No funciona así.

Si tiene un usuario con privilegios de admin, de un modo u otro accederá a las funciones de admin.
Debe administrarle los privilegios y permisos (cuenta de usuario) para impedirle que realice lo que desea, ya sea  a través de un software independiente, o a través del propio Windows.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Comandos prácticos de PowerShell

Al igual que los comandos de Linux, también hay una opción para los comandos de Windows PowerShell. Si tiene el control del CMD, puede usar esta opción para extraer información crucial como información del sistema, enumeración de WLAN, descarga HTTP, enumeración de directorio activo. En resumen, contiene todos los comandos que necesitará para profundizar en PowerShell y así obtener información crucial.

Transferencia de archivos

Hay varios métodos presentes que se pueden usar para cargar o descargar un archivo a la máquina remota. Veamos un ejemplo de esto

Intentemos enviar un archivo de una máquina a otra. Primero, configuraremos la IP y el número de puerto de la máquina receptora. En este ejemplo, se transferirá el archivo de la máquina Parrot a la máquina Kali, por lo que ingresaremos la dirección IP de la máquina Kali y de su puerto, en el que recibiremos el archivo y también el nombre del archivo que transferiremos, que es ignite .txt en este caso. Primero veamos cuál es el contenido del archivo ignite.txt.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Luego finalizaremos nuestro campo en la extensión.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ahora copiaremos los comandos de Netcat ya que usaremos Netcat en esta demostración.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Haremos ls para verificar si hay algún archivo presente o no y luego guardaremos el archivo como ignite.txt así que, para eso, hemos reemplazado file_saved con ignite.txt en nuestra máquina kali.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Pegaremos nuestra carga útil para transferir ignite.txt usando Netcat que está en nuestra máquina  Parrot OS.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Veremos en nuestra máquina kali que se establece una conexión y notaremos que obtuvimos un archivo llamado ignite.txt y cuando vemos su contenido es el mismo que el archivo original en la máquina parrot,

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Inclusión de archivos locales

Utilizando la vulnerabilidad de inclusión de archivos locales, un atacante intenta engañar a la aplicación web al incluir archivos que están presentes localmente en el servidor. Esta vulnerabilidad existe cuando su archivo PHP contiene funciones como "include", "require", "include_once", "require_once"

Ahora veremos la explotación de LFI utilizando hacktool.

Hagamos una práctica de LFI para la que necesitamos bWAPP con inclusión de archivos locales y remotos (RFI / LFI) cuyo nivel de seguridad es bajo.

Haremos clic en Ir y luego observaremos en la URL que obtuvimos el idioma como campo explotable. El lenguaje es un campo explotable, ya que el archivo PHP exacto se reflejó en la URL, lo que nos dio una idea de que podemos engañar a la aplicación web para que nos muestre algunos archivos internos presentes en su servidor.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Elegiremos una carga útil (payload) de LFI en la opción presente en Hacktool.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ahora copiaremos y pegaremos esto en la URL como se muestra a continuación y presionaremos enter y obtendremos el resultado de la siguiente manera. En el campo, obtuvimos el nombre host del servidor, que en este caso es bee-box.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cross-Site Scripting (XSS)

Cross-Site Scripting, a menudo abreviado como "XSS", es un ataque de inyección de código del lado del cliente en el que se inyectan scripts maliciosos en sitios web de confianza.

XSS se produce en aquellas aplicaciones web donde los parámetros de entrada no se desinfectan o validan adecuadamente, lo que permite que un atacante envíe códigos JavaScript maliciosos a un usuario final diferente.
Entonces, HackTool nos brinda una opción para aprovechar esta vulnerabilidad.

Realicemos la explotación en XSS-Reflected (GET) en nuestra aplicación bWAPP con el nivel de seguridad establecido en medio.

Escribiremos el nombre y apellido y luego haremos clic en Ir y observaremos la salida predeterminada.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ahora, tomemos una carga útil (payload) de Hacktool

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ahora pegaremos esta carga útil en el campo Nombre mientras mantenemos el campo de apellido sin cambios, presionaremos Ir

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Observaremos que tenemos una ventana emergente que dice XSS.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Inyección SQL

SQL es un lenguaje que se utiliza para comunicarse con la base de datos. La inyección SQL consiste en inyectar consultas SQL en una aplicación web para engañarlos y revelar los datos almacenados en la base de datos. En esta extensión, hay una opción para la inyección SQL.

Ahora echemos un vistazo a cómo podemos usar hacktool para SQLi.

Usaremos vulnweb para este propósito.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ahora seleccionaremos una carga útil del complemento Hacktool como se puede ver en la siguiente imagen.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ahora pegaremos esta carga útil en el campo de nombre de usuario y contraseña y luego presionaremos Iniciar sesión

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hemos iniciado sesión con éxito en la cuenta.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Codificador / Decodificador Base64

Hay muchos lugares donde se usa la codificación base64 o solo se ingresa en la codificación base64. Esta extensión tiene un codificador y decodificador base64 incorporado para ayudarlo a codificar o decodificar una cadena de inmediato, en lugar de ir a otras herramientas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Generador de hash

Los hash se suelen utilizar para comprobar si el archivo que obtuvimos es el mismo o está alterado.
Ayuda a mantener la integridad de un archivo.

