Muchos sitios se sostienen por la publicidad. Por ende, cuando detectan que el navegador las bloquea, brindad un mensaje de que desactive el bloqueador. Son contados los sitios que impiden al usuario la actividad si no lo hace, pero los hay.

No importa el tipo de bloqueador. Refieren el más popular.

En el caso de Firefox él ya tiene un bloqueador incorporado por defecto que es bastante completo. Está al lado del candadito (forma de escudo) en la barra de direcciones. Configúrelo de manera adecuada, para ese sitio.

Algo me dice que hay gatos en el ambiente...
Y con experiencias en el negocio...

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola

Una vez más, y no por repetitivo (para los que son asiduos seguidores), pero se ha tratado ese tema y se han dejado criterios muy buenos que le ayudarán.

Use el buscador del Foro y escriba:

chipset para auditorías
los mejores modelos de wifi
wifis para hacking
chipset RT3070
etc.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Menciona un chipset de Atheros que es un clásico. En realidad, los tres chipsets que menciona son excelentes. Y según su necesidad, debe escoger en potencia: de 5 o 6 watts en adelante.

Una observación que recién se me ha presentado en problemas:

Y es que con los evil twin: fluxion, linset y wifimosys, el chipset  de la Realtek 8187 y de la ralink 3070 no funcionan en el wifislax v1.1 x64.
No funcionan en el DHCP (no dan IP cuando se crea el falso AP) ;y con la gestión del driver del RT8187 en especial. En cambio, funciona bien con el de Atheros que menciona (9271).

Con los atheros hay que tener "mucho cuidado" en su selección de modelos pues los hay que con otros chipset hay problemas de compatibilidaddes con las distros de auditorías.

No recuerda algún otro detalle en específico?
Es muy común la descripción; no pocos libros tiene ese formato en contenido que describe.

"Necesitamos especialmente de la imaginación en las ciencias. No todo es matemáticas y no todo es simple lógica, también se trata de un poco de belleza y poesía".

Maria Montessori

Esto lo parcheó Facebook poco después de darse a conocer esta falla en el sistema.

Quede como recuerdo.

En mi caso en Wireless: más de 8 caracteres "numéricos" ni me molesto. Puede que con 10, si tengo motivación.

Y es que para dedicarse al brute force hay que tener músculo en poder de cómputo. Al menos yo delego en amigos que sí tienen tarjetas gráficas de última y varias y se dedican a minar. Esto es para la fortuna de combinaciones de caracteres de letras mayúsculas y minúsculas, etc. que en la mayoría de los casos es una pérdida de tiempo.

Ni me animo en ocasiones a pedir el favor y molestar.

Estoy de acuerdo con su criterio, pues así me lo ha dictado la experiencia.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los autores del complemento Elementor Website Builder para WordPress acaban de lanzar la versión 3.6.3 para abordar una falla crítica de ejecución remota de código que puede afectar hasta 500,000 sitios web.

Aunque explotar la falla requiere autenticación, su gravedad crítica se debe al hecho de que cualquier persona que haya iniciado sesión en el sitio web vulnerable puede explotarla, incluidos los suscriptores habituales.

Un actor de amenazas que crea una cuenta de usuario normal en un sitio web afectado podría cambiar el nombre y el tema del sitio afectado para que se vea completamente diferente.

Los investigadores de seguridad creen que un usuario que no haya iniciado sesión también podría explotar la falla recientemente reparada en el complemento de Elementor, pero no han confirmado este escenario.

Detalles de vulnerabilidad

En un informe publicado esta semana por investigadores del servicio de seguridad de WordPress, Plugin Vulnerabilities, quienes encontraron la vulnerabilidad, describen los detalles técnicos detrás del problema en Elementor.

El problema radica en la ausencia de una verificación de acceso crucial en uno de los archivos del complemento, "module.php", que se carga en cada solicitud durante la acción admin_init, incluso para los usuarios que no han iniciado sesión, explican los investigadores.

"La vulnerabilidad RCE que encontramos involucra la función upload_and_install_pro() accesible a través de la función anterior. Esa función instalará un complemento de WordPress enviado con la solicitud" - Plugin Vulnerabilities

Una de las funciones desencadenadas por la acción admin_init permite la carga de archivos en forma de complemento de WordPress. Un actor de amenazas podría colocar un archivo malicioso allí para lograr la ejecución remota de código.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores dicen que la única restricción vigente es el acceso a un nonce válido. Sin embargo, encontraron que el nonce relevante está presente en el "código fuente de las páginas de administración de WordPress que comienza con 'elementorCommonConfig', que se incluye cuando se inicia sesión como usuario con el rol de Suscriptor".

