You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos sospechosos de trabajar para el gobierno chino han utilizado un nuevo malware llamado PortDoor para infiltrarse en los sistemas de una empresa de ingeniería que diseña submarinos para la Armada rusa.

Utilizaron un correo electrónico de spear-phishing diseñado específicamente para atraer al director general de la empresa a abrir un documento malicioso.

Orientación específica

El actor de la amenaza apuntó a la Oficina Central de Diseño de Rubin para Ingeniería Marina en San Petersburgo, un contratista de defensa que diseñó la mayoría de los submarinos nucleares de Rusia.

El método para entregar la puerta trasera fue un documento RTF armado adjunto a un correo electrónico dirigido al CEO de la empresa, Igor V. Vilnit.

Los investigadores de amenazas de Cybereason Nocturnus descubrieron que el atacante atrajo al destinatario para que abriera el documento malicioso con una descripción general de un vehículo submarino autónomo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Profundizando, los investigadores descubrieron que el archivo RTF se había armado con RoyalRoad, una herramienta para crear documentos maliciosos para explotar múltiples vulnerabilidades en el Editor de ecuaciones de Microsoft.

El uso de RoyalRoad se ha vinculado en el pasado a varios actores de amenazas que trabajan en nombre del gobierno chino, como Tick, Tonto Team, TA428, Goblin Panda, Rancor, Naikon.

Cuando se inicia, el documento RTF suelta la puerta trasera de PortDoor en la carpeta de inicio de Microsoft Word y lo disfraza como un archivo de complemento, "winlog.wll".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según el análisis de Cybereason, PortDoor es una puerta trasera en toda regla con una lista extendida de características que la hacen adecuada para una variedad de tareas:

    Haciendo reconocimiento
    Perfiles de sistemas de víctimas
    Descarga de cargas útiles desde el servidor de comando y control
    Escalada de privilegios
    API dinámica que resuelve evadir la detección estática
    Cifrado XOR de un byte (datos confidenciales, configuración)
    Exfiltración de datos cifrados con AES

En un informe técnico de hoy, Cybereason Nocturnus Team describe la funcionalidad del malware y proporciona indicadores de compromiso para ayudar a las organizaciones a defenderse.

Los investigadores atribuyeron PortDoor a un grupo de piratas informáticos patrocinado por el estado chino basándose en similitudes en tácticas, técnicas y procedimientos con otros actores de amenazas vinculados a China.

Basado en el trabajo del investigador de seguridad nao_sec, Cybereason pudo determinar que el documento RTF malicioso se creó con RoaylRoad v7 con una codificación de encabezado asociada con operaciones de Tonto Team (también conocido como CactusPete), Rancor y TA428.

CactusPete y TA428 son conocidos por atacar organizaciones en Europa del Este (Rusia) y Asia. Además, Cybereason vio elementos lingüísticos y visuales en el correo electrónico y documentos de phishing de PortDoor que se asemejan a los señuelos de los ataques del equipo de Tonto.

Sin embargo, a nivel de código, PortDoor no comparte similitudes significativas con otro malware utilizado por los grupos antes mencionados, lo que indica que se trata de una nueva puerta trasera.

La atribución de Cybereason de PortDoor no viene con un alto nivel de confianza. Los investigadores son conscientes de que otros grupos pueden estar detrás de este malware. Sin embargo, la evidencia actual apunta a un atacante de origen chino.

    "Por último, también somos conscientes de que podría haber otros grupos, conocidos o aún desconocidos, que podrían estar detrás del ataque y el desarrollo de la puerta trasera PortDoor. Esperamos que a medida que pase el tiempo, y con más evidencia reunida, la atribución sea más concreta"- Cybereason

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una investigación de la empresa de privacidad AppCensus revela que implementación de Google del rastreo de COVID en móviles Android sufre de un problema que permite a las apps preinstaladas acceder a datos privados.

Los investigadores advirtieron a Google el pasado 19 de febrero de esta brecha de seguridad.

La implementación de Google fue insuficiente, ya que los datos privados de dicha aplicación quedaban registrados en el archivo interno del dispositivo, donde eran accesibles para el resto de apps preinstaladas. Es decir, dicho error permitía conocer la identidad del usuario, localización, contactos y si había dado positivo en coronavirus.

Los únicos afectados por esta brecha de seguridad han sido los usuarios de Android.

AppCensus no ha encontrado un problema similar en Apple, aunque las personas que tengan un iPhone se han podido ver afectadas por aparecer como contactos en las listas de los usuarios de Android.

Los investigadores descubrieron que el sistema de Google permite el acceso a registros privados relacionados con el rastreo de COVID a determinadas aplicaciones. En concreto, el problema está en las apps preinstaladas en Android, las que ya vienen en el móvil cuando las compramos; afecta no sólo a las apps de Google que vienen en casi todos los dispositivos, sino también a las apps que son instaladas por fabricantes y compañías como parte de promociones, llamadas comúnmente "bloatware".

Se notificó de un problema por el que los identificadores de Bluetooth eran accesibles temporalmente para algunas aplicaciones preinstaladas con fines de depuración. El estudio descubrió que más de 400 apps preinstaladas en móviles de Samsung, Motorola, Huawei y otras compañías tenían acceso a toda esa información. Sin embargo, los investigadores aclaran no hay pruebas de que ninguna de esas apps haya obtenido datos; de hecho, nadie sabía que eso era posible y por lo tanto, es poco probable que alguna app se haya aprovechado de ello.