Esta extensión nos permite verificar hashes MD5, hashes SHA256, hashes SHA1, hashes SHA512 y hashes SM3.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Codificador / decodificador de URL

La codificación de URL se utiliza en muchos lugares hoy en día. Puede decodificar una cadena codificada en URL en una cadena, o codificar una cadena, en una cadena codificada usando esta opción.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Codificador / decodificador hexadecimal

Esta extensión también proporciona una opción para convertir una cadena hexadecimal a una cadena normal o de una cadena normal a una cadena hexadecimal.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Inyección de plantilla (SSTI)

La inyección de plantilla que está presente en esta extensión es solo para sitios web de Flask / Django.
La inyección de plantilla está inyectando entradas de usuario de forma insegura, dentro de la plantilla que utiliza el sitio web.
La entrada no segura en la plantilla da como resultado la inyección de plantilla del lado del servidor (Server-Side Template Injection).

Exploit feed RSS

Contiene los sitios web desde donde puede buscar vulnerabilidades, exploits para servicios, artículos de seguridad, etc. para que pueda enfocar un ataque de manera más efectiva.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Conclusión

Esta extensión nos proporciona las hojas de trucos de varios posibles ataques de aplicaciones web.

Junto con las hojas de trucos, nos proporciona los proyectiles que puedes usar sin siquiera saber qué hay dentro de esa carga útil para llevar a cabo el ataque.

Esta herramienta es útil si estamos probando en el nivel básico, pero si usamos esta extensión para un nivel más avanzado, entonces se debe tener algún conocimiento interno de cómo está funcionando y qué necesita cambiar para que funcione.

También proporciona varios codificadores y decodificadores que lo ayudarán a codificar y decodificar las cadenas usando solo esa extensión sin ir a ningún otro sitio o usar ninguna otra herramienta

Fuentes consultadas:

Author: Naman Kumar
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Kitploit.com
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No es mala la idea de probar el VMware. Siempre lo he preferido al VirtualBox.

Pero no obstante tenga en cuenta mi observación de probabilidad o causa.

El detalle está en que compiló el driver y ya le reconoce la antena, pero no le deja realizar funciones de auditorías.
Una posible explicación a ello es que el firmware del wifi no es libre, sino propietario, por ende no permite esas funciones.
Debe buscar uno de los drivers que lo permitan. En WifiSlax ese aspecto es transparente y está cubierto (salvo rarísimos casos)
Lo anterior es una teoría.

En realidad puede ser cualquier otro detalle; desde la versión del Kali, su actualización, o la versión del VirtualBox y sus Pack´s, el enramado entre ellos de drivers, etc.

Siempre que no se tiene noción de las causas de una mal función, es saludable el borrón y levantar desde cero, cuidando los detalles.

Nada de eso funciona ya. Incluso hubieron compañías y negocios que se dedicaron a ello con personal contratado, y fueron detectados también.

Facebook ha implementado un sistema de seguridad mixto mitad IA mitad personal entrenado, que detecta este tipo de fraudes. Las implicaciones en el orden político causaron revuelo. Y los contratos con el gobierno así lo exigen.

Tiene sin fin de métodos. Uno de los más populares es el Rogue AP (buscar)

Debe tener algo presente y es a la seguridad de los navegadores (al menos) que ya alertan y bloquean a los MITM. Casi todo el tráfico va encriptado, incluyendo las peticiones DNS (si estuviera activado).

Los certificados son muy importantes en estos casos. Ej: herramientas como Fluxion en sus últimas versiones ya ofrecen un certificado en la creación de la falsa web.

También hay que saber añadir una "sutil latencia" que permita maniobrar para trabajar con el tráfico que se desee manipular.
Los sistemas integrales de seguridad que protegen la red, también son notables adversarios, y no pocos firewall inspeccionan el tráfico a nivel básico.

Por otro lado, hay portales cautivos de servicios que si avalan en su nación, también son una buena opción para lo que desea hacer.
Le reitero, el enmascaramiento del MITM debe pasar como un servicio auténtico o sino lo detectarán y bloquearán.

Los certificados son vitales.

Hola

No soy propietario de ese modelo de wifi, por ende no tengo experiencia, siéndole sincero.

Ahora bien, el error que le da es que el driver no permite el modo monitor, etc., para auditorías.

Ojo, sí en un principio sí uso el wifi, y es corroborado que es compatible para auditorías (me parece que sí), debe instalarle un driver que no sea el propietario de la Realtek, y sí uno del GitHub diseñado para ello.

La cuestión es que a veces las compañías brindan el driver de un modelo, pero con el propósito de usarse para conexión y por ende buscan garantizar estabilidad (no permiten ese tipo de funciones). Ya otro asunto es cuando se piensa un driver con soporte para auditorías.
Este detalle lo he presenciado con múltiples dispositivos.

Por cierto, ha intentado probar fortuna con una distro más amigable como el WifiSlax?
Esto le ayudará mucho.
Y después que desentrañe los detalles, ya elevará la experticia con una distro un tanto complicada como es el Kali.