Impacto y fijación

Según las vulnerabilidades del complemento, el problema se introdujo con Elementor 3.6.0, lanzado el 22 de marzo de 2022.

Las estadísticas de WordPress informan que aproximadamente el 30,7 % de los usuarios de Elementor se han actualizado a la versión 3.6.x, lo que indica que el número máximo de sitios potencialmente afectados es de aproximadamente 1 500 000.

El complemento se ha descargado un poco más de un millón de veces hoy. Suponiendo que todos fueran para 3.6.3, todavía debe haber alrededor de 500,000 sitios web vulnerables.

La última versión incluye un compromiso que implementa una verificación adicional en el acceso nonce, utilizando la función de WordPress "current_user_can".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si bien esto debería abordar la brecha de seguridad, los investigadores aún no han validado la solución y el equipo de Elementor no ha publicado ningún detalle sobre el parche.

Plugin Vulnerabilities también ha publicado una prueba de concepto (PoC) para demostrar la explotabilidad, lo que aumenta el riesgo de que los sitios web vulnerables se vean comprometidos:

POC

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se recomienda a los administradores que apliquen la última actualización disponible para el complemento Elementor WordPress o eliminen el complemento de su sitio web por completo.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apache ha solucionado una vulnerabilidad crítica en su proyecto Struts que es muy popular y que anteriormente se creía que se había resuelto, pero como resultado, no se remedió por completo.

Como tal, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) insta a los usuarios y administradores a actualizar a las últimas versiones parcheadas de Struts 2.

Struts es un marco de desarrollo de aplicaciones de código abierto que utilizan los desarrolladores web de Java para crear aplicaciones de modelo, vista y controlador (MVC).

La falla de ejecución remota de código (RCE) no se resolvió por completo

Esta semana, DHS CISA insta a las organizaciones a actualizar a la versión 2.5.30 (o superior) de Struts2, que corrige una vulnerabilidad crítica de inyección de OGNL.

Rastreada como CVE-2021-31805, la vulnerabilidad crítica existe en las versiones de Struts 2 desde la 2.0.0 hasta la 2.5.29 inclusive.

La vulnerabilidad resulta de una corrección incompleta que se aplicó para CVE-2020-17530, también un error de Inyección OGNL, con una clasificación de gravedad de 9.8 (Crítico).

El lenguaje de navegación de gráfico de objetos (OGNL) es un lenguaje de expresión (EL) de código abierto para Java que simplifica el rango de expresiones utilizadas en el lenguaje Java. OGNL también permite a los desarrolladores trabajar con arreglos más fácilmente. Sin embargo, analizar las expresiones OGNL en función de la entrada del usuario sin procesar o que no es de confianza puede ser problemático desde una perspectiva de seguridad.

En 2020, los investigadores Álvaro Muñoz de GitHub y Masato Anzai de Aeye Security Lab informaron una falla de "evaluación doble" en las versiones 2.0.0 - 2.5.25 de Struts2, bajo ciertas circunstancias.

"Algunos de los atributos de la etiqueta podrían realizar una evaluación doble si un desarrollador aplicara una evaluación OGNL forzada mediante el uso de la sintaxis %{...}", afirma el aviso para CVE-2020-17530.

"El uso de la evaluación OGNL forzada en la entrada de un usuario que no es de confianza puede provocar una ejecución remota de código y una degradación de la seguridad".

Aunque Apache había resuelto el error de 2020 en Struts 2.5.26, el investigador Chris McCown descubrió más tarde que la solución aplicada estaba incompleta.

Como tal, McCown informó responsablemente a Apache que el problema de "doble evaluación" aún podría reproducirse en las versiones 2.5.26 y posteriores de Struts, lo que resultó en la asignación de CVE-2021-31805.

Se recomienda a los usuarios que actualicen a Struts 2.5.30 o superior y que eviten el uso de la evaluación OGNL forzada en los atributos de la etiqueta en función de la entrada del usuario que no es de confianza.

Además, Apache recomienda seguir su guía de seguridad para conocer las mejores prácticas.