Más preocupante es que este bug aún sigue presente en Android, y todo, según los investigadores, porque Google desestimó su descubrimiento repetidamente, y no lo arregló entonces pese a haber sido informada el pasado mes de febrero. La compañía ha explicado que esto quedará solucionado en los "próximos días".

Los investigadores afirman estar "atónitos" ante la reacción de Google, especialmente porque la solución es muy sencilla y requiere sólo cambiar una línea de código que no afecta al funcionamiento del rastreo de COVID ni al funcionamiento de Android.

Ante esto, los investigadores han decidido hacer público su descubrimiento en el medio The Markup* para presionar a la compañía a reaccionar. Y justo entonces, Google por fin ha admitido la existencia de este problema.

Google ha confirmado que fue informada de este problema, y que ya ha lanzado una solución; sin embargo, por la manera en la que funcionan las actualizaciones de Android, se espera que pasen semanas hasta que todos los dispositivos la reciban.

Hace ya un año que Google y Apple anunciaron una alianza histórica contra la mayor pandemia de las últimas décadas, la de la COVID-19. Ambas empresas dejaron atrás su rivalidad para crear un sistema único de rastreo de contacto, "contact tracing" para evitar la propagación del nuevo coronavirus.

El sistema implica que nuestro teléfono móvil, sin importar si usa iOS o Android, está constantemente conectando con dispositivos de personas cercanas, asignándoles una clave única. Si en los 14 días siguientes, una de esas personas indica positivo en COVID-19, el sistema es capaz de avisar a quienes estuvieron cerca de ella automáticamente.


Desde el principio, las implicaciones para la privacidad eran evidentes; el miedo era que se convirtiese en un método para rastrear a personas. Para evitarlo, Google y Apple implementaron varias medidas, como el uso de claves temporales que no se comparten con un servidor central y que cambian constantemente. Además, han evitado que los gobiernos obtengan los datos de localización, llegando a bloquear una actualización de la app británica.

Cita:
*The Markup
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bueno, no me funcionó porque editando el código: agregándole el nombre, directorio y demás, me doy cuenta que es un .zip en mi caso. Solo avala para .rar

Realizando una prueba: creé un archivo .rar con clave, modifiqué el código agregándole nombre, directorio, y la extensión (lo anterior es obligatorio me parece entender), guardándolo como .bat y...
me da error.

He modificado varios parámetros del código (por si acaso) e igual resultado.

Le daré otra oportunidad en la noche descansado... pero...
Por lo pronto no me funciona (una pena)

Siga las recomendaciones de seguridad de Google (clave robusta y doble factor); tenga un buen sistema de seguridad en el sistema anfitrión.
No descarge a lo loco y siga links.

Le irá bien

Estamos en las mismas:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Así sea la clave (si el que le puso la clave sabe del tema), así será el crackerar un zip o rar. (No digo que no se pueda, solo que es en extremo difícil y lleva tiempo)

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Download the latest available release per your device platform. For instance, I downloaded "wine-3.2-arm.apk" on my phone, but you may need its "x86" version if your device has an Intel CPU in place of an ARM CPU (as mine)."

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ayer, GitHub anunció el lanzamiento de un misterioso encabezado HTTP en todos los sitios de páginas de GitHub.

Las páginas de GitHub permiten a los usuarios crear sitios web directamente desde su repositorio de GitHub.

Y resulta que este encabezado, que ahora es devuelto por los sitios de GitHub, en realidad está destinado a que los propietarios de sitios web opten por no participar en el seguimiento de FLoC de Google.

Se notó que todo el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login tenía este encabezado configurado, lo que indica que GitHub no quería que sus visitantes fueran incluidos en las "cohortes" de Google FLoC cuando visitaban cualquier página de GitHub.

Google FLoC encontró resistencia

Google FLoC es una tecnología más nueva para reemplazar el seguimiento tradicional de cookies de terceros utilizado por las redes publicitarias y las plataformas de análisis para rastrear a los usuarios en la web.

El FLoC centrado en la privacidad, por otro lado, tiene como objetivo reemplazar las tecnologías de seguimiento como las cookies de terceros y localStorage con lo que se llama "cohortes".

A diferencia de los servidores (o redes publicitarias) que rastrean a los usuarios en la red mundial y registran su historial de navegación, FLoC transfiere esta responsabilidad al navegador web individual del usuario.

Es decir, cada instancia del navegador web Google Chrome seleccionada como parte de la prueba de FLoC se agruparía con "cohortes" específicas o grupos que representan más fielmente sus hábitos de navegación web recientes.

Miles de navegadores con historial de navegación idéntico (pertenecientes a la misma "cohorte") almacenados localmente tendrán asignado un identificador de "cohorte" compartido, que se compartirá con un sitio cuando se solicite.

Como lo explica Google:

"FLoC no comparte su historial de navegación con Google ni con nadie".

"Esto es diferente de las cookies de terceros, que permiten que las empresas lo sigan individualmente en diferentes sitios".

"FLoC funciona en su dispositivo sin que se comparta su historial de navegación. Es importante destacar que todos en el ecosistema de anuncios, incluidos los productos publicitarios de Google, tendrán el mismo acceso a FLoC", explicó Google en una publicación de blog.

Sin embargo, la propuesta de Google de reemplazar las cookies de seguimiento de terceros con FLoC ha encontrado la resistencia de muchos actores de la industria, incluidos EFF, Microsoft, Mozilla Firefox, Vivaldi, Brave y DuckDuckGo, que están en contra de cualquier tipo de seguimiento de usuarios.