Suerte.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los estafadores (Scammers) son maestros en la explotación de las emociones humanas, afirma Norton Labs, el brazo de investigación global de la empresa de ciberseguridad NortonLifeLock, que ha bloqueado más de 900 millones de amenazas en los últimos tres meses. Las encuestas, el soporte técnico y las estafas de suplementos se encuentran entre las herramientas más populares para engañar a las personas para que proporcionen información personal o se involucren en comportamientos peligrosos.

La tecnología NortonLifeLock bloquea más de 9 millones de amenazas en promedio todos los días. Durante los últimos 100 días, ha bloqueado un total de 909 millones de amenazas, entre ellas: 23,69 millones de intentos de phishing, 55,97 millones de malware basado en archivos bloqueados, 405,710 archivos de malware móvil, 85,339 detecciones de ransomware.

"Los estafadores son maestros en explotar las emociones humanas para provocar un estado de pánico", dijo Marcel Feller, investigador principal de seguridad en Norton Labs. "Cuando estás en ese estado, es más probable que cumplas con cualquier cosa que el estafador quiera".

Las bandejas de entrada de los usuarios están inundadas de intentos de estafa. Los mensajes de suplantación de identidad que reciben están diseñados para engañar a los usuarios para que proporcionen información personal o se involucren en comportamientos peligrosos. Norton Labs destacó los tres intentos de phishing más comunes: encuestas, soporte técnico y estafas de suplementos.

A continuación se muestra un ejemplo de un señuelo de phishing de encuesta de compradores de Amazon diseñado para recopilar información personal a cambio de una recompensa poco realista.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A continuación se muestra un ejemplo de una estafa de soporte técnico típica: el señuelo de phishing de estafa de soporte técnico de Microsoft con el tema de Microsoft capitaliza el miedo a no estar protegido contra las amenazas de ciberseguridad.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Y este ejemplo a continuación es un señuelo de phishing con tema de pérdida de peso demasiado bueno para ser verdad, diseñado para capturar detalles de tarjetas de crédito.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores señalan que los intentos de phishing a veces tienen éxito porque se aprovechan de los deseos y los miedos. En los próximos tres meses, Norton Labs prevé amenazas importantes para la seguridad y la privacidad, incluidas las relacionadas con el aumento de viajes y el aprovechamiento de temas pandémicos. Significa que debe estar atento a las estafas de phishing, ransomware y ataques a la cadena de suministro.

Amenazas menos visibles

También existen amenazas fuera de la vista de la mayoría de los consumidores, como mercados de chat encriptados, rastreo y cookies en línea, y amenazas de juegos.

Por ejemplo, las aplicaciones de chat encriptadas, a menudo elogiadas por su papel en varios levantamientos a nivel mundial, también funcionan como mercados ilegales de información de identificación personal, tarjetas de regalo probablemente robadas, documentos falsos y herramientas para facilitar el ciberdelito, como la denegación de servicio distribuida ( Infraestructura DDoS). Los compradores y vendedores realizan transacciones de forma anónima a través de Bitcoin.

"La confianza en el mercado se crea al tener un mecanismo de revisión -" califique nuestros medicamentos con cinco estrellas "- y se incluyen los servicios de custodia y resolución de disputas. Este es un salto adelante para los mercados ilegales, que anteriormente estaban relegados a la web oscura. Ahora han entrado en la Web relativamente abierta para tratar de cultivar una audiencia nueva y posiblemente más joven ", afirman los investigadores.

Las cookies, pequeños fragmentos de código que rastrean su actividad en línea, forman un "ecosistema de rastreo", que es mucho más grande de lo que cree. Los investigadores descubrieron una intrincada red de conexiones entre los jugadores que intercambian información recíprocamente e incluyen el contenido de los demás en las páginas web, a veces incluso sin el conocimiento de los propietarios de las páginas web. Recopilaron detalles de 138 millones de cookies y resultó que hasta 171,140 organizaciones participan en la creación y el intercambio de cookies.

Otra amenaza considerable está asociada con la floreciente industria del juego. Los ciberdelincuentes se dirigen a los jugadores, por ejemplo, apelando al espíritu competitivo de los juegos, y esos jugadores están dispuestos a estirar las reglas para vencer a los oponentes.

"Algunos jugadores buscan formas de obtener una ventaja sobre otros jugadores, como apuntar automáticamente en juegos de jugador contra jugador en primera persona. Estas ventajas se conocen como trampas. Algunos jugadores también buscan software que les permita jugar juegos por los que no han pagado. Estos se conocen como grietas. La instalación de trampas y grietas expone a los usuarios a amenazas mejoradas que se aprovechan de su naturaleza de confianza y el impulso de aceptar un mayor riesgo por una supuesta recompensa ", afirman los investigadores.

Eso puede generar problemas, y este es el motivo: los juegos son software complejo que incluye software que conecta hardware con software, conocido como controladores. Las vulnerabilidades en los controladores pueden conducir a un acceso privilegiado a un sistema informático. Algunos controladores de juegos contenían vulnerabilidades y fueron parcheados por los creadores del juego. Pero las versiones anteriores de estos controladores persisten en Internet.

