la clave privada global como creciente."

Los hallazgos son los últimos de una serie de fallas importantes que se han descubierto en el software utilizado en redes industriales. A principios de junio, Claroty detalló más de una docena de problemas en el sistema de administración de red (NMS) Siemens SINEC que podrían ser objeto de abuso para obtener capacidades de ejecución remota de código.

Luego, en abril de 2022, la empresa descubrió dos vulnerabilidades en los PLC de Rockwell Automation (CVE-2022-1159 y CVE-2022-1161) que podrían explotarse para modificar los programas de usuario y descargar código malicioso al controlador.

Fuente: You are not allowed to view links. Register or Login

42

La actualización del martes de parches de Microsoft para el mes de octubre ha abordado un total de 85 vulnerabilidades de seguridad , incluidas correcciones para una falla de día cero explotada activamente en la naturaleza.

De los 85 errores, 15 se califican como Críticos, 69 como Importantes y uno como Moderado en gravedad. La actualización, sin embargo, no incluye mitigaciones para las fallas de ProxyNotShell explotadas activamente en Exchange Server .

Los parches vienen junto con actualizaciones para resolver otras 12 fallas en el navegador Edge basado en Chromium que se lanzaron desde principios de mes.

Encabezando la lista de parches de este mes está CVE-2022-41033 (puntuación CVSS: 7.8 ), una vulnerabilidad de escalada de privilegios en el servicio de sistema de eventos COM+ de Windows. A un investigador anónimo se le atribuye haber informado sobre el problema.

"Un atacante que explotó con éxito esta vulnerabilidad podría obtener privilegios de SISTEMA", dijo la compañía en un aviso, advirtiendo que la deficiencia se está utilizando activamente como arma en ataques del mundo real.

La naturaleza de la falla también significa que es probable que el problema esté encadenado con otras fallas para aumentar los privilegios y llevar a cabo acciones maliciosas en el host infectado.

"Esta vulnerabilidad específica es una escalada de privilegios locales, lo que significa que un atacante ya necesitaría tener ejecución de código en un host para usar este exploit", dijo Kev Breen, director de investigación de amenazas cibernéticas en Immersive Labs.

Otras tres vulnerabilidades de elevación de privilegios importantes se relacionan con Windows Hyper-V ( CVE-2022-37979 , puntuación CVSS: 7,8), servicios de certificados de Active Directory ( CVE-2022-37976 , puntuación CVSS: 8,8 ) y Kubernetes habilitado para Azure Arc clúster Connect ( CVE-2022-37968 , puntuación CVSS: 10,0).

A pesar de la etiqueta "Explotación menos probable" para CVE-2022-37968, Microsoft señaló que una explotación exitosa de la falla podría permitir que un "usuario no autenticado eleve sus privilegios como administradores de clúster y potencialmente obtenga control sobre el clúster de Kubernetes".

En otros lugares, CVE-2022-41043 (puntuación CVSS: 3.3), una vulnerabilidad de divulgación de información en Microsoft Office, figura como conocida públicamente en el momento del lanzamiento. Podría explotarse para filtrar tokens de usuario y otra información potencialmente confidencial, dijo Microsoft.

Redmond también solucionó ocho fallas de escalada de privilegios en el kernel de Windows, 11 fallas de ejecución remota de código en el protocolo de tunelización punto a punto de Windows y SharePoint Server, y otra vulnerabilidad de elevación de privilegios en el módulo Print Spooler ( CVE-2022-38028 , Puntuación CVSS: 7,8 ).

Por último, la actualización del martes de parches aborda otras dos fallas de escalada de privilegios en el servicio de estación de trabajo de Windows ( CVE-2022-38034 , puntaje CVSS: 4.3) y el protocolo remoto de servicio de servidor ( CVE-2022-38045 , puntaje CVSS: 8.8 ).

La empresa de seguridad web Akamai, que descubrió las dos deficiencias, dijo que "aprovechan una falla de diseño que permite eludir las devoluciones de llamada de seguridad [Microsoft Remote Procedure Call ] a través del almacenamiento en caché".

Parches de software de otros proveedores

Además de Microsoft, varios proveedores también han lanzado actualizaciones de seguridad para corregir docenas de vulnerabilidades, que incluyen:

Adobe
Androide
Proyectos Apache
Manzana
cisco
Citrix
CODESYS
dell
F5
Fortinet (incluida una falla explotada activamente )
GitLab
Google Chrome
IBM
lenovo
Distribuciones de Linux Debian , Oracle Linux , Red Hat , SUSE y Ubuntu
MediaTek
NVIDIA
Qualcomm
Samba
SAVIA
Schneider Electric
Siemens
Trend Micro y
vmware

Fuente: You are not allowed to view links. Register or Login

43

Collabora ha lanzado NVK, un nuevo controlador de código abierto para Mesa que implementa la API de gráficos Vulkan para tarjetas gráficas NVIDIA. El controlador está escrito desde cero utilizando archivos de encabezado oficiales y módulos de kernel abiertos publicados por NVIDIA.

Al desarrollar un nuevo controlador, los componentes básicos del controlador Nouveau OpenGL se usan en algunos lugares, pero debido a las diferencias en los nombres de los archivos de encabezado de NVIDIA y los nombres de ingeniería inversa en Nouveau, el poder reutilizar código es difícil y en su mayor parte fue necesario repensar muchas cosas e implementarlas con cero.

El desarrollo también está en marcha con miras a la creación de un nuevo controlador Vulkan de referencia para Mesa, cuyo código se puede tomar prestado al crear otros controladores.

Quote
La compatibilidad con el hardware de NVIDIA en los controladores de código abierto siempre ha faltado un poco. Los controladores nouveau existen, pero a menudo les faltan funciones, tienen errores o simplemente no son compatibles con ciertas tarjetas. Esto se debe a una combinación de factores. A diferencia de los controladores Intel y AMD, la pila de controladores nouveau se ha desarrollado con poca o ninguna documentación oficial o ayuda de NVIDIA. Ocasionalmente brindan pequeños apoyos aquí. Históricamente, se ha centrado principalmente en habilitar nouveau lo suficiente como para que pueda instalar su distribución de Linux, acceder a un navegador web y descargar su pila de controladores patentada.

Para hacer esto, se menciona que durante el trabajo del controlador NVK, se intentó tener en cuenta toda la experiencia disponible en el desarrollo de controladores Vulkan, mantener la base de código en una forma óptima y minimizar la transferencia de código de otros controladores Vulkan, haciendo lo que debería hacerse para un trabajo óptimo y de alta calidad.

El controlador NVK solo ha estado en desarrollo durante unos meses, por lo que su funcionalidad es limitada. El controlador pasa con éxito el 98 % de las pruebas cuando ejecuta el 10 % de las pruebas de Vulkan CTS (Compatibility Test Suite).

En general, la preparación del conductor se estima en un 20-25 % de la funcionalidad de los controladores ANV y RADV. En términos de soporte de hardware, el controlador está actualmente limitado a tarjetas basadas en microarquitecturas Turing y Ampere. Se está trabajando en parches para admitir GPU Kepler, Maxwell y Pascal, pero aún no están listos.

Quote
Probablemente, la mayor área de lucha técnica ha sido la conducción adecuada del hardware desde el espacio del kernel. El hardware NVIDIA depende del firmware firmado para todo, desde la visualización hasta la ejecución del trabajo y la administración de energía. Los blobs de firmware que NVIDIA proporcionó en el pasado fueron versiones recortadas que crearon solo para controladores de código abierto.

A largo plazo, se espera que el controlador NVK para tarjetas gráficas NVIDIA alcance un nivel de calidad y funcionalidad similar al controlador RADV para tarjetas AMD. Una vez que el controlador NVK está listo, las bibliotecas compartidas creadas durante su desarrollo se pueden usar para mejorar el controlador Nouveau OpenGL para tarjetas de video NVIDIA.