Los propietarios de sitios web que no quisieran participar en FLoC podrían bloquearlo emitiendo el siguiente encabezado de solicitud HTTP a sus visitantes:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Este encabezado permite a los sitios optar por no participar en FLoC, en el sentido de que los navegadores web ignorarán las visitas a los sitios que devuelven este encabezado HTTP al generar datos de cohorte para un usuario.

GitHub también abandona Google FLoC

Tanto el dominio * .github.com como los sitios de GitHub Pages alojados en * .github.io están devolviendo este encabezado HTTP en el momento de escribir este artículo:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Curiosamente, el anuncio de GitHub sobre el tema es bastante conciso y no menciona Google FLoC en ninguna parte:

"Todos los sitios de páginas de GitHub servidos desde el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ahora tendrán un conjunto de encabezados Permissions-Policy: interest-cohort = ()".

"Los sitios de páginas que utilizan un dominio personalizado no se verán afectados", concluye la publicación del blog de GitHub publicada ayer.

Los usuarios pueden verificar si su navegador web ha sido seleccionado para ser parte del experimento piloto de FLoC siguiendo las instrucciones proporcionadas en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login de EFF.

En este momento, se espera que FLoC se despliegue entre "un pequeño porcentaje de usuarios" en Australia, Brasil, Canadá, India, Indonesia, Japón, México, Nueva Zelanda, Filipinas y Estados Unidos, según Google.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El proveedor de alojamiento en la nube DigitalOcean ha revelado una violación de datos después de que una falla expuso la información de facturación de los clientes.

Un correo electrónico enviado a los clientes afectados por DigitalOcean afirma que una "falla" permitió a un usuario no autorizado acceder a los detalles de facturación de los clientes entre el 9 de abril de 2021 y el 22 de abril de 2021.

"Un usuario no autorizado obtuvo acceso a algunos de los detalles de su cuenta de facturación a través de una falla que se ha corregido. Esta exposición afectó a un pequeño porcentaje de nuestros clientes", se lee en el correo electrónico enviado a los clientes.

El correo electrónico indica que la información expuesta incluye el nombre de facturación del cliente, la dirección de facturación, el vencimiento de la tarjeta de pago, los últimos cuatro dígitos de la tarjeta de crédito y el nombre del banco de la tarjeta de pago.

DigitalOcean afirma que han solucionado la falla y han revelado la violación a las autoridades de protección de datos. No está claro qué agencias fueron notificadas.

Tyler Healy, vicepresidente de seguridad de DigitalOcean, le dijo a TechCrunch que esta falla expuso solo el 1% de los perfiles de facturación.
DigitalOcean también sufrió una violación de datos el año pasado cuando pusieron a disposición un documento que contenía información sobre las cuentas de los clientes a través de un enlace público.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft anunció hoy que varias versiones de .NET Framework firmadas con el algoritmo Secure Hash 1 (SHA-1) heredado e inseguro llegarán al final del soporte el próximo año.

.NET Framework es un marco de desarrollo de software gratuito que ayuda a los desarrolladores a crear aplicaciones, sitios web y servicios .NET y a los usuarios a ejecutarlos en muchos sistemas operativos (incluido Windows), utilizando diferentes implementaciones de .NET.

".NET Framework 4.5.2, 4.6 y 4.6.1 finalizará el soporte el 26 de abril de 2022", dijo Jamshed Damkewala, gerente de ingeniería principal de .NET.

"Después de esta fecha, ya no proporcionaremos actualizaciones, incluidas correcciones de seguridad o soporte técnico para estas versiones".

La única excepción es la versión .NET Framework 4.6 que se envía con Windows 10 Enterprise LTSC 2015, cuya compatibilidad se extenderá hasta octubre de 2025, cuando el sistema operativo llegue al final de su vida útil.

Sin recompilación o reorientación después de pasar a 4.6.2 o posterior

Se recomienda a los desarrolladores de .NET que migren sus aplicaciones al menos a .NET Framework 4.6.2 o posterior antes del 26 de abril de 2022, para continuar recibiendo actualizaciones de seguridad y soporte técnico.

Los desarrolladores que aún no hayan implementado .NET Framework 4.6.2 o versiones posteriores de sus aplicaciones solo deben actualizar el tiempo de ejecución en el que se ejecutan las aplicaciones a al menos la versión 4.6.2 para seguir siendo compatibles.

.NET Framework 4.6.2 (enviado hace casi cinco años) y .NET Framework 4.8 (enviado hace dos años) son tiempos de ejecución estables y reemplazos en el lugar compatibles ya "ampliamente implementados en cientos de millones de computadoras a través de Windows Update (WU) . "

"Si su aplicación fue construida para .NET Framework 4 - 4.6.1, debería continuar ejecutándose en .NET Framework 4.6.2 y posterior sin ningún cambio en la mayoría de los casos", agregó Damkewala, sin necesidad de recompilar o reorientar.

"Dicho esto, le recomendamos encarecidamente que valide que la funcionalidad de su aplicación no se vea afectada cuando se ejecuta en la versión de tiempo de ejecución más reciente antes de implementar el tiempo de ejecución actualizado en su entorno de producción".

Retirado después de cambiar a la firma SHA-2

Microsoft está retirando estas versiones de .NET Framework porque están firmadas digitalmente con certificados que usan el algoritmo de hash criptográfico heredado SHA-1, que ahora es inseguro.