"A través del engaño y la psicología, los ciberdelincuentes diseñan socialmente a los jugadores para que instalen controladores vulnerables que están comprometidos por otro software dentro de trampas y grietas. A su vez, eso conduce al compromiso y la infección de los sistemas informáticos. Y eso podría conducir al robo de información personal, así como a la apropiación de cuentas y la pérdida de bienes virtuales ", afirmó Norton Labs.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Rusia logró desconectarse del Internet global durante las pruebas en junio y julio, informó el jueves el diario RBC, citando documentos del grupo de trabajo encargado de mejorar la seguridad de Internet de Rusia.

Rusia adoptó una legislación, conocida como la ley de "internet soberano", a fines de 2019, que busca proteger al país de ser aislado de la infraestructura extranjera, en respuesta a lo que Rusia llamó la "naturaleza agresiva" de la estrategia de seguridad cibernética nacional de Estados Unidos. .

La legislación reforzó el control de Moscú sobre la red global y causó consternación entre los activistas por la libertad de expresión, que temían que la medida fortaleciera la supervisión gubernamental del ciberespacio del país.

Las pruebas que involucraron a todas las principales firmas de telecomunicaciones de Rusia se llevaron a cabo del 15 de junio al 15 de julio y fueron exitosas, según los resultados preliminares, citó RBC a una fuente del grupo de trabajo.

"El propósito de las pruebas es determinar la capacidad del 'Runet' para funcionar en caso de distorsiones externas, bloqueos y otras amenazas", dijo la fuente.

Otra fuente de RBC dijo que se probó la capacidad de desconectar físicamente la parte rusa de Internet.

No quedó claro de inmediato cuánto duró la desconexión o si hubo interrupciones notables en el tráfico de Internet.

La ley estipula que las pruebas se realizarán todos los años, pero las operaciones se cancelaron en 2020 debido a complicaciones con la pandemia de COVID-19, dijo RBC.

El Kremlin estaba al tanto de las pruebas, dijo el portavoz Dmitry Peskov, que las describió como oportunas y dijo que Rusia tenía que estar preparada para cualquier cosa.

La legislación busca enrutar el tráfico web y los datos rusos a través de puntos controlados por las autoridades estatales y construir un Sistema de Nombres de Dominio nacional para permitir que Internet continúe funcionando incluso si Rusia está desconectada.

En junio de 2019, el presidente Vladimir Putin dijo que Moscú tenía que asegurarse de que el 'Runet' pudiera funcionar de manera confiable para protegerse contra servidores fuera del control de Rusia en otros países que se apagan y sus operaciones se ven comprometidas.

El regulador estatal de comunicaciones, Roskomnadzor, dijo que las pruebas tenían como objetivo mejorar la integridad, estabilidad y seguridad de la infraestructura de Internet de Rusia, informó RBC.

Dijo que el equipo instalado como parte de las pruebas había sido utilizado por Roskomnadzor para reducir la velocidad de la red social Twitter desde marzo por no eliminar el contenido que Moscú considera ilegal.

Fuente:
CyberNews
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si para iniciar Android debió loguerarse con su cuenta de Google, por ahí le detecta.

Muchas (de hecho casi todas) las app usan el ID de Google. Esto es un estándar en la industria, y es un método de seguridad.

Para cambiarse los aspectos que se enumeran arriba y que le recomendaron, las app deben acceder a privilegios root, como si fuera un malware u exploit. Esto es muy peligroso y se delega demasiada confianza en un software diseñado por "Dios sabrá".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otro fallo un poco absurdo en Windows.

De acuerdo a un twit de Jonas Lyk, desde la versión 1809 de Windows, se ha otorgado un permiso de lectura de usuario en el archivo SAM y en los archivos que representan las ramas del registro SYSTEM y SECURITY. ¿Qué significa? Que cualquier usuario puede acceder al fichero y obtener los hashes NTLM de las contraseñas.

Se ha descubierto un nuevo escalamiento de privilegios locales (LPE) en Windows 10/11. La vulnerabilidad, denominada HiveNightmware, también conocida como SeriousSAM, es el resultado de un conjunto de ACL "incorrecto" en los archivos del subárbol del registro en la carpeta C:\Windows\System32\Config.

Esto permite que los usuarios habituales tengan acceso de lectura a SAM, SYSTEM, SECURITY y otros archivos críticos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Es grave?

Sí, porque: Este archivo no debería ser accesible, solo por administradores y SYSTEM.

•   Aunque las contraseñas estén cifradas, se puede crackear. Y si no es así, se pueden utilizar los hashes en crudo para acceder a sitios en red, por ejemplo, además de otras técnicas ya conocidas en las que se pueden utilizar como contraseña. Incluso se podría cambiar la contraseña de administrador conociendo solo el hash.

•   Aunque un usuario no puede acceder al SAM bloqueado si no es administrador, se pueden usar también otras técnicas para eludirlo y aprovechar ese erróneo permiso de escritura. La más sencilla es acceder a la copia automática que hace el sistema de Shadow Copies de Windows.