El hackeo de Equifax de 2017 se derivó de la inyección de OGNL

Ha sido un año en el que los componentes de Java con vulnerabilidades de alto perfil como Log4Shell y Spring4Shell dominan el espacio de la ciberseguridad.

Ahora, con la reactivación de esta falla crítica de dos años en Struts, es posible que las organizaciones y los profesionales de la seguridad deban examinar de cerca sus entornos de servidor web.

El marco Struts ha tenido un historial de vulnerabilidades críticas, en particular fallas de ejecución remota de código que resultan del uso inseguro de OGNL.

Otra falla de inyección de Struts 2 OGNL (CVE-2017-5638) había sido explotada previamente por actores de amenazas, incluidos grupos de ransomware.

El gigante de informes de crédito al consumidor, Equifax, confirmó más tarde que el ataque de 2017 a la empresa fue el resultado de la explotación de CVE-2017-5638, que era un día cero en ese momento.

La violación de datos de Equifax comprometió los datos de 143 millones de usuarios, ya que los piratas informáticos robaron nombres, números de seguro social (SSN), fechas de nacimiento, direcciones y, en algunos casos, números de licencias de conducir de personas.

Los actores de amenazas también habían accedido a los números de tarjetas de crédito de unos 209.000 usuarios estadounidenses. Sin revelar el número exacto de personas afectadas, Equifax confirmó que la brecha también afectó a los residentes británicos y canadienses de alguna manera.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WASHINGTON, 13 abr (Reuters) - Los piratas informáticos avanzados han demostrado la capacidad de tomar el control de una variedad de dispositivos que ayudan a operar centrales eléctricas y plantas de fabricación, dijo el gobierno de EE. UU., en una alerta emitida el miércoles, haciendo sonar la alarma sobre el potencial de ciberataques espías para dañar la infraestructura crítica.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. dijo en un aviso conjunto con otras agencias gubernamentales que el software malicioso de los piratas informáticos podría afectar un tipo de dispositivo llamado controladores lógicos programables fabricados por Schneider Electric y OMRON Corp.

Los controladores son comunes en una variedad de industrias, desde la producción de gas hasta la de alimentos, pero Robert Lee, director ejecutivo de la firma de seguridad cibernética Dragos, que ayudó a descubrir el malware, dijo que los investigadores creían que los objetivos de los piratas informáticos eran las instalaciones eléctricas y de gas natural licuado.

En su alerta, la Agencia de Ciberseguridad instó a las organizaciones de infraestructuras críticas, "especialmente a las organizaciones del Sector Energético", a implementar una serie de recomendaciones destinadas a bloquear y detectar el malware.

Aunque la alerta fue vaga, no dijo qué piratas informáticos se creía que habían desarrollado el malware y no dio ninguna indicación de que el malware realmente se había utilizado, generó preocupación en toda la industria.

Los controladores lógicos programables están integrados en una gran cantidad de plantas y fábricas y cualquier interferencia con su funcionamiento tiene el potencial de causar daños, desde apagones hasta fugas de productos químicos, equipos destrozados o incluso explosiones.

Lee dijo que la herramienta desarrollada por los piratas informáticos misteriosos era "altamente capaz" y probablemente había estado en proceso durante varios años.

"Es tan peligroso como la gente lo pretende", dijo Lee en una entrevista.

Los funcionarios de seguridad cibernética occidentales ya están nerviosos por la invasión de Rusia a Ucrania, que recientemente ha visto el despliegue de malware destinado a causar cortes de energía.

En una señal de la seriedad con la que se estaba tomando el descubrimiento, CISA dijo que estaba haciendo su anuncio junto con el Departamento de Energía, la Agencia de Seguridad Nacional y la Oficina Federal de Investigaciones.

Agradeció a Dragos, Mandiant, Microsoft, Palo Alto Networks y Schneider Electric por sus contribuciones a la alerta.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha publicado en línea un exploit de prueba de concepto para la vulnerabilidad de ejecución remota de código VMware CVE-2022-22954, que ya se está utilizando en ataques activos que infectan servidores con mineros de monedas.

La vulnerabilidad es una ejecución remota de código (RCE) crítica (CVSS: 9.8 ) que afecta a VMware Workspace ONE Access y VMware Identity Manager, dos productos de software ampliamente utilizados.

El proveedor de software publicó un aviso de seguridad para la vulnerabilidad el 6 de abril de 2022, advirtiendo sobre la posibilidad de que un actor de amenazas con acceso a la red active una inyección de plantilla del lado del servidor que resulte en RCE.