Los investigadores de seguridad publicaron un informe en 2015 sobre la vulnerabilidad de SHA-1 a los ataques de colisión que podrían permitir a los actores de amenazas falsificar certificados digitales para hacerse pasar por empresas o sitios web.

Estos certificados digitales falsificados se pueden utilizar para falsificar empresas, agregar legitimidad a los mensajes de phishing o en ataques man-in-the-middle para espiar sesiones de red cifradas.

A partir del próximo mes, el 9 de mayo, todos los principales servicios y procesos de Microsoft (incluida la firma de código, el hash de archivos y los certificados TLS) utilizarán exclusivamente el algoritmo SHA-2.

Microsoft también retiró todo el contenido SHA-1 firmado por Windows del Centro de descarga de Microsoft en agosto de 2020, después de cambiar la firma de las actualizaciones de Windows para usar el algoritmo SHA-2 un año antes.

También es importante tener en cuenta que, aunque Microsoft solo admite contenido firmado por SHA-2 para contenido oficial, los ejecutables de Windows firmados con certificados SHA-1 de empresa o autofirmados instalados manualmente aún pueden ejecutarse en el sistema operativo.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según se informa, un investigador de seguridad Ahmad Talahmeh detectó una vulnerabilidad importante en una función de videos en vivo de Facebook.

Como se especifica en la publicación de su blog, la vulnerabilidad residía en la función de recorte que, idealmente, permite al propietario del video recortar el video. Sin embargo, debido a la falla, cualquiera pudo recortar el video hasta en 5 milisegundos.

Tal recorte no autorizado a una duración de video aparentemente nula resultó en la eliminación irreversible del video.

Para aprovechar el error, un atacante simplemente tenía que tener la identificación de video en vivo del usuario objetivo, la identificación de usuario actual y el código para la solicitud de recorte de video.

Al señalar el impacto de la falla, el investigador declaró:

"Cualquiera puede recortar / quitar el recorte de cualquier video en vivo en Facebook. Recortar el video a 5 milisegundos hará que el video dure 0 segundos y el propietario no podrá deshacerlo."

Al detectar el error, Talameh se acercó a Facebook, luego de lo cual, el gigante tecnológico resolvió el error en 2 horas.

Por informar de esta falla, el investigador ganó una recompensa de $ 11,000 a través de la BountyCon 2020, seguida de dos recompensas adicionales de $ 1150 y $ 2300 de Facebook.

También se encontraron dos fallas más de Facebook

Poco después de revelar la vulnerabilidad mencionada anteriormente, el investigador reveló dos vulnerabilidades más que afectan a la plataforma de Facebook.

Uno de estos errores podría permitir que un usuario con un rol de analista en una página comercial de Facebook actualice su mensaje para su información.

Como se explica en su publicación, un usuario con rol de analista idealmente tiene permisos de solo lectura. Significa que el error permitió la modificación autorizada del mensaje FYI. Después de su informe, Facebook corrigió el error en 10 horas y recompensó a Talameh con una recompensa de $ 750.

Considerando que, la segunda vulnerabilidad también afectó a la función de video en vivo de Facebook, lo que permitió que un atacante eliminara el recorte de un video.

Como se describe en su publicación, donde también compartió el PoC, esto podría permitir que un usuario malintencionado elimine cualquier video en vivo en Facebook que no use GraphQL.

Afortunadamente, Facebook también corrigió rápidamente la vulnerabilidad en 6 horas, protegiendo así a los usuarios.

Fuente:
Latest Hacking News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han encontrado un nuevo ransomware que está obsesionado con Discord Nitro.

Apodado como NitroRansomware, el malware cifra los datos de una víctima solo para liberarlos después de recibir los códigos de regalo de Discord Nitro.

Nitro es un complemento de Discord basado en suscripción que ofrece funciones adicionales como transmisión de HD, emojis y cargas más grandes, y más por $ 9.99 / mes.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Resulta que el ransomware se dirige a una víctima haciéndose pasar por una herramienta que genera códigos de regalo Nitro gratuitos.

Seguramente, un usuario promedio, como un usuario de Discord Nitro, se enamoraría de él.

Al llegar al sistema de destino, el malware comienza a cifrar los datos y agrega una extensión ".givemenitro" a los nombres de los archivos. Después de completar el proceso de encriptación. El malware cambia el escritorio de la víctima a un logotipo malvado de Discord.

Mientras que, también aparece una pantalla de ransomware que sirve como nota de rescate. Exige que la víctima pague el rescate como códigos de regalo de Nitro.

Junto a esta peculiar demanda, los actores de amenazas también dan un plazo muy corto de tres horas para cumplir con su demanda.

Considerando que, amenazan a la víctima con eliminar todos los datos en caso de que no se pague el rescate.

Sin embargo, se observó que esta amenaza es simplemente un engaño y que no sucede nada incluso después de que finaliza el plazo de 30 horas.

Una vez que una víctima paga el rescate, los atacantes verificarían la validez del código de regalo a través de la URL de la API de Discord. Si se verifica, los actores de la amenaza descifran los datos.

Descifrador estático presente dentro del ransomware

Los investigadores encontraron que el descifrador es en realidad una clave estática incrustada en el código del ransomware.

Por lo tanto, es posible que las víctimas no tengan que pagar el rescate si pueden averiguarlo.Sin embargo, aún sufrirían algunos daños debido a este ataque.

NitroRansomware también tiene una funcionalidad de puerta trasera adicional. Además, también puede ejecutar comandos en el sistema de destino. Considerando que, el principal problema para una víctima es que el ransomware también roba tokens de Discord.