•   No solo con la SAM. Con acceso a SYSTEM y SECURITY también se puede tener bastante control sobre el sistema.
Microsoft ha reconocido el fallo con el CVE-2021-36934, y publicado una mitigación en forma de comando que elimina ese permiso que debe ser ejecutado como administrador.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El bug fue encontrado mientras se probaba la próxima versión de Windows 11. Lyk y otros investigadores descubrieron que mientras Windows estaba restringiendo el acceso de los usuarios con pocos privilegios a esos archivos de configuración confidenciales, las copias de estos archivos también se guardaban en archivos de respaldo creados por Shadow Volume Copy, una función de Windows que crea instantáneas de archivos de computadora durante las operaciones del sistema de archivos.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Actualicen dependencias

Hola

Al parecer su interrogante es sí la gravedad de la vulnerabilidad avala para un ataque remoto como puede ser sobre internet.

Debe entenderse que es precisamente eso "una vulnerabilidad o bug de windows de índole grave" pues permite escalar privilegios en el sistema, de manera muy sencilla vale destacar.

Esto puede explotarse de sin fin de maneras (serían las vías), ya sea local, o remota a través de internet, estableciendo entradas ya sea por malware, o precisamente creando exploits dirigidos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de inteligencia de amenazas de Google arrojaron más luz el miércoles sobre cuatro días cero en la naturaleza en los navegadores Chrome, Safari e Internet Explorer que fueron explotados por actores maliciosos en diferentes campañas desde el comienzo del año.

Además, tres de los cuatro días cero fueron diseñados por proveedores comerciales y vendidos, y utilizados por actores respaldados por el gobierno, lo que contribuyó a un aumento en los ataques del mundo real.

La lista de vulnerabilidades ahora parcheadas es la siguiente:

    CVE-2021-1879: Use-After-Free en QuickTimePluginReplacement (Apple WebKit)
    CVE-2021-21166: Problema del ciclo de vida de los objetos de Chrome en audio
    CVE-2021-30551: Confusión de tipos de cromo en V8
    CVE-2021-33742: Escritura fuera de límites de Internet Explorer en MSHTML

Se cree que ambos días cero de Chrome, CVE-2021-21166 y CVE-2021-30551, fueron utilizados por el mismo actor y se entregaron como enlaces únicos enviados por correo electrónico a objetivos ubicados en Armenia, con los enlaces redirigidos a usuarios desprevenidos y hacia dominios controlados por atacantes que se hacían pasar por sitios web legítimos de interés para los destinatarios.

Los sitios web maliciosos se encargaron de tomar las huellas digitales de los dispositivos, incluida la recopilación de información del sistema sobre los clientes, antes de entregar una carga útil de segunda etapa.

Cuando Google lanzó un parche para CVE-2021-30551, Shane Huntley, Director del Grupo de Análisis de Amenazas (TAG) de Google, reveló que la vulnerabilidad fue aprovechada por el mismo actor que abusó de CVE-2021-33742, una ejecución remota de código explotada activamente Fallo en la plataforma Windows MSHTML que fue abordado por Microsoft como parte de su actualización Patch Tuesday el 8 de junio.

Los dos días cero fueron proporcionados por un corredor de explotación comercial a un adversario de un estado-nación, que los utilizó en ataques limitados contra objetivos en Europa del Este y Medio Oriente, agregó Huntley.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ahora, según un informe técnico publicado por el equipo, los tres días cero fueron "desarrollados por la misma empresa de vigilancia comercial que vendió estas capacidades a dos actores diferentes respaldados por el gobierno", y agregó que la falla de Internet Explorer se utilizó en una campaña orientada a usuarios armenios con documentos de Office maliciosos que cargaron contenido web en el navegador web.

Google no reveló las identidades del broker de exploits ni de los dos actores de amenazas que utilizaron las vulnerabilidades como parte de sus ataques.


El día cero de Safari, por el contrario, se refería a una falla de WebKit que podría permitir a los adversarios procesar contenido web creado con fines malintencionados que puede resultar en ataques universales de scripts entre sitios. Apple corrigió el problema el 26 de marzo de 2021.

Los ataques que aprovecharon CVE-2021-1879, que Google atribuyó a un "probable actor respaldado por el gobierno ruso", se ejecutaron mediante el envío de enlaces maliciosos a funcionarios del gobierno a través de LinkedIn que, cuando se hacía clic desde un dispositivo iOS, redirigían al usuario a un dominio que sirvió las cargas útiles de la siguiente etapa.

Vale la pena señalar que la ofensiva también refleja una ola de ataques dirigidos, desatados por piratas informáticos rusos rastreados como Nobelium, que se encontró abusando de la vulnerabilidad para atacar a agencias gubernamentales, grupos de expertos, consultores y organizaciones no gubernamentales como parte de una campaña de phishing por correo electrónico.

Nobelium, un actor de amenazas vinculado al Servicio de Inteligencia Exterior de Rusia (SVR), también es sospechoso de orquestar el ataque a la cadena de suministro de SolarWinds a fines del año pasado. Es conocido por otros alias como APT29, UNC2452 (FireEye), SolarStorm (Unidad 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) y Iron Ritual (Secureworks).

"A mediados de 2021, se han utilizado 33 exploits de día cero en ataques que se han divulgado públicamente este año, 11 más que el número total de 2020", señalaron los investigadores de TAG, Maddie Stone y Clement Lecigne.
"Si bien hay un aumento en el número de exploits de día cero que se utilizan, creemos en un mayor esfuerzo de detección y divulgación".