También se está considerando la posibilidad de usar el proyecto Zink para implementar un controlador OpenGL completo para tarjetas de video NVIDIA que funcione a través de la traducción de llamadas a la API de Vulkan.

Quote
A largo plazo, la esperanza es que NVK sea para el hardware de NVIDIA lo que RADV es para el hardware de AMD

Finalmente, para los interesados en el proyecto, se menciona que está siendo desarrollado por un equipo que incluye a Karol Herbst (desarrollador de Nouveau en Red Hat), David Airlie (mantenedor de DRM en Red Hat) y Jason Ekstrand (desarrollador activo de Mesa en Collabora).

En cuanto al código del controlador, deben saber que es de código abierto bajo la licencia MIT. El controlador solo admite GPU basadas en microarquitecturas Turing y Ampere lanzadas desde septiembre de 2018.

Fuente: You are not allowed to view links. Register or Login

44

Oracle ha lanzado durante la noche de hoy VirtualBox 7.0, la última versión estable de su software para instalar y usar máquinas virtuales de los sistemas operativos compatibles. En este sentido, esta actualización es la primera estable en soportar oficialmente Windows 11, ya que dicho soporte llegó por primera vez en agosto, pero lo hizo a la versión beta. Es algo que no se menciona en la nota de su lanzamiento, pero no es necesario, ya que sí lo dijeron el pasado verano.

A pesar de subir el número del 6 al 7, Oracle dice que se trata de una actualización de mantenimiento. El cambio de número podría deberse a que soporta Windows 11 de manera oficial, o a cualquier otro detalle como algunos retoques en la interfaz, pero no es una nueva versión que incluya novedades destacadas, o por lo menos no para la compañía que lo desarrolla.

Novedades más destacadas de VirtualBox 7.0

- Soporte inicial para máquinas virtuales con cifrado completo por línea de comandos.
- Soporte 3D basado en DXVK.
- Soporte para Secure Boot en EFI.
- Soporte para dispositivos IOMMU.
- Se ha incluido soporte para TPM 1.2 y TPM 2.0.
- Mejoras en la interfaz de usuario (otro motivo que podría dar sentido al salto de número).
- Nuevo centro de notificaciones en donde podremos consultar información sobre errores y otros avisos.
- Nuevo widget para ver la ayuda.
- Nuevo asistente para instalaciones desatendidas.
- Mejorada la gestión del ratón en configuraciones multi-pantalla en X11.
- Se ha mejorado la función de grabar audio, y ahora se usa OGG Vorbis como el audio por defecto para contenedores WebM.
- Soporte inicial para la auto-actualización de las Guest Additions en Linux.

Otras novedades disponibles en las You are not allowed to view links. Register or Login.

Fuente: You are not allowed to view links. Register or Login

45

Desde hace tiempo System76 intenta impulsar COSMIC, un entorno de escritorio propio y para Pop!_OS que en un principio se apoya en las tecnologías de GNOME, pero que con el paso del tiempo espera tener cada vez más entidad propia. Con el fin de avanzar en esa dirección, la compañía ha anunciado la adopción del kit de herramientas Iced, basado en Rust, en detrimento de GTK.

La noticia ha podido saberse gracias a un hilo en el subreddit de Pop!_OS en el que se preguntó si Iced estaba siendo usado para reemplazar las aplicaciones hechas con GTK. Un ingeniero de System76 apareció para responder de forma afirmativa, diciendo que “el equipo de experiencia de usuario ha estado diseñando cuidadosamente widgets y aplicaciones durante el último año. Ahora estamos en el punto en el que es fundamental que el equipo de ingeniería decida sobre un conjunto de herramientas GUI para COSMIC. Después de mucha deliberación y experimentación durante el último año, el equipo de ingeniería decidió usar Iced en lugar de GTK.”

“Iced es un kit de herramientas GUI nativo de Rust que últimamente ha progresado lo suficiente como para volverse viable para su uso en COSMIC. Ya se han escrito varios subprogramas COSMIC tanto en GTK como en Iced para comparar. Las últimas versiones de desarrollo de Iced tienen una API que es muy flexible, expresiva e intuitiva en comparación con GTK. Se siente muy natural en Rust, y cualquiera que esté familiarizado con Elm apreciará su diseño”. En resumidas cuentas, parece que en System76 obtienen mejores resultados empleando Iced que GTK.


Diseño del sistema de COSMIC hecho con Iced.

Es importante tener en cuenta que Iced no es un kit de herramientas exclusivo de Linux, sino que es multiplataforma al abarcar también Windows y macOS. Esto puede recordar un poco a la decisión de Canonical de emplear Flutter para su nuevo instalador, tecnología multiplataforma y procedente de Google que también ha sido empleada para la tienda de aplicaciones alternativa para Ubuntu.

Iced se vende a sí mismo como “una biblioteca GUI multiplataforma para Rust centrada en la simplicidad y la seguridad de tipos”. Lo de la seguridad de los tipos es una característica que también tiene el propio Rust, así que su mención por parte de Iced no debería de sorprender a nadie.

System76 tiene ambiciosos planes para COSMIC, tanto, que ha decidido no lanzar Pop!_OS 22.10 para concentrar las fuerzas en su propio entorno de escritorio. La compañía tiene claro que, si quiere crecer, tiene que tener algún factor propio y diferenciador dentro del siempre caótico espectro de Linux (sobre todo cuando se trata de escritorio).

Veremos hasta dónde llega System76 con COSMIC, pero está claro que su desarrollo no es ni mucho menos un brindis al sol, sino más bien algo que se ha tomado muy en serio.

Fuente: You are not allowed to view links. Register or Login

46
Noticias Informáticas / Tuxedo lanza Tuxedo OS
« on: October 11, 2022, 07:57:33 pm »

El ensamblador alemán Tuxedo Computers sigue el ejemplo de otros como System76 y lanza Tuxedo OS, su propio sistema operativo, uno basado en Ubuntu (22.04 LTS) y KDE Plasma (5.24.6) que ya es la opción predeterminada para todos sus equipos, pero que también se pone a disposición de cualquiera que lo desee.

¿Y qué ofrece Tuxedo OS que no se pueda encontrar en otras tantas distribuciones? Lo cierto es que no mucho, pero atendiendo a lo que la compañía dice de su producto, este presumiría de características tales como un kernel Linux optimizado para el hardware de sus equipos, soporte cualificado y dos atributos que vienen directamente del entorno de escritorio que viste: el propio KDE Plasma, habida cuenta de que Tuxedo es patrocinador de KDE, y su faceta de ser «simple por defecto, potente cuando se necesita» (sí, el mismo lema de KDE Plasma).

En la página oficial de Tuxedo OS se hacen la misma pregunta: «¿Por qué otra distribución Linux? ¿Por qué invertir en tanto trabajo extra para crear nuestra propia distribución, cuando ya hay una gran cantidad para todos los gustos?» En primer lugar, por ofrecer a sus clientes la mejor experiencia posible pro defecto, vendría a ser el resumen.

Así, mientras que Tuxedo vende sus equipos con la opción de no llevar sistema operativo, o de traer alguna distribución conocida como Ubuntu, Kubuntu u openSUSE, «para los usuarios que solo desean encender su Tuxedo, comenzar a trabajar out of the box y obtener ayuda rápida en caso de problemas, ofrecemos Tuxedo OS». Un caso en el que sí que existe un valor añadido, pues incluye herramientas especialmente afinadas para su hardware, más allá del kernel.