Esto permite que el atacante inicie sesión como usuario víctima. Cuando se inicia NitroRansomware, buscará la ruta de instalación de Discord de la víctima y luego extraerá los tokens de usuario de los archivos * .ldb ubicados en "Almacenamiento local \ leveldb". Estos tokens luego se envían de vuelta al actor de amenazas a través de un webhook de Discord.

Por tanto, las víctimas de este ransomware deben asegurarse de cambiar sus contraseñas de Discord para no perder sus cuentas.

Además, el ransomware también roba datos de los navegadores web. Por lo tanto, es posible que las víctimas también tengan que revisar y cambiar las contraseñas de todas las cuentas que guardaron en sus navegadores.

Fuente:
Latest Hacking News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aquí les dejo el ya célebre software para descargar vídeos: 4kvideodownload en su última versión 4.15.1.

Sin activar:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con su crack: sobreescribir el ejecutable una vez instalado, o realizar el crack según guía adjuntada, del propio ejecutable ".exe".

Una vez activado:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Libre de virus, y por ninguna razón debe dar positivo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ya ha un tiempo que lo vengo usando, y está muy bueno por su compatibilidad con sinfín de sitios.Fue a raíz de este post en el Foro:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Que lo disfruten

Descarga del instalador:
Sitio oficial:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Descarga del crack:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mérito del crack para el crackme Krzysiek Tannenberg
Sitio oficial en Youtube incluyendo los link de descarga de los crack multiplataformas entre otros intereses (para continuar activando futuras versiones):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un ransomware ha ganado $ 260,000 en solo cinco días simplemente cifrando archivos de forma remota en dispositivos QNAP usando el programa de archivo 7zip.

A partir del lunes, los usuarios de QNAP NAS de todo el mundo encontraron repentinamente sus archivos cifrados después de que una operación de ransomware llamada Qlocker explotara las vulnerabilidades de sus dispositivos.

Si bien la mayoría de los grupos de ransomware dedicaron un tiempo considerable al desarrollo de su malware para hacerlo eficiente, rico en funciones y tener un cifrado sólido, la banda Qlocker ni siquiera tuvo que crear su propio programa de malware.

En su lugar, buscaron dispositivos QNAP conectados a Internet y los explotaron utilizando las vulnerabilidades reveladas recientemente. Estos exploits permitieron a los actores de amenazas ejecutar remotamente la utilidad de archivo 7zip para proteger con contraseña todos los archivos en los dispositivos de almacenamiento NAS de las víctimas.

El uso de un enfoque tan simple les permitió cifrar más de mil, si no miles, de dispositivos en solo cinco días utilizando un algoritmo de cifrado probado en el tiempo e integrado en la utilidad de archivo 7zip.

Tasando correctamente las demandas de rescate

El ransomware dirigido a empresas generalmente exige pagos de rescate que oscilan entre $ 100,000 y $ 50 millones para descifrar todos los dispositivos de la víctima y no filtrar sus datos robados.

Sin embargo, Qlocker eligió un objetivo diferente: consumidores y propietarios de pequeñas y medianas empresas que utilizan dispositivos NAS de QNAP para almacenamiento en red.

Parece que los actores de amenazas conocían bien a sus objetivos, ya que fijaron el precio de sus demandas de rescate en solo 0.01 Bitcoins, o al precio actual de Bitcoin, aproximadamente $ 500.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Decidir pagar millones de dólares requiere que una empresa piense detenidamente si los datos perdidos valen millones de dólares.

Sin embargo, pagar $ 500 puede verse como un pequeño precio a pagar para recuperar archivos importantes, sin importar cuán violada pueda sentirse la víctima.

La decisión de Qlocker parece haber valido la pena, ya que los pagos han comenzado a apresurarse para que los actores de amenazas obtengan un rendimiento considerable por unos días de actividad.

Qlocker ganó casi $ 260,000 hasta ahora

Dado que el ransomware Qlocker utiliza un conjunto fijo de direcciones de Bitcoin por las que se rotan las víctimas, se ha podido recopilar las direcciones y controlar sus pagos.

El martes por la noche, el investigador de seguridad Jack Cable descubrió un error de corta duración que le permitió recuperar las contraseñas de 55 víctimas de forma gratuita. Mientras utilizaba este error, recopiló diez direcciones de Bitcoin diferentes que los actores de amenazas estaban rotando con las víctimas.

Desde entonces, se ha recopilado 10 direcciones adicionales, para un total de 20 direcciones de bitcoin utilizadas por los actores de amenazas de Qlocker.

En este momento, las 20 direcciones de bitcoin, que se muestran a continuación, han recibido pagos de rescate por un total de 5.25735623 Bitcoins. Esta cantidad equivale aproximadamente a $ 258,494.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si dividimos la cantidad de Bitcoins ganados, llegamos a que aproximadamente 525 víctimas hayan pagado el rescate hasta el momento.

Desafortunadamente, los rescates siguen llegando a medida que los usuarios toman la difícil decisión de pagar para recuperar sus archivos, por lo que es probable que este número aumente durante el fin de semana y la próxima semana.

Esta campaña de ransomware todavía está en curso, y cada día aparecen nuevas víctimas. Por lo tanto, todos los usuarios de QNAP deben actualizar las últimas versiones de las aplicaciones Consola Multimedia, Complemento de transmisión de medios y Sincronización de respaldo híbrido para corregir las vulnerabilidades y protegerse contra estos ataques de ransomware.