VMware ha publicado actualizaciones de seguridad para los productos afectados e instrucciones de solución para ayudar a abordar el riesgo de implementaciones que los administradores no pueden actualizar de inmediato.

Al mismo tiempo, subrayó la importancia de abordar la vulnerabilidad particular: "Esta vulnerabilidad crítica debe repararse o mitigarse de inmediato según las instrucciones en VMSA-2021-0011. Las ramificaciones de esta vulnerabilidad son graves".

Vulnerabilidad explotada activamente en ataques

Esta semana, numerosos investigadores de seguridad crearon exploits funcionales para CVE-2022-22954, con al menos un exploit de prueba de concepto publicado en Twitter.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si bien la publicación de exploits públicos aumenta los riesgos de que los actores de amenazas los exploten en los ataques, también están destinados a ayudar a proteger los sistemas a través de pruebas y servir como validadores de correcciones/parches existentes.

Hoy en día, los actores de amenazas están escaneando activamente en busca de hosts vulnerables, y la firma de inteligencia de seguridad cibernética Bad Packets declara que están detectando intentos de explotar la vulnerabilidad en la naturaleza.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La dirección IP, 106.246.224.219, utilizada en la carga útil, se vio recientemente dejando caer la puerta trasera Linux Tsunami en otros ataques. Sin embargo, no está claro cuál es el ejecutable 'one', ya que ya no es accesible.

El investigador de seguridad Daniel Card también compartió en Twitter que la vulnerabilidad se estaba explotando para lanzar cargas útiles de mineros, comúnmente los primeros ataques que vemos cuando los actores de amenazas apuntan a una nueva vulnerabilidad.

Algunos de estos actores de amenazas cierran la vulnerabilidad una vez que obtienen el control del servidor.

Card declaró que probablemente veríamos bandas de ransomware comenzando a utilizar el exploit pronto para propagarse lateralmente dentro de las redes.

Debido a su explotación activa, si aún no ha aplicado las actualizaciones o mitigaciones de seguridad de VMware, es extremadamente urgente que lo haga lo antes posible.

Para los usuarios de productos VMware, vale la pena señalar que el aviso del proveedor enumera varias fallas de alta gravedad además del RCE mencionado anteriormente, que afectan a productos adicionales además de Workspace One Access e Identity Manager, así que asegúrese de estar utilizando la última versión disponible.

Fuente:
BleeepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace dos años, HiveSystems publicó por primera vez una tabla de contraseñas con los tiempos que le insumiría a un atacante romperlas. Ahora se actualizaron los datos para el 2022.

La tabla de 2020 mostraba la fortaleza relativa de una contraseña contra un intento de descifrado de fuerza bruta, según la longitud y la complejidad de la contraseña.

Los datos se basaron en cuánto tiempo y presupuesto le tomaría a un atacante descifrar el hash de una contraseña usando una computadora de escritorio con una tarjeta gráfica de primer nivel.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dos años más tarde, un período de tiempo bastante largo en términos de mejora de la potencia de procesamiento, las cosas han cambiado bastante.

En el contexto de las contraseñas, un "hash" es una versión codificada de una cadena de texto. En otras palabras, si se calcula el hash de la palabra "password" usando el método de hashing MD5, el hash de salida es 5f4dcc3b5aa765d61d8327deb882cf99.

Sabiendo esto, el atacante puede crackear un hash por fuerza bruta, lo cual significa hacer una lista de "todas" (en teoría) las combinaciones de caracteres y luego codificarlas con el método de hashing que desee y corresponda al sistema atacado. Al encontrar coincidencias entre su lista y los hashes de las contraseñas robadas, el cracker pueden descubrir la contraseña.

Las tarjetas gráficas son una placa especial que tiene una Unidad de Procesamiento Gráfico (GPU) con una alta capacidad de cálculo matemático. Resulta que también son excelentes para extraer criptomonedas y calcular hashes. Por ejemplo, una aplicación popular para cracking de hashes es Hashcat y permite utilizar la capacidad de cálculo de las GPU para calcular hashes.

La tabla de contraseñas de 2020 utilizó datos de 2018 basados en contraseñas hasheadas con MD5 y descifradas con una GPU RTX 2080. La GPU superior del 2022 es la RTX 3090, la cual resulta que tiene casi el triple de poder de cálculo de hashes por segundo.