Tuxedo OS se diferencia de, por ejemplo Kubuntu, en varios puntos: el instalador de sistema, ya que usa Calamares; retoques visuales aquí y allá, paquetes preinstalados y componentes que reemplazan a las actuales opciones predeterminadas, como PipeWire en lugar de PulseAudio, un cambio que ya viene por la vía oficial; o al contrario: Firefox en formato Deb, en vez de como Snap. Lo mismo sucede con Chromium. Tuxedo OS ni siquiera preinstala el soporte de Snap, pero lo mantiene en los repositorios por si el usuario tiene interés en instalarlo por su cuenta.

Tuxedo OS se distingue de otras distribuciones por sus mencionadas herramientas, que no son muchas, pero tampoco tienen mala pinta: un creador de unidades USB derivado de Etcher; y un «centro de control» bastante apañado en apariencia, enfocado principalmente en la gestión del, o más bien de su hardware y, por lo tanto, en los clientes de la compañía, dado que parece estar diseñado para sus equipos. O eso es lo que comenta quien ha probado Tuxedo OS: que hay opciones de Tuxedo Control Center que no funcionan bien con su equipo.

A falta de probarlo, poco más hay que contar acerca de Tuxedo OS: es una nueva alternativa, un tanto irrelevante para quienes no poseen un equipo Tuxedo, aunque al mismo tiempo trae algún que otro detalle curioso… que quizás hubiese estado mejor en la forma de repositorio que en la de distribución; pero eso es lo que hay en Linux y, si se me permite, e incluso teniendo cero interés en ello, es un buen uso de GNU/Linux: adaptar un sistema de fábrica para ofrecer la mejor experiencia a tus clientes.

Fuente: You are not allowed to view links. Register or Login

47

Los estafadores se hacen pasar por investigadores de seguridad para vender exploits ProxyNotShell de prueba de concepto falsos para las vulnerabilidades de día cero de Microsoft Exchange recién descubiertas.

La semana pasada, la empresa de ciberseguridad vietnamita GTSC reveló que algunos de sus clientes habían sido atacados mediante dos nuevas vulnerabilidades de día cero en Microsoft Exchange .

Trabajando con Zero Day Initiative de Trend Micro, los investigadores revelaron las vulnerabilidades de forma privada a Microsoft, quien confirmó que los errores estaban siendo explotados en ataques y que estaban trabajando en un cronograma acelerado para lanzar actualizaciones de seguridad.

"Microsoft observó estos ataques en menos de 10 organizaciones a nivel mundial. MSTIC evalúa con confianza media que es probable que el único grupo de actividad sea una organización patrocinada por el estado", compartió Microsoft en un análisis de los ataques .

Los investigadores de seguridad mantienen en privado los detalles técnicos de las vulnerabilidades, y parece que solo una pequeña cantidad de actores de amenazas las están explotando.

Debido a esto, otros investigadores y actores de amenazas están a la espera de la primera divulgación pública de las vulnerabilidades para usar en sus propias actividades, ya sea defendiendo una red o pirateando una.

Estafadores que venden exploits falsos

Para aprovechar esta pausa antes de la tormenta, un estafador ha comenzado a crear repositorios de GitHub donde intenta vender exploits de prueba de concepto falsos para las vulnerabilidades de Exchange CVE-2022-41040 y CVE-2022-41082.

John Hammond de Huntress Lab ha estado siguiendo a estos estafadores y ha encontrado cinco cuentas ahora eliminadas que intentan vender las hazañas falsas. Estas cuentas estaban bajo los nombres 'jml4da', 'TimWallbey', 'Liu Zhao Khin (0daylabin)', 'R007er' y 'spher0x'.

Otra cuenta fraudulenta encontrada por Paulo Pacheco se hizo pasar por Kevin Beaumont (también conocido como GossTheDog ), un conocido investigador/profesional de seguridad que ha estado documentando las nuevas vulnerabilidades de Exchange y las mitigaciones disponibles.


Los repositorios en sí mismos no contienen nada de importancia, pero el README.md describe lo que se sabe actualmente sobre las nuevas vulnerabilidades, seguido de un discurso sobre cómo están vendiendo una copia de un exploit PoC para los días cero.

"Esto significa que puede pasar desapercibido para el usuario y potencialmente también para el equipo de seguridad. Una herramienta tan poderosa no debería ser completamente pública, estrictamente solo hay 1 copia disponible para que un investigador REAL pueda usarla: You are not allowed to view links. Register or Login. com/pay/xxx", dice el texto en el repositorio de estafas.


Los archivos README contienen un enlace a una página de SatoshiDisk donde el estafador intenta vender el exploit falso por 0.01825265 Bitcoin, con un valor aproximado de $420.00.


Página de SatoshiDisk para estafa
Fuente: BleepingComputer

Estas vulnerabilidades valen mucho más de $ 400, y Zerodium ofrece al menos $ 250,000 para la ejecución remota de código de Microsoft Exchange cero días.

No hace falta decir que esto es solo una estafa, y enviar cualquier bitcoin probablemente no dará como resultado que recibas nada.

Además, con toda la información ya disponible, es probable que descubrir un exploit para los errores no sea demasiado difícil, especialmente para los actores de amenazas más avanzados , como los piratas informáticos patrocinados por el estado que tendrían un incentivo para violar las organizaciones de interés.

Fuente: You are not allowed to view links. Register or Login

48

Un ex empleado de la Agencia de Seguridad Nacional de EE. UU. (NSA) fue arrestado por cargos de intentar vender información clasificada a un espía extranjero, que en realidad era un agente encubierto que trabajaba para la Oficina Federal de Investigaciones (FBI).

Jareh Sebastian Dalke, de 30 años, estuvo empleado en la NSA durante menos de un mes desde el 6 de junio de 2022 hasta el 1 de julio de 2022, y se desempeñó como diseñador de seguridad de sistemas de información como parte de una asignación temporal en Washington DC

Según una declaración jurada presentada por el FBI, Dalke también fue miembro del Ejército de los EE. UU. desde aproximadamente 2015 hasta 2018 y tenía una autorización de seguridad secreta, que recibió en 2016. El acusado también tuvo una autorización de seguridad de alto secreto durante su mandato en el NSA.

“Entre agosto y septiembre de 2022, Dalke usó una cuenta de correo electrónico cifrada para transmitir extractos de tres documentos clasificados que había obtenido durante su empleo a una persona que Dalke creía que trabajaba para un gobierno extranjero”, dijo el Departamento de Justicia (DoJ) en un comunicado de prensa . liberar.

También se alega que Dalke arregló la transferencia de información adicional de la Defensa Nacional (NDI) en sus manos al agente encubierto del FBI en un lugar no revelado en el estado estadounidense de Colorado. Posteriormente fue arrestado el 28 de septiembre por las fuerzas del orden al llegar al lugar acordado.

Las conversaciones con la persona que Dalke asumió que estaba asociada con el gobierno extranjero comenzaron el 29 de julio de 2022. En ellas, afirmó haber robado datos confidenciales relacionados con la orientación extranjera de sistemas estadounidenses e información sobre operaciones cibernéticas estadounidenses.

El primero de los extractos de documentos compartidos como prueba se clasificó en el nivel Secreto, mientras que los otros dos se clasificaron en el nivel Top Secret, y Dalke exigió un pago en criptomoneda a cambio de pasar la información.

Algunos de los fragmentos ofrecidos se relacionan con los planes de la NSA para actualizar un programa criptográfico no especificado, así como evaluaciones de amenazas relacionadas con las capacidades de defensa sensibles de EE. UU. y las capacidades ofensivas del gobierno extranjero.

“El 26 de agosto de 2022 o alrededor de esa fecha, Dalke solicitó 85.000 dólares a cambio de información adicional en su poder”, dijo el Departamento de Justicia, afirmando que “Dalke acordó transmitir información adicional mediante una conexión segura establecida por el FBI en un lugar público en Denver. ", lo que finalmente llevó a su captura.