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha recordado a los usuarios de Windows Server 2012 y SQL Server 2012 que los productos alcanzarán sus fechas de finalización de soporte extendido durante los próximos dos años, instándoles a actualizar para evitar brechas de seguridad y cumplimiento.

Según Microsoft, el soporte extendido de Windows Server 2012 y 2012 R2 finalizará el 10 de octubre de 2023, mientras que el soporte extendido de SQL Server 2012 finalizará el 12 de julio de 2022.

A pesar de que Windows Server 2012 alcanzó su fecha de finalización de soporte general en septiembre de 2018, la fecha de finalización del soporte extendido se retrasó cinco años por esta razón exacta: para permitir que las organizaciones migren a versiones de Windows Server más nuevas y con soporte insuficiente.

"Entendemos que SQL Server y Windows Server ejecutan muchas aplicaciones críticas para el negocio que pueden tardar más en modernizarse", dijo Microsoft.

"Los clientes que necesitan permanecer en las instalaciones para el cumplimiento pueden proteger sus cargas de trabajo actualizando a SQL Server 2019 y Windows Server 2019.

"Los clientes que no puedan cumplir con la fecha límite de soporte y que tengan Software Assurance o licencias de suscripción bajo una inscripción de acuerdo empresarial tendrán la opción de comprar actualizaciones de seguridad extendidas para obtener tres años más de actualizaciones de seguridad para SQL Server 2012 y Windows Server 2012 y 2012 R2 ".

Precios de actualizaciones de seguridad extendidas

Con respecto al precio de las actualizaciones de seguridad extendidas de Windows Server y SQL Server 2012, Microsoft dice que solo costarán las implementaciones locales:

    En Azure: los clientes que ejecutan SQL Server 2012 y Windows Server 2012 y 2012 R2 en Azure obtendrán actualizaciones de seguridad extendidas de forma gratuita.
    En las instalaciones: los clientes con Software Assurance activo o licencias de suscripción pueden comprar actualizaciones de seguridad extendidas anualmente por el 75 por ciento del costo de la licencia de la última versión de SQL Server o Windows Server durante el primer año, el 100 por ciento del costo de la licencia durante el segundo año y el 125 por ciento del costo de la licencia para el tercer año.

La compañía dice que las actualizaciones de seguridad extendidas de Windows Server y SQL Server 2012 estarán disponibles para su compra más adelante cuando se acerque al final del soporte extendido.

Hay información adicional disponible en la página de preguntas frecuentes de las actualizaciones de seguridad extendidas.

"Con los ataques cibernéticos cada vez más sofisticados y frecuentes, la ejecución de aplicaciones y datos en versiones no compatibles puede crear riesgos importantes de seguridad y cumplimiento", agregó Microsoft.

"Se recomienda encarecidamente que los clientes se actualicen a las versiones más actuales para obtener un mejor rendimiento, eficiencia y actualizaciones de seguridad periódicas".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WASHINGTON, 15 de julio (Reuters) - Estados Unidos ofreció el jueves hasta 10 millones de dólares por información que pueda identificar o localizar a ciberactores malintencionados que trabajan a instancias de un gobierno extranjero para atacar la infraestructura crítica de Estados Unidos.

El Departamento de Estado de EE. UU. dijo en un comunicado que "ciertas operaciones cibernéticas maliciosas dirigidas a la infraestructura crítica de EE. UU. pueden violar la CFAA (Ley de abuso y fraude informático)" y que ha "establecido un canal de informes de sugerencias en la Dark Web (basado en Tor) para proteger la seguridad y protección de las fuentes potenciales ".

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Windows print nightmare continúa con otro ejemplo de cómo un actor de amenazas puede lograr privilegios de SYSTEM abusando de controladores de impresora maliciosos.

El mes pasado, los investigadores de seguridad revelaron accidentalmente un exploit de prueba de concepto para el día cero de Windows PrintNightmare.

Esta vulnerabilidad se rastrea como CVE-2021-34527 y es una verificación de permiso faltante en el Administrador de trabajos de impresión de Windows, que permite instalar controladores de impresión maliciosos para lograr la ejecución remota de código o la escalada local de privilegios en sistemas vulnerables.

Microsoft lanzó una actualización de seguridad KB5004945 fuera de banda que se suponía que arreglaba la vulnerabilidad, pero los investigadores de seguridad determinaron rápidamente que el parche podría omitirse bajo ciertas condiciones.

Sin embargo, Microsoft declaró que sus parches funcionaron según lo previsto y, dado que la vulnerabilidad se estaba explotando activamente, recomendó a todos los usuarios de Windows que instalaran la actualización.

La pesadilla continúa

Ayer, el investigador de seguridad y creador de Mimikatz, Benjamin Delpy, dijo que encontró una manera de abusar del método normal de Windows para instalar controladores de impresora para obtener privilegios del SYSTEM local a través de controladores de impresora maliciosos.

Esta técnica se puede utilizar incluso si los administradores aplicaron las mitigaciones recomendadas por Microsoft de restringir la instalación del controlador de impresora a los administradores y deshabilitar Point and Print.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si bien este nuevo método de escalada de privilegios local no es el mismo que el que comúnmente se conoce como PrintNightmare, Delpy declaró que considera que los errores de instalación de controladores de impresora similares se clasifican con el mismo nombre.