¿Cuánto se tarda para romper una contraseña?

Suponiendo que se utilice la recomendación original de contraseñas de 8 caracteres del NIST, los crackers pueden romperla en menos de 5 horas (suponiendo que se use todo el set de caracteres). Y, si se usa el poder de cómputo de la nube, ese tiempo baja a 39 minutos utilizando 8 GPUs e invirtiendo U$S 32,77 por hora.

Obviamente, cuantas más instancias se utilicen en paralelo, menos tiempo tomará.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las GPU pueden generar hashes MD5 muy rápidamente, mientras que otras funciones de hash hacen que el proceso sea lento por diseño. Aunque todavía hay una cantidad sorprendente de sitios que usan MD5 y SHA1, hay un gran contingente que codifica sus contraseñas con bcrypt y otros.

La tabla de contraseñas se centra en la idea de que el atacante está trabajando en una situación de "caja negra" y tiene que empezar desde cero para crackear el hash.

Mediante el uso de tablas de arcoíris, ataques de diccionario y hashes robados anteriormente, el resultado del cracking es "inmediato".

El "Salt" complica el proceso de cracking y afortunadamente lo métodos modernos como:

bcrypt,
scrypt,
Argon2 y
PBKDF2

tienen el salting incorporado y terminan siendo más fuerte que cualquier otra implementación de hash.

Fuente:
HiveSystems
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bancor, el primer creador de mercado automatizado (AMM) en Ethereum, lanzó el Código Bancor v3 en GitHub y anunció el comienzo del Programa Bancor v3 Bug Bounty que ofrece hasta $ 1 millón en recompensas.

El programa Bancor v3 Bug Bounty

En un comunicado de prensa del 10 de abril de 2022, el intercambio descentralizado en Ethereum dijo que tiene como objetivo fomentar la divulgación responsable de errores que pueden afectar la ejecución perfecta de los contratos inteligentes de Bancor 3 antes del lanzamiento de la red principal en mayo de 2022.

Todas las recompensas, agregó Bancor, se desembolsarán en función de la gravedad del error revelado con ofertas que alcanzan hasta $ 1 millón.

Se han asignado más recompensas que detecten fallas antes del lanzamiento de la red principal. Sin embargo, todas las recompensas, el alcance y los términos quedarán a discreción de la Fundación Bprotocol.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de este anuncio, los cazarrecompensas de errores pueden comenzar a revisar el repositorio de contratos-v3 en busca de errores en una auditoría exhaustiva dirigida por la comunidad, antes del lanzamiento de la red principal.

La naturaleza inmutable de las transacciones de blockchain significa que los fondos de los usuarios pueden perderse o ser robados permanentemente si hay fallas en el código. Por este motivo, Bancor está poniendo el máximo énfasis en la seguridad, consciente de las graves repercusiones económicas y reputacionales de las fallas en el código que causan daños financieros irreversibles.

La complejidad de Bancor v3 y la necesidad de un lanzamiento sin problemas también explican por qué el código de Bancor v3 también será auditado externamente por las principales empresas de seguridad de blockchain, OpenZeppelin, Peckshield y Certora.

El lanzamiento de Bancor v3 Dawn será revolucionario

O al menos así lo piensan.
El lanzamiento de la red principal de Bancor v3 es muy esperado ya que revisa completamente las versiones anteriores.

El objetivo del lanzamiento de Bancor v3 Dawn es, entre otras cosas, simplificar la interacción y la integración con el protocolo mientras se mejora la eficiencia del capital.

En particular, los nuevos contratos inteligentes de Bancor v3 facilitarán que los protocolos de terceros compatibles complementen el comercio, el rendimiento y el análisis de Bancor, al mismo tiempo que promueven una mayor componibilidad en la industria multimillonaria de DeFi.

Bancor es uno de los DEX más líquidos en Ethereum y EOS, lo que permite una provisión de liquidez unilateral altamente gratificante con un seguro de pérdida temporal y, con una disposición adicional para que los comerciantes intercambien tokens. Además del intercambio predeterminado de token a token en Bancor v3, los proveedores de liquidez tendrán protección instantánea contra pérdidas impermanentes, acceso a provisión de liquidez unilateral, omnipool, infinity pools y préstamos flash, entre otras características interesantes.