El Departamento de Justicia no dice nada sobre el nombre del gobierno extranjero, pero hay indicios de que podría ser Rusia, dado que Dalke afirmó haber intentado establecer contacto a través de un "envío al sitio SVR TOR".

Vale la pena señalar que SVR, el Servicio de Inteligencia Exterior de Rusia, estableció una plataforma de denuncia de irregularidades similar a SecureDrop en la web oscura en abril de 2021, según informó The Record, para compartir información de forma anónima sobre "amenazas urgentes a la seguridad de la Federación Rusa". "

Además de eso, las comunicaciones por correo electrónico con el agente también muestran que Dalke estaba motivado por el hecho de que su "herencia se vincula con su país" y que había "cuestionado nuestro papel en el daño al mundo en el pasado".

El exempleado de la NSA ha sido acusado de tres violaciones de la Ley de Espionaje, una acusación que, si se demuestra su culpabilidad, conlleva una posible sentencia de muerte o cualquier período de años hasta cadena perpetua.

El arresto de Dalke se produce días después de que el gobierno ruso otorgara la ciudadanía rusa al excontratista de inteligencia estadounidense Edward Snowden, quien enfrenta cargos de espionaje por revelar numerosos programas de vigilancia dirigidos por miembros de la comunidad UKUSA .

En un desarrollo relacionado, los investigadores del Citizen Lab de la Universidad de Toronto revelaron fallas de seguridad "fatales" en los sitios web que la Agencia Central de Inteligencia (CIA) de EE. decenas de activos en China e Irán.

El método de comunicación ahora desaparecido aprovechó cientos de sitios web aparentemente legítimos, incluido un portal de noticias de fútbol llamado Irangoals[.]com, en el que ingresar una contraseña en el campo de búsqueda hizo que apareciera una interfaz de chat oculta, informó Reuters .

Citizen Lab dijo que pudo mapear la red de 885 sitios, que estuvieron activos entre 2004 y 2013, simplemente usando iraniangoals[.]com junto con material disponible públicamente de Wayback Machine de Internet Archive, una tarea que podría haber sido logrado por un "detective aficionado motivado".

Fuente: You are not allowed to view links. Register or Login

49
Noticias Informáticas / YouTube quiere darte motivos para pagar Premium
« on: October 03, 2022, 08:07:21 pm »

A mediados del mes pasado nos enteramos que YouTube había comenzado a mostrar hasta diez anuncios por vídeo a algunos usuarios. ¿La alternativa para evitar esto? Suscribirte a YouTube Premium. Próximamente, sin embargo, también podrías tener que pagar para disfrutar de los contenidos en su máxima calidad.

Como recoge MacRumors, algunos usuarios de Reddit y Twitter (1, 2, 3) han notado que la plataforma de vídeos de Google les ha pedido que se suscriban a YouTube Premium para habilitar la reproducción en 4K (2160p), una característica que desde su introducción ha estado disponible para todos sin ningún tipo de limitación.

¿Una forma de atraer más usuarios a YouTube Premium?

De momento no queda claro si se trata de una prueba que la compañía está haciendo con unos pocos usuarios o de un despliegue en algunos países. En cualquier caso, un movimiento de este tipo podría responder a una estrategia de la compañía para aumentar su base de usuarios de pago, que está por detrás de la competencia.


YouTube alcanzó a tener 50 millones de usuarios de pago en el segundo trimestre de este año. Esta cantidad puede parecer enorme, pero si la comparamos con algunos de sus competidores en el mismo período descubrimos que la diferencia entre unos y otros es mayor. Veamos.

Netflix, que está viviendo uno los peores momentos de su historia, contaba con 220,7 millones de "hogares que pagaban", aunque estimaba que más de 100 millones de ellos utilizan contraseñas compartidas. Spotify, que ha experimentado una desaceleración de suscriptores en el último tiempo, cerró el segundo trimestre de este año con 188 millones de usuarios de pago.

En la actualidad, YouTube ofrece dos tipos de suscripciones. Por un lado, tenemos a YouTube Premium Lite, que por 6,99 euros al mes permite eliminar los anuncios. Por otro lado, tenemos a YouTube Premium, que por 11,99 euros al mes ofrece las ventajas del plan Lite más descargas en el dispositivo, reproducción en segundo plano y Music Premium.

Añadiendo la reproducción en 4K a las ventajas existentes en sus suscripciones, YouTube podría hacer que más usuarios opten por pagar por su servicio. No obstante, cabe señalar, no se ha emitido comunicado alguno al respecto. Por nuestra parte hemos escrito a YouTube y actualizaremos este artículo si recibimos una respuesta.

Imágenes | Unsplash
Fuente: You are not allowed to view links. Register or Login

50

Hubo acceso a todos los datos y fuentes de información de Animal Político, luego de la infección de Pegasus, aseguró su director Daniel Moreno. En conferencia de prensa con Red por la Defensa de los Derechos Digitales, SocialTic, Amnistía Internacional y Artículo 19, las personas que han sido encontradas como espiadas y con equipos infectados por el malware Pegasus, dieron sus testimonios y exigieron respuesta de por qué el software sigue siendo utilizado.

Moreno dijo que ahora es necesario que el presidente, Andrés Manuel López Obrador, responda sobre cuántas infecciones hubo, bajo qué criterio se seleccionó a quienes fueron espiados y por qué se les espió. Destacó que ninguna de las tres personas en las que The Citizen Lab corroboró casos de infección de Pegasus, tienen relación alguna con actividades criminales.

Las personas son el periodista Ricardo Raphael, el defensor de derechos humanos Raymundo Ramos y un periodista sin identificar de Animal Político.

Las organizaciones que están detrás de la identificación de las nuevas infecciones dijeron que gobierno de México debe iniciar una nueva investigación sobre los casos, solicitaron que sea frenada la discusión en el Senado sobre la extensión de tiempo en que el ejército esté en las calles, y llamaron a que periodistas sospechen ante indicios por posibles infecciones por Pegasus.

Oficialmente, México no utiliza Pegasus. El propio presidente del país, López Obrador, dijo desde 2019 que el gobierno mexicano no utiliza malware para espiar a personas. "O el presidente mintió, o el ejército mexicano toma decisiones al margen de la decisión gubernamental", dijo en la conferencia de prensa Edith Olivares, presidenta de Amnistía Internacional.

La relación con el hackeo a la SEDENA

Además del análisis hecho por The Citizen Lab, Luis Fernando García, director de Red por la Defensa de los Derechos Digitales, explicó que una de las evidencias de que SEDENA ha utilizado Pegasus, está en el reciente hackeo de grupo Guacamaya a la Secretaría de Defensa Nacional.

En esos documentos, las organizaciones encontraron pruebas de la contratación de SEDENA de un servicio de "monitoreo remoto de información" a Comercializadora ANTSUA, representante de NSO Group, creador del software Pegasus.

Históricamente NSO Group ha asumido otros nombres o asociado con filiales comerciales para vender el software de Pegasus o alguna derivante en otros países. En Estados Unidos hizo lo propio bajo el nombre de 'Phantom', según The New York Times.
García explicó que aunque de momento solo se han identificado vulneraciones a tres personas, lo más probable es que haya muchos más casos en México, cuyas infecciones sucedieron de 2019 a la fecha.

Fuente: You are not allowed to view links. Register or Login

51
Noticias Informáticas / Abuso del controlador Dell para ataques BYOVD
« on: October 01, 2022, 08:03:04 pm »

Se vio al notorio grupo de piratas informáticos de Corea del Norte 'Lazarus' instalando un rootkit de Windows que abusa de un controlador de hardware de Dell en un ataque de Traiga su propio controlador vulnerable.

La campaña de spear-phishing se desarrolló en el otoño de 2021 y los objetivos confirmados incluyen un experto aeroespacial en los Países Bajos y un periodista político en Bélgica.