También se recomienda a los usuarios que aseguren sus dispositivos NAS para que otros ataques futuros sean más difíciles de lograr.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubiquiti, el proveedor de equipos de red y dispositivos IoT, comenzaba el año enviando correos electrónicos a los clientes informado de una brecha de seguridad reciente.

Alguien había obtenido acceso no autorizado a los sistemas alojados en un proveedor de nube externo, Amazon AWS, en los que se almacenaba información de los clientes que utilizaban el portal web You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para la administración de sus dispositivos desde una ubicación remota. Nombres, direcciones de correo electrónico y hashes de contraseñas podrían haber sido comprometidas junto con direcciones y números de teléfono.

La compañía solicitó a sus clientes cambiar las contraseñas y habilitar la autenticación de doble factor, ya que existía la posibilidad de que los ciberdelincuentes hubieran podido comprometer las cookies de inicio de sesión único para el acceso remoto y las claves de firma.

También se solicitó que se deberían eliminar los perfiles asociados con cada dispositivo, antes de volver a crear los perfiles con nuevas credenciales y asegurarse de que el dispositivo se encuentra en la última versión disponible. Una tarea lenta y tediosa que debería de repetirse en cada dispositivo, más si cabe, teniendo en cuenta que la mayoría de los clientes de Ubiquiti son empresas, las cuales pueden tener decenas o centenares de dispositivos.

Varios meses después una fuente que participó en la respuesta a la brecha de seguridad informó a Brian Krebs, reconocido periodista de seguridad, que esta fue mucho peor de lo que la empresa había reconocido.

El informante asegura haber reportado esta información a través de una denuncia a Ubiquiti y la agencia europea de protección de datos, sin respuesta ninguna, por esta razón se anima a hablar con Krebs. Este informante afirmó que la explicación del «proveedor de la nube de terceros» fue inventada y enmascarada y que la violación de datos se minimizo enormemente en un intento de proteger el valor de las acciones de la empresa.

Los ciberdelincuentes obtuvieron acceso administrador a las cuentas de AWS, a través de credenciales almacenadas y robadas de la cuenta de Lastpass de un empleado, los S3 que contienen el código fuente, los registros de aplicaciones, los secretos de las cookies y todas las bases de datos, incluidas las que tienen credenciales de usuarios.

Todo esto podría haber permitido a los atacantes autenticarse de forma remota en innumerables dispositivos Ubiquiti en todo el mundo y según su sitio web, han vendido más de 85 millones de dispositivos en más de 200 países.

El informante le confirmó a Krebs que el personal de tecnologías de la información de Ubiquiti encontró una puerta trasera plantada por la que los ciberdelincuentes pudieron acceder en la primera semana de enero. Esta puerta trasera pudo estar oculta durante dos semanas, tiempo más que suficiente para infectar miles o millones de dispositivos actualizados.

Más tarde, se descubrió una segunda puerta trasera, lo que llevó a que las credenciales de los empleados se rotaran antes de que el público se enterase del incidente.

Los ciberdelincuentes se pusieron en contacto con Ubiquiti para extorsionarles pidiendo 50 bitcoins, aproximadamente 3 millones de dólares en ese momento, a cambio del silencio.

Sin embargo el proveedor no aceptó pagar nada.

Por otro lado, la empresa no tenía activado el registro de acceso en las bases de datos, algo muy reseñable tratándose de una empresa de su envergadura, por lo que no pudieron probar o refutar a que activos habían tenido acceso los ciberdelincuentes. El ciberdelincuente apuntó las credenciales a las bases de datos y creó instancias de Linux con conectividad de red en el entorno AWS de Ubiquiti.

El equipo legal de Ubiquiti anuló las solicitudes repetidas para forzar la rotación de todas las credenciales de los clientes y para revertir cualquier cambio de permisos de acceso al dispositivo durante ese periodo.

Algunos empleados quisieron forzar cambios en las contraseñas para proteger a sus clientes, pero el equipo legal bloqueó esas acciones, para evitar un pánico general en los clientes.

Recientemente Ubuquiti ha publicado una nueva declaración en su foro, reforzando el concepto de que no ha identificado evidencia de que la información del cliente haya sido expuesta, "El atacante que intentó sin éxito extorsionar a la empresa amenazando con publicar el código fuente robado y las credenciales del equipo de tecnología de la información, nunca informó haber accedido a la información del cliente.
Esto junto con otras pruebas es la razón por la que creemos que los datos del cliente no fueron el objetivo del incidente, ni se accedió a ellas".

Si la empresa no tenía activado el registro de acceso, no mienten en su declaración, y no pueden probar que el ciberdelincuente tuviese acceso a la información, pero tampoco pueden probar que no lo tuviese.

Teniendo potencial acceso a todo, que cada uno saque su propia conclusión.

Es necesario recordar que el acceso remoto, por lo general a cualquier dispositivo, debe desactivarse a menos que sea esencial, en cuyo caso debe ser administrado por un usuario avanzado.

Más información:
Whistleblower: Ubiquiti Breach "Catastrophic"
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubiquiti All But Confirms Breach Response Iniquity
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubiquiti is accused of covering up a 'catastrophic' data breach — and it's not denying it
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Was the recent Ubiquiti data breach catastrophic?
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubiquiti breach puts countless cloud-based devices at risk of takeover
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google Project Zero aumentará el margen temporal antes de la divulgación pública de vulnerabilidades

Google Project Zero es el equipo de analistas de ciberseguridad más importante con los que cuenta el gigante de Internet. Un grupo de élite que se puso en marcha en 2014 con el objetivo de localizar ataques 0-Day y en general las vulnerabilidades de software más críticas y peligrosas.