Delpy explicó que incluso con las mitigaciones aplicadas, un actor de amenazas podría crear un paquete de controlador de impresión malicioso firmado y usarlo para lograr privilegios de SYSTEM en otros sistemas.

Para hacer esto, el actor de amenazas crearía un controlador de impresión malicioso y lo firmaría usando un certificado Authenticode confiable siguiendo estos pasos

Sin embargo, algunos actores de amenazas optan por el método "Rolls Royce" para firmar controladores, que consiste en comprar o robar un certificado EV y luego enviarlo para la validación de Microsoft WHQL como una empresa falsa.

Una vez que tienen un paquete de controlador de impresora firmado, un actor de amenazas puede instalar el controlador en cualquier otro dispositivo en red donde tenga privilegios administrativos.

Los actores de amenazas pueden usar este dispositivo "pivote" para obtener privilegios de SYSTEM en otros dispositivos donde no tienen privilegios elevados simplemente instalando el controlador malicioso, como se muestra en el video a continuación.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Delpy dijo que esta técnica podría usarse para ayudar a los actores de amenazas a propagarse lateralmente en una red ya comprometida.

Para evitar este ataque, puede deshabilitar la cola de impresión o habilitar la política de grupo Apuntar e imprimir para limitar los servidores que un dispositivo puede descargar controladores de impresión.

Sin embargo, habilitar Point and Print permitiría que las vulnerabilidades de PrintNightmare pasaran por alto el parche actual de Microsoft.

Cuando se le preguntó cómo Microsoft podría prevenir este tipo de ataque, Delpy declaró que intentaron prevenirlo en el pasado desaprobando los controladores de impresora de la versión 3. En última instancia, esto causó problemas y Microsoft puso fin a la política de obsolescencia de la versión 3 en junio de 2017.

Desafortunadamente, es probable que este método no se solucione, ya que Windows está diseñado para permitir que un administrador instale un controlador de impresora, incluso los que pueden ser maliciosos sin saberlo. Además, Windows está diseñado para permitir que los usuarios no administradores instalen controladores firmados en sus dispositivos para facilitar su uso.

En cambio, es probable que el software de seguridad sea la principal defensa contra ataques como este al detectar el controlador o el comportamiento malicioso.

Fuente:
Bleeping Computer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si bien es una norma para las campañas de phishing que distribuyen documentos de Microsoft Office armados para solicitar a las víctimas que habiliten macros para desencadenar la cadena de infección directamente, los nuevos hallazgos indican que los atacantes están utilizando documentos no maliciosos para deshabilitar las advertencias de seguridad, antes de ejecutar la macro para infectar a las víctimas.
 
Los investigadores de McAfee Labs encontraron una táctica novedosa que descarga y ejecuta una DLL maliciosos sin ningún código malicioso presente en la macro inicial que se distribuye mediante spam. El troyano ZLoader es un descendiente del infame troyano bancario ZeuS y es conocido por el uso agresivo de documentos de Office y macros como un vector de ataque inicial, para robar credenciales e información de identificación personal de los usuarios de las instituciones financieras específicas.

Al investigar las intrusiones, los investigadores encontraron que la cadena de infección comienza con un correo electrónico de phishing que contiene un documento adjunto de Microsoft Word que, cuando se abre, descarga un archivo de Microsoft Excel protegido con contraseña desde un servidor remoto. Sin embargo, vale la pena señalar que las macros deben estar habilitadas en el documento de Word para activar la descarga en sí.

Después de descargar el archivo XLS, Word VBA lee el contenido de una celda desde el XLS y crea una nueva macro para el mismo archivo XLS y escribe el contenido de la celda en una nueva funciona, como macro. Una vez que las macros están escritas y listas, el documento de Word establece la política en el registro para "Desactivar la advertencia de macro de Excel" e invoca la función de macro maliciosa desde el archivo de Excel. El archivo de Excel ahora descarga el payload de ZLoader y la DLL es ejecutada usando rundll32.exe.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dado el "riesgo significativo de seguridad" que plantean las macros, la función suele estar desactivada de forma predeterminada, pero la contramedida ha tenido el desafortunado efecto secundario de que los actores de amenazas crean señuelos de ingeniería social convincentes para engañar a las víctimas para que los habiliten. Al desactivar la advertencia de seguridad presentada al usuario, los ataques son dignos de mención debido a los pasos que se toman para frustrar la detección y permanecer fuera del radar.

Los documentos maliciosos han sido un punto de entrada para la mayoría de las familias de malware y estos ataques han evolucionado sus técnicas de infección y ofuscación, no solo limitando las descargas directas de carga útil desde VBA, sino creando agentes dinámicamente para descargar payload. El uso de tales agentes en la cadena de infección no solo se limita a Word o Excel, sino que otras amenazas pueden usar otras herramientas del tipo Living off the lLand (LotL) para descargar sus cargas útiles.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha anunciado que va a implementar en las próximas semanas un sistema de verificación para Gmail con el que las empresas podrán certificar su identidad y la propiedad de su dominio de correo electrónico mediante el estándar Brand Indicators for Message Identification (BIMI).