Según ESET, que publicó hoy un informe sobre la campaña, el objetivo principal era el espionaje y el robo de datos.

Abuso del controlador Dell para ataques BYOVD

Los objetivos de esta campaña en la UE recibieron ofertas de trabajo falsas por correo electrónico, esta vez para Amazon,  un  truco de ingeniería social  típico  y  común empleado por los piratas informáticos  en 2022.

Al abrir estos documentos, se descarga una plantilla remota desde una dirección codificada, seguida de infecciones que involucran cargadores de malware, droppers, puertas traseras personalizadas y más.

ESET informa que entre las herramientas implementadas en esta campaña, la más interesante es un nuevo rootkit FudModule que abusa de una técnica BYOVD (Bring Your Own Vulnerable Driver) para explotar una vulnerabilidad en un controlador de hardware de Dell por primera vez.

"La herramienta más notable entregada por los atacantes fue un módulo de modo de usuario que obtuvo la capacidad de leer y escribir en la memoria del kernel debido a la vulnerabilidad CVE-2021-21551 en un controlador Dell legítimo", explica ESET en un  nuevo informe  sobre el ataque . .

"Este es el primer abuso registrado de esta vulnerabilidad en la naturaleza".

Luego, los atacantes utilizaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. "

Un ataque Bring Your Own Vulnerable Driver (BYOVD) es cuando los actores de amenazas cargan controladores legítimos y firmados en Windows que también contienen vulnerabilidades conocidas. Como los controladores del núcleo están firmados, Windows permitirá que el controlador se instale en el sistema operativo.

Sin embargo, los actores de amenazas ahora pueden explotar las vulnerabilidades del controlador para ejecutar comandos con privilegios a nivel de kernel.

En este ataque, Lazarus estaba explotando la vulnerabilidad CVE-2021-21551 en un  controlador de hardware de Dell  ("dbutil_2_3.sys"), que corresponde a un  conjunto de cinco fallas  que permanecieron explotables durante 12 años antes de que el proveedor de la computadora finalmente lanzara actualizaciones de seguridad para eso.

Controlador dbutil_2_3.sys firmado por Dell utilizado en el ataque
Fuente: BleepingComputer

En diciembre de 2021, los investigadores de Rapid 7  advirtieron que este controlador en particular  es un excelente candidato para los ataques BYOVD debido a las soluciones inadecuadas de Dell, lo que permite la ejecución del código del kernel incluso en versiones firmadas recientes.

Parece que Lazarus ya estaba al tanto de este potencial de abuso y explotó el controlador de Dell mucho antes de que los analistas de seguridad emitieran sus advertencias públicas.

"Luego, los atacantes usaron su acceso de escritura a la memoria del kernel para deshabilitar siete mecanismos que ofrece el sistema operativo Windows para monitorear sus acciones, como el registro, el sistema de archivos, la creación de procesos, el seguimiento de eventos, etc., básicamente cegando las soluciones de seguridad de una manera muy genérica y robusta. " continuó el informe de ESET.

Para aquellos interesados ​​en el aspecto BYOVD del ataque Lazarus, pueden profundizar en los detalles en este  documento técnico de 15 páginas  que ESET publicó por separado.

BLINDINGCAN y otras herramientas

ESET agregó que el grupo implementó su puerta trasera personalizada HTTP(S) 'BLINDINGCAN', descubierta por primera vez por la inteligencia de EE  . UU . en agosto de 2020  y atribuida a Lazarus por Kaspersky  en octubre de 2021 .

El troyano de acceso remoto (RAT) 'BLINDINGCAN' muestreado por ESET parece ejecutarse con un respaldo significativo de un tablero del lado del servidor no documentado que realiza la validación de parámetros.

La puerta trasera admite un amplio conjunto de 25 comandos, que cubren acciones de archivos, ejecución de comandos, configuración de comunicación C2, captura de pantalla, creación y finalización de procesos y exfiltración de información del sistema.

Otras herramientas implementadas en la campaña presentada son FudModule Rootkit, un cargador HTTP(S) utilizado para la filtración segura de datos, y varias aplicaciones de código abierto troyanas como wolfSSL y FingerText.

Troyanizar herramientas de código abierto es algo que Lazarus continúa haciendo, ya que  un informe de Microsoft de ayer  menciona que esta técnica se usó con PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y el instalador de software muPDF/Subliminal Recording.

Fuente: You are not allowed to view links. Register or Login

52

Microsoft ahora está bloqueando la actualización de Windows 11 22H2 debido a problemas de compatibilidad que afectan a los dispositivos Windows con impresoras que utilizan el controlador de clase IPP de Microsoft o el controlador de clase de impresión universal.

En los sistemas afectados, es posible que algunas impresoras instaladas solo permitan a los clientes usar la configuración predeterminada con funciones como color, impresión a doble cara o resoluciones más altas que no están disponibles debido a problemas de conectividad.

"Windows necesita conectividad con la impresora para identificar todas las características de la impresora. Sin conectividad, la impresora está configurada con la configuración predeterminada y, en algunos escenarios, es posible que no se actualice una vez que se restablezca la conectividad con la impresora", explicó Microsoft.

"Es posible que se vea afectado por este problema si su impresora no puede usar funciones específicas de la impresora, como color, impresión a dos caras/dúplex, configuración de tamaño o tipo de papel, o resoluciones superiores a 300x300 ppp".

Redmond agregó una retención de compatibilidad (ID de protección 41332279) que solo se aplica a los sistemas Windows 11 22H2 con impresoras que usan controladores Universal Print Class o Microsoft IPP Class.

Microsoft aconseja a los clientes que no instalen manualmente la actualización de Windows 11 2022 en los sistemas afectados mediante la herramienta de creación de medios o el botón "Actualizar ahora" hasta que se resuelva este problema conocido y se elimine la protección.

Quote
"Estamos trabajando en una resolución y proporcionaremos una actualización en un próximo lanzamiento",  agregó Redmond

"Estamos trabajando para apuntar solo a dispositivos Windows con controladores de impresora que incorrectamente solo permiten configuraciones predeterminadas y se actualizarán cuando haya más información disponible".

Solución para los sistemas afectados

Microsoft agregó que los clientes de Windows 11 podrían solucionar este problema para las impresoras que solo permiten la configuración predeterminada eliminando y reinstalando las impresoras afectadas.

Reinstalar la impresora obligará a Windows a descargar y reinstalar los controladores, lo que debería mitigar los problemas, según Microsoft.

"Si Windows no encuentra automáticamente un nuevo controlador después de agregar la impresora, busque uno en el sitio web del fabricante del dispositivo y siga sus instrucciones de instalación", explica Redmond en un  documento de soporte .

Los clientes afectados también pueden mitigar la protección para actualizar sus sistemas a Windows 11 22H2 eliminando las impresoras que usan los controladores Microsoft IPP Class o Universal Print Class instalados en sus dispositivos.

Microsoft agregó que podrían pasar hasta 48 horas antes de que se ofrezca la actualización de Windows 11 2022 SI su dispositivo no se ve afectado por otras retenciones de compatibilidad.

Reiniciar el sistema afectado y  buscar actualizaciones a  través de Windows Update podría ayudar a obtener la actualización más rápido.

Esta semana, Microsoft  agregó otra retención de compatibilidad que  bloquea la actualización de Windows 11 22H2 para que no se ofrezca en algunos sistemas con controladores de audio Intel Smart Sound Technology (SST) debido a un problema conocido que desencadena pantallas azules de la muerte (BSOD).

Fuente: You are not allowed to view links. Register or Login

53

Finalmente después de más de un año de haberlo anunciado y de conocer (en forma de disfraz) a Optimus, el robot humanoide de Tesla, Elon Musk al fin ha mostrado el prototipo, durante el Día de la IA.