Project Zero revisa el software de Google y también el de terceros. Los errores detectados son reportados internamente a los distintos proveedores para que realicen las correcciones correspondientes y se hacen públicos posteriormente para que el usuario tome sus propias medidas bajo una política de divulgación que da un plazo general de 90 días desde que se comunica internamente.

Google hace pública las vulnerabilidades pasado el plazo tanto si el proveedor ha parcheado el software como si no lo ha hecho. Esta política de divulgación ha sido altamente controvertida en el pasado y algunos como Microsoft han tenido fuertes argumentos con Google.

Chris Betz, responsable del Centro de respuesta de seguridad de Microsoft, criticó que un competidor publicase vulnerabilidades sin que el proveedor de software la hubiera parcheado bajo el siguiente argumento:

"Quienes están a favor de la divulgación pública creen que este método empuja a los proveedores de software para corregir las vulnerabilidades más rápidamente y hace que los clientes desarrollen y adopten medidas para protegerse.

No estamos de acuerdo.

Es una presión indebida en un entorno técnico complicado que necesita evaluar plenamente el potencial de la vulnerabilidad y diseñar un parche en un entorno de amenazas más amplio".

El argumento es compartido por otros proveedores, pero hay otros muchos que apoyan a Google en esta política.
El usuario tiene derecho a saber si el software que usa contiene vulnerabilidades para tomar sus propias medidas, por ejemplo, dejar de utilizarlo.

Por otra parte, si no hubiera un plazo concreto de divulgación pública algunos desarrolladores no le dedicarían la atención suficiente.

Hay vulnerabilidades que lamentablemente han tardado años en parchearse.

El equipo de seguridad de Google ha anunciado la ampliación en 30 días del plazo para la divulgación de vulnerabilidades al público. Ello significa que los desarrolladores tendrán 90 días para corregir errores regulares (con un período de gracia de 14 días si se solicita), y otros 30 días adicionales antes de revelar los detalles públicamente.

Para las vulnerabilidades más críticas, las de Día-Cero que se haya comprobado que estén explotándose activamente, los proveedores tendrán siete días para parchearlas, con un período de gracia de tres días bajo demanda. Sin embargo, Google esperará ahora 30 días más antes de revelar los detalles técnicos.

El año pasado, Google permitió a los desarrolladores más tiempo para corregir errores, con la esperanza de que los arreglaran lo suficientemente rápido como para permitir a los usuarios finales más tiempo para parchear.

En la práctica, sin embargo, "no observamos un cambio significativo en los plazos de desarrollo de parches, y se continua recibiendo comentarios de los proveedores de que estaban preocupados por la publicación de los detalles técnicos sobre vulnerabilidades y exploits antes de que la mayoría de los usuarios hubieran instalado el parche", describen desde el Project Zero.


Buscando el equilibrio

La idea es marcar un punto que pueda ser cumplido consistentemente por la mayoría de los proveedores, para después "reducir gradualmente tanto los plazos de desarrollo de parches como los plazos de adopción de los mismos", explican para argumentar el aumento del plazo.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WhatsApp ha tenido que abordar recientemente dos vulnerabilidades que afectaban a su aplicación para Android.
Podrían haber sido explotadas para ejecutar código malicioso de forma remota e incluso comprometer las comunicaciones cifradas.

Este bug afecta a los dispositivos que utilizan versiones de Android iguales o inferiores a la 9, llevando a cabo lo que se conoce como un ataque  "Man in the disk".
Este tipo de ataque comparte similitudes con la conocido "Man in the middle", habiendo ciertas diferencias entre ellos.

¿Qué es un ataque man in the disk?

Lo primero que se debe saber es que Android cuenta un almacenamiento compartido llamado "Almacenamiento externo". Una aplicación debe solicitar permiso al usuario para acceder a este almacenamiento. Estos privilegios no se suelen considerar como peligrosos y casi todas las aplicaciones los solicitan.

Sin embargo, el hecho de que se comparta esta zona de almacenamiento entre las aplicaciones podría ser útil para el atacante.

La vulnerabilidad de Whatsapp tiene asignado el CVE-2021-24027 y con su explotación el atacante será capaz de modificar los datos intercambiados entre la aplicación y el disco, obteniendo el acceso a todos los datos que se encuentren en el almacenamiento externo, incluidas las conversaciones, fotos o videos de Whatsapp.


El siguiente video es una prueba de concepto donde se lleva a cabo la explotación de esta vulnerabilidad, comprometiendo los datos y la privacidad del usuario.



Para solventar este problema, Whatsapp ha lanzado un parche de seguridad donde se establece el almacenamiento de su aplicación en un "scoped storage". De este modo, evitan que la información de Whatsapp se encuentre en una zona de almacenamiento compartida con el resto de aplicaciones del dispositivo, y en caso de producirse un ataque de Man-In-The-Disk, no se podría acceder a su información.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 750.000 usuarios descargaron nuevas aplicaciones de fraude en la facturación de Google Play Store

Los investigadores han descubierto un nuevo conjunto de aplicaciones de Android fraudulentas en la tienda Google Play que se encontraron para secuestrar las notificaciones de mensajes SMS para llevar a cabo fraudes en la facturación.

Las aplicaciones en cuestión se dirigieron principalmente a usuarios del suroeste de Asia y la Península Arábiga, y atrajeron un total de 700.000 descargas antes de que fueran descubiertas y eliminadas de la plataforma.