Específicamente, con la introducción de omnipool, no habrá necesidad de enrutar operaciones a través de BNT. En cambio, los intercambios entre tokens serán inmediatos, y generará más ingresos para el protocolo a partir de las tarifas comerciales. Como resultado, este movimiento también hará que Bancor sea más eficiente en términos de capital.

Parte de la razón por la que Bancor puede no haber atraído a más comerciantes como los protocolos AMM de la competencia como Uniswap podría deberse a las altas tarifas de Gas resultantes del requisito de puente BNT. Bancor v3 presentará una solución permanente, ayudando a DEX a recuperar su lugar como uno de los principales protocolos DeFi del mundo.

Más Info sobre el Bug Bounty:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Bancor Blog
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
Latest Hacking News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las actualizaciones de este martes de abril de Microsoft abordaron un total de 128 vulnerabilidades de seguridad que abarcan todos sus productos, incluidos Windows, Defender, Office, Exchange Server, Visual Studio y Print Spooler, entre otros.

10 de los 128 errores corregidos se calificaron como Críticos, 115 se calificaron como Importantes y tres se calificaron como Moderados, con una de las fallas enumeradas como conocidas públicamente y otra bajo ataque activo en el momento del lanzamiento.

Las actualizaciones se suman a otras 26 fallas resueltas por Microsoft en su navegador Edge basado en Chromium desde principios de mes.
La falla explotada activamente (CVE-2022-24521, puntaje CVSS: 7.8 ) se relaciona con una vulnerabilidad de elevación de privilegios en el Common Log File System Driver de Windows (CLFS). A los investigadores de la Agencia de Seguridad Nacional (NSA) y de CrowdStrike, Adam Podlosky y Amir Bazine, se les atribuye haber informado sobre la falla.

La segunda falla Zero-Day conocida públicamente (CVE-2022-26904, puntaje CVSS: 7.0 ) también se refiere a un caso de escalamiento de privilegios en el Servicio de perfil de usuario de Windows, cuya explotación exitosa "requiere que un atacante genere una condición de carrera".

Vulnerabilidad crítica wormeable

Una de las vulnerabilidades críticas a tener en cuenta incluyen una serie de fallas de ejecución remota de código en RPC Runtime Library (CVE-2022-26809, puntaje CVSS: 9.8 ) en el puerto 445 y 135 y que es wormeable, lo que recuerda a casos como Conficker y Stuxnet en 2008 y Wannacry en 2017.

La vulnerabilidad podría permitir que un atacante remoto ejecutara código con altos privilegios en un sistema afectado. Dado que no se requiere la interacción del usuario, estos factores se combinan para que sea compatible con gusanos, al menos entre máquinas donde se puede alcanzar RPC. Sin embargo, el puerto estático que se usa aquí (puerto TCP 135) generalmente está bloqueado en el perímetro de la red. Aún así, un atacante podría usar este error para el movimiento lateral. Definitivamente se debe probar e implementar este rápidamente.
Otros errores a tener en cuenta afectan al sistema de archivos de red de Windows (CVE-2022-24491 y CVE-2022-24497, puntajes CVSS: 9.8 ), Servicio de servidor de Windows (CVE-2022-24541), Windows SMB (CVE-2022-24500) y Microsoft Dynamics 365 (CVE-2022-23259).

Microsoft también corrigió hasta 18 fallas en el servidor DNS de Windows, una falla en la divulgación de información y 17 fallas en la ejecución remota de código, todas las cuales fueron reportadas por el investigador de seguridad Yuki Chen. También se corrigieron 15 fallas de escalamiento de privilegios en el componente Windows Print Spooler.

Los parches llegan una semana después de que el gigante tecnológico anunciara planes para poner a disposición una función llamada AutoPatch en julio de 2022 que permite a las empresas acelerar la aplicación de correcciones de seguridad de manera oportuna al tiempo que enfatiza la escalabilidad y la estabilidad.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad para corregir varias vulnerabilidades, contando:

•   Adobe
•   Android
•   Apache Struts 2
•   Cisco Systems
•   Citrix
•   Dell
•   Google Chrome
•   HP Teradici PCoIP Client
•   Juniper Networks
•   Linux distributions Oracle Linux, Red Hat, and SUSE
•   Mozilla Firefox, Firefox ESR, and Thunderbird
•   SAP
•   Schneider Electric
•   Siemens, and
•   VMware

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El empresa de inteligencia de amenazas DarkTracer ha compartido un twit en donde confirma que se han filtrado 679.320 credenciales de 36.436 dominios ."AR" de usuarios infectados con malware que roba credenciales y se distribuye en la Dark/Deep Web. Dentro de los sitios de los cuales se robaron credenciales figuran algunos de los principales sitios gubernamentales y de empresas privadas del país.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es muy importante señalar que las credenciales fueron robadas a los usuarios infectados con malware y que no fueron robadas de los sitios web mencionados. 