El diseño no es similar al visto en todas las imágenes conceptuales, y Musk junto con su equipo han comentado que esta es la primera vez que el robot no está utilizando sus sistemas de seguridad.

Además, se han mostrado algunos videos adicionales sobre lo que el robot ya es capaz de hacer, como levantar cosas y moverse entre oficinas.

El equipo a cargo de Optimus ha señalado que el robot tiene una gran diferencia con el concepto original, dado que se necesitaba una plataforma realista sobre la que se pudiera desarrollar.


El concepto del robot (izquierda), el desarrollo actual (centro), el modelo a desarrollar (derecha)

Para esto, se desarrolló el modelo que da pie a este prototipo, un robot con dimensiones y tamaño mucho más realista, con la intención de llegar a una nueva generación, que sería la refinación de la plataforma actual. Tesla también ha detallado que este cambio de diseño en el robot implica modificaciones tanto en su peso, potencia y nivel de movimiento.

Por ejemplo, ahora se tiene un peso de 73 kilos, contra los 56 del concepto original. Además, tendrá en total más de 200 grados de movimiento en todo el cuerpo y 27 de estos se encontrarán ubicados en las manos.


En los videos mostrados por Tesla, se puede ver cómo en situaciones controladas (con un arnés por ejemplo), Optimus es capaz de cargar objetos y completar algunas tareas básicas, como regar plantas y levantar componentes de vehículos de la fábrica de la compañía.

También se anunció que este reloj está potenciado por el mismo sistema Autopilot que se encuentra en los vehículos de Tesla para poder moverse por su entorno y reconocer los objetos.

En la parte de la mano el robot ha sido diseñado con una parecida a la de los humanos, con la intención de ser ergonómica, y de poder manipular objetos con relativa facilidad, pudiendo cargar hasta paquetes de nueve kilos en cada una.

Esta nueva versión de Optimus cuenta con una batería de 2.3 kWh, un chip de Tesla, e integra conectividad Wi-Fi, así como LTE. En la presentación también se mostró como por ejemplo, la rodilla del robot, está inspirada directamente en una rodilla humana, llevando así varios actuadores y articulaciones.


Las especificaciones técnicas de la versión de desarrollo de Optimus

Por lo pronto, Elon Musk ha comentado que está planeado que el robot se fabrique en gran volumen a partir del próximo año, y se espera que tenga un costo final de menos de 20,000 dólares para su compra.

Musk en múltiples ocasiones ha comentado que la finalidad de Optimus será utilizarlos para tareas domésticas en los hogares, pero también para el cuidado de adultos mayores, así como realizar tareas repetitivas, aburridas y peligrosas para los humanos.

Fuente: You are not allowed to view links. Register or Login

54

Reportado primero por Latinus y luego confirmado por el presidente de la república, Andrés Manuel López Obrador, la SEDENA fue objetivo de un ataque cibernético y le fueron robados 6 TB de documentos. El responsable es grupo hacking Guacamaya, quien hizo lo propio con milicias de países latinoamericanos como Chile y Colombia.

La operación ha sido monitoreada por especialistas en ciberseguridad desde el pasado 19 de septiembre. Fue entonces cuando el investigador de la empresa de ciberseguridad Cronup, Germán Fernández, tuiteó que el grupo aprovechó la vulnerabilidad ProxyShell (notificada desde agosto del 2021 y que permite ejecutar remotamente código en el servidor) para acceder a servidores Microsoft Exchange de las organizaciones.

Los parches correspondientes fueron liberados en abril y mayo del 2021, según retoma el CEO de Seekurity, Hiram Camarillo, lo que indica que la plataforma de la SEDENA no fue actualizada adecuadamente para mejorar la protección de los servidores.

Quote
"Es cierto, sí hubo un ataque cibernético, así le llaman al robo de información y mediante estos mecanismos modernos extraen archivos. Es gente muy especializada, no sé si en México haya especialistas en este ramo de la cibernética"
Presidente Andrés Manuel López Obrador

Apenas el comienzo

Grupo Guacamaya también vulneró con el mismo mecanismo a la Policía Nacional Civil de El Salvador, al Comando General de las Fuerzas Militares de Colombia, a la Fuerza Armada de El Salvador y al Ejército de Perú. La cantidad de datos robados varía entre 35 y 275 GB según la organización, salvo para la Policía Nacional Civil de El Salvador, cuyo robo ascendió a 4 TB,  y a la SEDENA, cuyo robo fue de 6 TB.

Grupo Guacamaya se reconoce a sí mismo como un grupo de hacktivismo.

Una cuenta auto identificada como la correspondiente a Grupo Guacamaya, ha tuiteado que el objetivo de las filtraciones es que los latinoamericanos "sepan la verdad acerca de lo que está pasando en cada país", y agradece a Latinus y a Carlos Loret por difundir información de la filtración, desde detalles sobre una hospitalización del presidente, hasta información sobre operativos de seguridad, como aquel en el que se capturó y liberó a Ovidio Guzmán.


Con más información filtrada en camino, el especialista Hiram Camarillo, dice a Xataka México que de poco sirve la cantidad de normas oficiales e iniciativas de ciberseguridad presentadas en Congreso. "Creo que han habido muchas iniciativas, muchas propuestas, mucha documentación que habla de cómo proteger a las instituciones gubernamentales, pero de nada sirve si del papel no pasa a la implementación", sentencia.

Fuente: You are not allowed to view links. Register or Login

55

La compañía de tecnología portátil Fitbit ha anunciado una nueva cláusula que requiere que los usuarios cambien a una cuenta de Google "en algún momento" en 2023.

"En 2023, planeamos lanzar cuentas de Google en Fitbit, lo que permitirá el uso de Fitbit con una cuenta de Google", dijo el fabricante de dispositivos de fitness propiedad de Google .

El cambio no estará disponible para todos los usuarios en 2023. Más bien, se espera que la compatibilidad con las cuentas de Fitbit continúe hasta al menos principios de 2025, después de lo cual será obligatoria una cuenta de Google para usar los dispositivos.

La integración más profunda también significa que una cuenta de Google será obligatoria para registrarse en Fitbit y activar nuevas funciones, incluidas aquellas que incorporan productos y servicios de Google, como el Asistente de Google.

También se necesita como parte de la transición el consentimiento de parte de los usuarios para transferir sus datos personales de Fitbit a Google. El gigante de Internet enfatizó que la información personal de los usuarios no se utilizará para publicar anuncios.

El objetivo, dijo Fitbit, es incluir un "inicio de sesión único para Fitbit y otros servicios de Google, seguridad de cuenta líder en la industria, controles de privacidad centralizados para los datos de usuario de Fitbit y más funciones de Google en Fitbit".

El desarrollo se produce más de tres años después de que Google anunciara cambios similares en mayo de 2019 después de la adquisición de la empresa de hogares inteligentes Nest.

En enero de 2021, cuando Google completó su adquisición de Fitbit, la compañía dijo que "el acuerdo siempre ha sido sobre dispositivos, no datos" y que "protegerá la privacidad de los usuarios de Fitbit".

Fuente: You are not allowed to view links. Register or Login

56

Los investigadores de seguridad han descubierto 75 aplicaciones en Google Play y otras diez en la App Store de Apple involucradas en fraude publicitario. Colectivamente, suman 13 millones de instalaciones.

Además de inundar a los usuarios móviles con anuncios, tanto visibles como ocultos, las aplicaciones fraudulentas también generaron ingresos al hacerse pasar por aplicaciones e impresiones legítimas.

Aunque este tipo de aplicaciones no se ven como una amenaza grave, sus operadores pueden usarlas para actividades más peligrosas .   

Los investigadores del equipo Satori Threat Intelligence de HUMAN identificaron una colección de aplicaciones móviles que forman parte de una nueva campaña de fraude publicitario a la que llamaron 'Scylla'.