Con este nuevo método, los californianos dotan a los sistemas de seguridad de su servicio de email de nuevas herramientas para realizar mejores filtrados, y a los usuarios una forma más sencilla de detectar estafas e intentos de fraude, según afirman en una nota.

Para los usuarios de Gmail la gran diferencia que establecerá este sistema será visual, ya que en los correos que reciban de empresas cuya identidad haya sido certificada por el estándar BIMI aparecerá el logo verificado. Para la validación de esta imagen corporativa, Google pedirá a autoridades de verificación de terceros, como Endtrust Datacard o DigiCert, que emita un certificado de marca verificada para logotipos de marcas comerciales.

De esta forma, cuando el usuario vea los indicadores de que el logo está certificado, podrá tener la seguridad de que el correo proviene de la compañía que dice ser y no de ciberdelincuentes.

"BIMI está comenzando por respaldar la validación de logotipos de marcas comerciales, ya que son un objetivo común de la suplantación de identidad", explica Google.

En cuanto a los sistemas de seguridad de Gmail, BIMI dará la opción a las organizaciones verificar la propiedad de sus correos electrónicos mediante el método de Autenticación, informes y conformidad de mensajes basados en dominio (DMARC, por sus siglas en inglés), lo que permitirá a Google realizar un mejor filtrado de los emails separando los mensajes legítimos de los potencialmente falsificados.

Las empresas podrán proporcionar tanto su certificado DMARC como los del marco de políticas del remitente -sistema de validación diseñado para detectar la simulación de emails- o del correo identificado con claves de dominio -técnica de autenticación que permite al receptor ver que un correo electrónico fue efectivamente enviado y autorizado por el dueño de ese dominio- a Google mediante un certificado de marca verificada para legitimar la propiedad del logotipo y del dominio de correo electrónico.

Fuente:
Gmail
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Vía:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de la empresa canadiense de infoseguridad Software Secured detallaron en una publicación en su blog** una vulnerabilidad en el popular lenguaje de preprocesado de CSS (Less.js) que podría ser explotada para lograr la ejecución remota de código (RCE) contra sitios web que permiten a los usuarios introducir código Less.js.

Esto puede llevar a dos resultados distintos dependiendo del contexto del procesador Less. Si el código de Less se procesa en el lado del cliente, se produce un cross-site scripting (XSS), pero si se procesa en el lado del servidor se produce un RCE.
Todas las versiones de Less que soportan la sintaxis @plugin son vulnerables. Less.js transpila a código CSS válido y se utiliza para ayudar la escritura de CSS en sitios web.

La biblioteca Less.js admite plugins que pueden incluirse directamente en el código Less desde una fuente remota utilizando la sintaxis @plugin. Los plugins se escriben en JavaScript y cuando el código Less se interpreta, cualquier plugin incluido se ejecutará.

Prueba de concepto(PoC)

Los investigadores publicaron en su blog** una prueba de concepto y un ejemplo de cómo puede explotarse la sintaxis del plugin en el mundo real.

Utilizando You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, un popular sitio web para crear fragmentos de código web que admite lenguajes estándar además de Less.js, realizaron su prueba de concepto (PoC) contra el sitio y fueron capaces de filtrar sus claves secretas de AWS y ejecutar comandos arbitrarios dentro de sus AWS Lambdas.

Una vez que los investigadores pudieron demostrar el fallo, la vulnerabilidad fue reportada a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, que corrigió el fallo.

Condiciones que el entorno debe cumplir para poder aprovechar el fallo

Como el autor Jeremy Buis, cuenta en The Daily Swig, la vulnerabilidad requiere «ciertas condiciones» para tener éxito.
Un posible escenario vulnerable podría ser una función que acepte estilos personalizados a través de código Less de un usuario. Una vez que estamos en una configuración vulnerable, es sencillo explotar la aplicación.

Jeremy Buis indicó que, por lo que sabe, Less no ha parcheado el fallo. El comportamiento de las comillas invertidas se conoce desde hace tiempo y existe una configuración para mitigarlo en las versiones recientes. Hace más de un año que los administradores del proyecto reconocieron dicho error.

Recomendaciones para mitigar el problema

Los investigadores aconsejan a los usuarios de Less.js, que para mitigar los riesgos consideren lo siguiente: Utilizar código CSS en lugar de utilizar código Less. Si se requiere el uso de Less, se recomienda transpilar el código en la parte cliente para evitar la amenaza de ataques SSRF y RCE.

Como se indicó anteriormente y teniendo en cuenta las recomendaciones de los investigadores. Para mitigar la amenaza de XSS, los investigadores recomiendan actualizar a una versión reciente en la que la ejecución mediante comillas invertidas  basada en JavaScript esté desactivada por defecto así como clonar la biblioteca Less y eliminar el soporte de la sintaxis @plugin.

Referencias:
LESS CSS
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
LESS Github
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
** Software Secured
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recuerde:

La clave está en los certificados>>> esto es por si desea montar un servidor emisor.

Si no es lo anterior, debe enmascararse con emisores legítimos (compañías que poseen email) y con reputación sobre internet. Debe cambiar cada tiempo y que no sea masivo. "Humilde" sería la clave del éxito.

Mire un ejemplo aquí:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vea como se usaba a google que es legítimo para garantizar que se recibiera.