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Quien sospeche que pudo haber sido infectado, se recomienda cambiar la contraseña y siempre aplicar MFA (Multi-Factor Authentication).

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de esta noticia...

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WASHINGTON/LA HAYA, 12 abr (Reuters) - Las autoridades estadounidenses y europeas dijeron el martes que habían incautado RaidForums, un popular sitio web utilizado por piratas informáticos para comprar y vender datos robados, y Estados Unidos también reveló cargos contra el fundador y administrador principal del sitio web. Diego Santos Coelho.

Coelho, de 21 años, de Portugal, fue arrestado en el Reino Unido el 31 de enero y permanece bajo custodia mientras Estados Unidos busca su extradición para ser juzgado en el Tribunal de Distrito de EE. UU. para el Distrito Este de Virginia, dijo el Departamento de Justicia de EE. UU.

El departamento dijo que había obtenido la aprobación de la corte para incautar tres nombres de dominio diferentes que albergaban el sitio web RaidForums: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Entre los tipos de datos que estaban disponibles para la venta en el sitio se incluían números de cuenta y ruta bancaria robados, información de tarjetas de crédito, credenciales de inicio de sesión y números de seguro social.

En una declaración paralela, Europol también elogió el derribo diciendo que el mercado en línea RaidForums había sido incautado en una operación conocida como "Operación Torniquete", que ayudó a coordinar las investigaciones de las autoridades de los Estados Unidos, el Reino Unido, Alemania, Suecia, Portugal y Rumania.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"La disrupción siempre ha sido una técnica clave para operar contra los actores de amenazas en línea, por lo que apuntar a los foros que albergan grandes cantidades de datos robados mantiene a los delincuentes alerta", dijo en el comunicado el director del Centro Europeo de Delitos Cibernéticos de Europol, Edvardas Šileris.

Además de Coelho, dijo que dos de sus presuntos cómplices también estaban bajo custodia. No proporcionó más detalles sobre las otras dos personas arrestadas.

Coelho enfrenta una acusación de seis cargos, acusándolo de conspiración, fraude de dispositivo de acceso y robo de identidad agravado.

Alega que entre el 1 de enero de 2015 y su arresto en enero de 2022, controló y se desempeñó como administrador principal del sitio.

"Para beneficiarse de la actividad ilícita en la plataforma, RaidForums cobró precios cada vez mayores por los niveles de membresía que ofrecían un mayor acceso y funciones, incluido un estado de membresía 'Dios' de primer nivel", dijo el Departamento de Justicia en un comunicado.

Hudson Rock, una firma de monitoreo de delitos cibernéticos, ha descrito a RaidForums como "el foro mundial de delitos cibernéticos más importante que ha existido en los últimos años".

Según el Departamento de Justicia, el mercado ofreció a la venta más de 10 mil millones de registros únicos de cientos de bases de datos robadas que afectaron a las personas que residen en los EE. UU.
Europol confirmó que RaidForums tenía más de 500,000 usuarios.

Desmantelar el foro y su infraestructura es el resultado de un año de planificación entre las autoridades encargadas de hacer cumplir la ley en los Estados Unidos, el Reino Unido, Suecia, Portugal y Rumania.

No está claro cuánto tiempo tomó la investigación, pero la colaboración entre las agencias de aplicación de la ley permitió a las autoridades pintar una imagen clara de los roles que tenían las diferentes personas dentro de RaidForums.

La agencia europea de aplicación de la ley compartió pocos detalles en su comunicado de prensa, pero señala que las personas que mantuvieron en funcionamiento RaidForums trabajaron como administradores, lavadores de dinero, robaron y cargaron datos y compraron la información robada.

Las sospechas de una caída y fin comienzan en febrero

Los actores de amenazas y los investigadores de seguridad sospecharon por primera vez que RaidForums fue incautado por la policía en febrero cuando el sitio comenzó a mostrar un formulario de inicio de sesión en cada página.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sin embargo, al intentar iniciar sesión en el sitio, simplemente volvió a mostrar la página de inicio de sesión.