Los analistas creen que Scylla es la tercera ola de una operación que encontraron en agosto de 2019 y que llamaron 'Poseidón'. La segunda ola, aparentemente del mismo actor de amenazas, se llamó 'Charybdis' y culminó a fines de 2020.

Aplicaciones de fraude publicitario

El equipo de Satori informó a Google y Apple sobre sus hallazgos y las aplicaciones se eliminaron de las tiendas oficiales de Android e iOS.

En los dispositivos Android, a menos que tenga desactivada la opción de seguridad Play Protect , las aplicaciones deberían detectarse automáticamente.

Para iOS, Apple no tiene claro cómo eliminar las aplicaciones de adware ya instaladas en el dispositivo. Human recomienda a los usuarios que eliminen las aplicaciones fraudulentas si están presentes en sus dispositivos. A continuación se presenta una breve lista con los más descargados:

Lista de aplicaciones de iOS :

Saquear el castillo – com.loot.rcastle.fight.battle (id1602634568)
Ejecutar puente: com.run.bridge.race (id1584737005)
Pistola brillante – com.shinning.gun.ios (id1588037078)
Racing Legend 3D – com.racing.legend.like (id1589579456)
Rope Runner – com.rope.runner.family (id1614987707)
Escultor de madera – com.wood.sculptor.cutter (id1603211466)
Cortafuegos – com.fire.wall.poptit (id1540542924)
Golpe crítico ninja – wger.ninjacriticalhit.ios (id1514055403)
Tony corre – com.TonyRuns.game

Lista de aplicaciones de Android (más de 1 millón de descargas)

Superhéroe-¡Salva el mundo! - com.asuper.man.playmilk
Encuentra 10 diferencias – com. different.ten.spotgames
Encuentra 5 diferencias: com.find.five.sutil.differences.spot.new
Leyenda de los dinosaurios – com.huluwagames.dinosaur.legend.play
Dibujo de una línea – com.one.line.drawing.stroke.yuxi
Shoot Master – com.shooter.master.bullet.puzzle.huahong
Trampa de talento – NUEVO – com.talent.trap.stop.all

La lista completa de aplicaciones que forman parte de la ola de fraude publicitario de Scylla está disponible en el informe de HUMAN .

Detalles del software malicioso

Las aplicaciones de Scylla generalmente usaban una ID de paquete que no coincide con el nombre de su publicación, para que los anunciantes los vean como si los clics/impresiones de anuncios provinieran de una categoría de software más rentable.

Los investigadores de HUMAN descubrieron que 29 aplicaciones de Scylla imitaban hasta 6000 aplicaciones basadas en CTV y alternaban periódicamente las identificaciones para evadir la detección de fraude.


En Android, los anuncios se cargan en ventanas WebView ocultas, por lo que la víctima nunca nota nada sospechoso, ya que todo sucede en segundo plano.


Elementos de la interfaz de usuario que identifican la ubicación de vistas web para anuncios (HUMANOS)


Además, el adware utiliza un sistema "JobScheduler" para activar eventos de impresión de anuncios cuando las víctimas no están utilizando activamente sus dispositivos, por ejemplo, cuando la pantalla está apagada.


Los signos de fraude se registran en los registros y se pueden ver en las capturas de paquetes de red, pero los usuarios habituales no suelen examinarlos.


Tráfico de anuncios en registros de red (HUMAN)

En comparación con 'Poseidon', la primera campaña para esta operación, las aplicaciones de Scylla se basan en capas adicionales de ofuscación de código utilizando el ofuscador Allatori Java. Esto hace que la detección y la ingeniería inversa sean más difíciles para los investigadores.

Los usuarios deben monitorear sus aplicaciones en busca de aplicaciones maliciosas o no deseadas buscando algunos signos que generalmente indican un problema, como el agotamiento rápido de la batería y el aumento del uso de datos de Internet, o aplicaciones que no recuerda haber instalado.

También se recomienda revisar la lista de aplicaciones instaladas y eliminar aquellas que no recuerda haber instalado o que provienen de un proveedor desconocido.

Fuente: You are not allowed to view links. Register or Login

57

Los piratas informáticos que se cree que trabajan para Rusia han comenzado a utilizar una nueva técnica de ejecución de código que se basa en el movimiento del mouse en las presentaciones de Microsoft PowerPoint para activar un script malicioso de PowerShell.

No se necesita una macro maliciosa para que el código malicioso se ejecute y descargue la carga útil, para un ataque más insidioso.

Un informe de la compañía de inteligencia de amenazas Cluster25 dice que APT28 (también conocido como 'Fancy Bear'), un grupo de amenazas atribuido a la GRU rusa  (Dirección Principal de Inteligencia del Estado Mayor Ruso), ha utilizado la nueva técnica para entregar el malware Graphite tan recientemente como 9 de septiembre.

El actor de amenazas atrae a los objetivos con un archivo de PowerPoint (.PPT) supuestamente vinculado a la Organización para la Cooperación y el Desarrollo Económicos (OCDE), una organización intergubernamental que trabaja para estimular el progreso económico y el comercio en todo el mundo.

Dentro del archivo PPT hay dos diapositivas, ambas con instrucciones en inglés y francés para usar la opción de interpretación en la aplicación de videoconferencia Zoom.

Señuelo de documento utilizado en una nueva campaña que usa la
fuente de malware Graphite: Cluster25

El archivo PPT contiene un hipervínculo que actúa como desencadenante para iniciar un script malicioso de PowerShell mediante la utilidad S yncAppvPublishingServer  . Esta técnica está documentada desde junio de 2017 . Varios investigadores explicaron en su momento cómo funciona la infección sin una macro maliciosa anidada dentro de un documento de Office ( 1 , 2 , 3 ,  4 ).

Según los metadatos encontrados, Cluster25 dice que los hackers han estado preparando la campaña entre enero y febrero, aunque las URL utilizadas en los ataques aparecieron activas en agosto y septiembre.


Uso de la técnica de pasar el mouse de PowerPoint para entregar la
fuente de malware Graphite: Cluster25

Los investigadores dicen que el actor de amenazas apunta a entidades en los sectores de defensa y gobierno de países de la Unión Europea y Europa del Este y creen que la campaña de espionaje continúa.

Cadena de infección

Al abrir el documento del señuelo en modo de presentación y la víctima pasa el mouse sobre un hipervínculo, se activa un script malicioso de PowerShell para descargar un archivo JPEG ("DSC0002.jpeg") desde una cuenta de Microsoft OneDrive.

El JPEG es un archivo DLL cifrado ( lmapi2.dll ), que se descifra y se coloca en el directorio 'C:\ProgramData\', luego se ejecuta a través de rundll32.exe . También se crea una clave de registro para la persistencia de la DLL.


Activación de la ejecución de código malicioso (Cluster25)

A continuación, lmapi2.dll obtiene y descifra un segundo archivo JPEG y lo carga en la memoria, en un nuevo subproceso creado previamente por la DLL.

Cluster25 detalla que cada una de las cadenas en el archivo recién obtenido requiere una clave XOR diferente para la desofuscación. La carga útil resultante es el malware Graphite en forma de ejecutable portátil (PE).

Graphite abusa de Microsoft Graph API y OneDrive para comunicarse con el servidor de comando y control (C2). El actor de amenazas accede al servicio utilizando una ID de cliente fija para obtener un token OAuth2 válido.


ID de cliente fijo utilizado por Graphite (Cluster25)

Con el nuevo token OAuth2, Graphite consulta las Microsoft GraphAPI en busca de nuevos comandos al enumerar los archivos secundarios en el subdirectorio de comprobación de OneDrive, explican los investigadores.

“Si se encuentra un archivo nuevo, el contenido se descarga y se descifra a través de un algoritmo de descifrado AES-256-CBC”, dice Cluster25, y agrega que “el malware permite la ejecución remota de comandos al asignar una nueva región de memoria y ejecutar el shellcode recibido por llamando a un nuevo hilo dedicado.”

El propósito del malware Graphite es permitir que el atacante cargue otro malware en la memoria del sistema. Fue documentado en enero por investigadores de Trellix, una  fusión  de McAfee Enterprise y FireEye, quienes lo nombraron así específicamente porque aprovecha la API de Microsoft Graph para usar OneDrive como C2.

La campaña que investigó Trellix usó documentos de Excel titulados "parliament_rew.xlsx" y "Missions Budget.xlsx" que parecían estar dirigidos a empleados gubernamentales e individuos en la industria de defensa.

Según las similitudes del código con muestras de malware de 2018, la orientación y la infraestructura utilizada en los ataques, Trellix ha atribuido Graphite a APT28 con una confianza de baja a moderada.

Fuente: You are not allowed to view links. Register or Login

58

En los últimos días han aparecido reportes de usuarios que aseguran que Google Fotos ha dañado algunas de sus fotos antiguas almacenadas en la nube, añadiendo líneas, puntos y marcas que parece ser manchas o arrugas que no estaban presentes en los respaldos originales.

Las fallas se han reportado en la página de soporte de Fotos y otros foros de internet, se dice que afectan a fotos respaldadas hace más de cinco años y se presentan través de todas las plataforma de Google Fotos. Otros reportes dicen que las marcas y fallas persisten incluso si las fotos dañadas son descargadas a la memoria interna de los dispositivos.

Así se ven algunas de las fotos dañadas compartidas por los usuarios que detectaron las fallas:




El daño en los fotos almacenadas en Google Fotos es reciente. En la página de soporte el primer reporte apareció hace tres días, pero en los días siguientes comenzaron a expandirse a una gran cantidad de usuarios.

Entre los reportes también han aparecido algunas soluciones. Un usuario sugiere descargar las fotos originales desde web, con el proceso usual que se conoce, y recomienda revisar aquellas fotos que fueron editadas (en su nombre llevan la marca -edited) pues suelen ser las que presentan los daños. Otro usuario asegura que algunas de sus fotos presentaban las fallas, pero ahora han desaparecido y sus imágenes ya no tienen marcas defectuosas. Finalmente, otro usuario recomienda limpiar la cache de la app de Google Fotos y reinstalar para eliminar estos errores en las fotos, pues menciona que fue un proceso que le funcionó.


Si algún usuario tiene este problema, por favor cuéntanos en los comentarios. Hasta el momento Google no ha dado una postura oficial al respecto la situación con Fotos.

A pesar de que el almacenamiento ilimitado gratis se terminó el año pasado, Google Fotos continúa siendo una gran plataforma de respaldo en la nube para muchos usuarios. Sin embargo, con estos problemas quizás sea buena idea buscar por una alternativa para el respaldo en la nube.

Fuente: You are not allowed to view links. Register or Login

59

Los investigadores han revelado una nueva vulnerabilidad grave de Oracle Cloud Infrastructure (OCI) que los usuarios podrían explotar para acceder a los discos virtuales de otros clientes de Oracle.

"Cada disco virtual en la nube de Oracle tiene un identificador único llamado OCID", dijo Shir Tamari, jefe de investigación de Wiz, en una serie de tuits. "Este identificador no se considera secreto y las organizaciones no lo tratan como tal".

"Dado el OCID del disco de una víctima que actualmente no está conectado a un servidor activo o configurado como compartible, un atacante podría 'conectarse' a él y obtener lectura/escritura sobre él", agregó Tamari.

La firma de seguridad en la nube, que denominó la vulnerabilidad de aislamiento de inquilinos " AdjuntarMe ", dijo que Oracle solucionó el problema dentro de las 24 horas posteriores a la divulgación responsable el 9 de junio de 2022.

Acceder a un volumen mediante la CLI sin permisos suficientes

En esencia, la vulnerabilidad se basa en el hecho de que un disco podría conectarse a una instancia de cómputo en otra cuenta a través del Oracle Cloud Identifier (OCID) sin ninguna autorización explícita.

Esto significaba que un atacante en posesión del OCID podría haberse aprovechado de AttachMe para acceder a cualquier volumen de almacenamiento, lo que daría como resultado la exposición de datos, la exfiltración o, peor aún, la alteración de los volúmenes de arranque para lograr la ejecución del código.

Además de conocer el OCID del volumen objetivo, otro requisito previo para llevar a cabo el ataque es que la instancia del adversario debe estar en el mismo dominio de disponibilidad (AD) que el objetivo.

"La validación insuficiente de los permisos de los usuarios es una clase de error común entre los proveedores de servicios en la nube", dijo el investigador de Wiz, Elad Gabay. "La mejor manera de identificar tales problemas es realizar revisiones rigurosas de código y pruebas exhaustivas para cada API sensible en la etapa de desarrollo".

Los hallazgos llegan casi cinco meses después de que Microsoft abordara un par de problemas con Azure Database for PostgreSQL Flexible Server que podrían resultar en el acceso no autorizado a la base de datos entre cuentas en una región.

Fuente: You are not allowed to view links. Register or Login

60

Se ha encontrado un paquete NPM malicioso disfrazado de biblioteca de software legítima para Material Tailwind, lo que una vez más indica intentos por parte de los actores de amenazas de distribuir código malicioso en repositorios de software de código abierto.

Material Tailwind es un marco basado en CSS anunciado por sus mantenedores como una "biblioteca de componentes fácil de usar para Tailwind CSS y Material Design".

"El paquete malicioso Material Tailwind npm, aunque se hace pasar por una herramienta de desarrollo útil, tiene un script automático posterior a la instalación", dijo Karlo Zanki, investigador de seguridad de ReversingLabs, en un informe compartido con The Hacker News.

Este script está diseñado para descargar un archivo ZIP protegido con contraseña que contiene un ejecutable de Windows capaz de ejecutar scripts de PowerShell.

El paquete malicioso, denominado material-tailwindcss , se ha descargado 320 veces hasta la fecha, todas ellas a partir del 15 de septiembre de 2022.

En una táctica que se está volviendo cada vez más común, el autor de la amenaza parece haber tenido mucho cuidado en imitar la funcionalidad proporcionada por el paquete original, mientras utiliza sigilosamente un script posterior a la instalación para introducir las características maliciosas.

Esto toma la forma de un archivo ZIP recuperado de un servidor remoto que incorpora un binario de Windows, al que se le da el nombre de "DiagnosticsHub.exe", probablemente en un intento de hacer pasar la carga útil como una utilidad de diagnóstico.

Código para la descarga de la etapa 2

Empaquetados dentro del ejecutable hay fragmentos de código de Powershell responsables del comando y control, la comunicación, la manipulación de procesos y el establecimiento de la persistencia por medio de una tarea programada.

El módulo Material Tailwind con error tipográfico es el último de una larga lista de ataques dirigidos a repositorios de software de código abierto como npm, PyPI y RubyGems en los últimos años.

El ataque también sirve para resaltar la cadena de suministro de software como una superficie de ataque, que ha cobrado importancia debido al impacto en cascada que los atacantes pueden tener al distribuir códigos maliciosos que pueden causar estragos en múltiples plataformas y entornos empresariales de una sola vez.

Las amenazas a la cadena de suministro también han llevado al gobierno de EE. UU. a publicar un memorando que ordena a las agencias federales que "utilicen solo software que cumpla con los estándares de desarrollo de software seguro" y obtengan "certificación propia para todo el software de terceros".

"Garantizar la integridad del software es clave para proteger los sistemas federales de amenazas y vulnerabilidades y reducir el riesgo general de los ataques cibernéticos", dijo la Casa Blanca la semana pasada.

Fuente: You are not allowed to view links. Register or Login

Pages: 1 2 [3] 4 5 ... 114