Esto llevó a los investigadores y miembros de los foros a creer que el sitio fue incautado y que el indicador de inicio de sesión fue un intento de phishing por parte de las fuerzas del orden público para recopilar las credenciales de los actores de amenazas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El 27 de febrero de 2022, los servidores DNS de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se cambiaron repentinamente a los siguientes servidores:

jocelyn.ns.cloudflare.com
plato.ns.cloudflare.com

Como estos servidores DNS se usaron anteriormente con otros sitios incautados por las fuerzas del orden, incluidos You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, los investigadores creyeron que esto añadía más evidencia de que el dominio había sido incautado.

Antes de convertirse en el lugar favorito de los piratas informáticos para vender datos robados, RaidForums tuvo un comienzo más humilde y se utilizó para organizar varios tipos de acoso electrónico, que incluían aplastar objetivos (hacer informes falsos que conducían a la intervención armada de la ley) y "ataques", que el DoJ describe como "publicar o enviar un volumen abrumador de contactos al medio de comunicación en línea de una víctima".

El sitio se hizo muy conocido en los últimos dos años y las pandillas de ransomware y los extorsionadores de datos lo usaban con frecuencia para filtrar datos como una forma de presionar a las víctimas para que pagaran un rescate, y fue utilizado tanto por la pandilla de ransomware Babuk como por Lapsus$. grupo de extorsión en el pasado.

El mercado ha estado activo desde 2015 y durante mucho tiempo fue la ruta más corta para que los piratas informáticos vendieran bases de datos robadas o las compartieran con miembros del foro.

Los datos confidenciales comercializados en el foro incluían información personal y financiera, como números de cuenta y ruta bancaria, tarjetas de crédito, información de inicio de sesión y números de seguridad social.

Si bien muchos foros de delitos cibernéticos atendieron a los actores de amenazas de habla rusa, RaidForums se destacó como el foro de piratería de habla inglesa más popular.

Después de que Rusia invadió Ucrania, y muchos actores de amenazas comenzaron a tomar partido, RaidForums anunció que prohibirían a cualquier miembro que se supiera que estaba asociado con Rusia.

Fuentes:

Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha revelado públicamente una nueva vulnerabilidad Zero-Day en el servidor web Nginx 1.18. Se trata de una vulnerabilidad de explotación remota de código (RCE) en la implementación del demon de autenticación LDAP de Nginx, que se filtró brevemente. El usuario de Twitter @_Blue_hornet compartió información sobre esta falla y luego cerró su perfil.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya se están realizando algunos análisis adicionales y se ha podido comprobar que cualquier cosa que implique inicios de sesión de LDAP es explotable. Esto incluye las cuentas de Atlassian. Las configuraciones predeterminadas de Nginx también parecen ser vulnerables.

Por ahora se recomienda enfáticamente deshabilitar la propiedad ldapDaemon.enabled y en el caso de utilizarlo, se debe cambiar el indicador de propiedades ldapDaemon.ldapConfig con la información correcta y no dejarlo por defecto. Esto se puede cambiar cuando Nginx responda y solucione la vulnerabilidad.

Algunos dicen que es un problema con LDAP en sí y no con Nginx y uno de los pasos es eliminar completamente el módulo LDAP. Pero, si el problema es en LDAP propiamente dicho, cualquier portal que permita inicio de sesión puede ser vulnerable.

Aun se está trabajando en análisis y pruebas adicionales y por ahora solo afectaría a la versión 1.18.

Los delincuentes ya están explotado esta falla in-the-wild. Como esta vulnerabilidad actualmente no tiene un parche, se recomienda enfáticamente que los administradores que usan el servidor web Nginx implementen estas mitigaciones lo antes posible.

Fuente:
Segu-Info
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

-----------------------------------------------------------------------------------------------------------------------------------

Una frase para inspirarle:

"¿No tienes enemigos? ¿Es que jamás dijiste la verdad o jamás amaste la justicia?" Santiago Ramón y Cajal

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Tengo problemas para instalr Kali en mi compu. Corre en Ubuntu por Windows?

Sí
Se puede compilar en cualquier distibución de Linux.

Recomendaría usar WifiSlax que está muy funcional y fácil para los que no son expertos o principiantes.

El SMPlayer lo uso en Linux: Ubuntu, WifiSlax, etc.

Sus recomendaciones también son muy buenas.