Los hallazgos fueron informados de forma independiente por las firmas de ciberseguridad Trend Micro y McAfee.

"Haciéndose pasar por editores de fotos, fondos de pantalla, rompecabezas, máscaras de teclado y otras aplicaciones relacionadas con la cámara, el malware incrustado en estas aplicaciones fraudulentas secuestra las notificaciones de mensajes SMS y luego realiza compras no autorizadas", dijeron investigadores de McAfee en un artículo publicado el lunes.

Las aplicaciones fraudulentas pertenecen al malware llamado "Joker" (también conocido como Bread), que se ha descubierto y demostrado, que se ha escapado repetidamente de las defensas de Google Play durante los últimos cuatro años, lo que ha provocado que Google elimine no menos de 1.700 aplicaciones infectadas de Play Store como de principios de 2020. McAfee, sin embargo, está rastreando la amenaza bajo un apodo separado llamado "Etinu".

El malware es conocido por perpetrar fraudes de facturación y sus capacidades de software espía, incluido el robo de mensajes SMS, listas de contactos e información del dispositivo. Los autores de malware generalmente emplean una técnica llamada control de versiones, que se refiere a cargar una versión limpia de la aplicación en Play Store para generar confianza entre los usuarios y luego agregar código malicioso en una etapa posterior a través de actualizaciones de la aplicación, en un intento por pasar por alto el proceso de revisión de la aplicación.

El código adicional inyectado sirve como carga útil de primera etapa, que enmascara archivos .PNG aparentemente inocuos y se establece con un servidor de comando y control (C2) para recuperar una clave secreta que se usa para descifrar el archivo en un cargador. Esta carga útil provisional luego carga la segunda carga útil cifrada que finalmente se descifra para instalar el malware.

La investigación de McAfee de los servidores C2 reveló la información personal de los usuarios, incluido el operador, el número de teléfono, el mensaje SMS, la dirección IP, el país, el estado de la red y las suscripciones de renovación automática.

La lista de nueve aplicaciones está a continuación:

•   Keyboard Wallpaper (com.studio.keypaper2021)
•   PIP Photo Maker (com.pip.editor.camera)
•   2021 Wallpaper and Keyboard (org.my.favorites.up.keypaper)
•   Barber Prank Hair Dryer, Clipper and Scissors (com.super.color.hairdryer)
•   Picture Editor (com.ce1ab3.app.photo.editor)
•   PIP Camera (com.hit.camera.pip)
•   Keyboard Wallpaper (com.daynight.keyboard.wallpaper)
•   Pop Ringtones for Android (com.super.star.ringtones)
•   Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)

Se insta a los usuarios que hayan descargado las aplicaciones a verificar si hay transacciones no autorizadas y, al mismo tiempo, tomar medidas para estar atentos a los permisos sospechosos solicitados por las aplicaciones y examinar cuidadosamente las aplicaciones antes de instalarlas en los dispositivos.

"A juzgar por la forma en que los operadores de Joker aseguran repetidamente la persistencia del malware en Google Play incluso después de haber sido detectados varias veces, lo más probable es que haya formas en que [los operadores] se están beneficiando de este esquema", dijeron los investigadores de Trend Micro.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No pone qué modelo de Router es, pero sí, es una tecnología de seguridad que bloquea los ataques reaver.

Depende del Router, porque hay varias versiones (en algunas de dichas versiones se puede con un "ataque con intento de unlock"); en las últimas versiones, están anclados al cliente con un ID único de hardware previa configuración. Lo he visto en unos cuantos Huawei  y Cisco.

De cualquier modo, si se va por el Reaver, pruebe en el WifiSlax en el apartado WPS, un script que ataca el Reaver con intento de unlock.
También con la última versión de Reaver, aunque lo dudo.

Si no avala, ya debe irse por ataques como KRACK, u otros.

Debo revisar si hay algún desarrollador que ha creado algo para las últimas versiones de protección para el WPS; pero le destaco, lo último que he visto es muy sólido, y no admite promiscuidad en los intentos de asociación, si no hay un ID (identificador de hardware que no es la MAC) previo.

Suerte.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nos guste o no, WhatsApp es una de las aplicaciones de mensajería más populares que existen y miles de millones de personas en todo el mundo la utilizan.

Desafortunadamente, para una herramienta que es integral para la comunicación para una audiencia tan grande, la seguridad está lejos de ser hermética. Recientemente se descubrió que cualquiera podía suspender la cuenta de WhatsApp de alguien con solo saber su número.

Ahora, otro informe de investigación arroja luz sobre una característica básica que está siendo explotada por varias aplicaciones y servicios para revelar el comportamiento de la aplicación del usuario

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La información de Google para los desarrolladores de aplicaciones sobre el tema de Stalkerware dice que una de sus condiciones es que las aplicaciones no deben presentarse como una solución de espionaje o vigilancia secreta. Algunos listados parecen contravenir esta política, pero muchos simplemente se presentan de una forma en Google Play y de otra en sus propios sitios web.

Como señaló la firma de ciberseguridad Traced, estas aplicaciones y servicios explotan la función de estado en línea para permitir que terceros rastreen cuándo una persona está usando la aplicación. Uno simplemente necesita ingresar el número de teléfono móvil de la persona a la que quieren acechar, y estas aplicaciones harán el resto por ellos. Pueden notificar a estos terceros cuando sus objetivos están en línea / fuera de línea y generar informes completos del historial de uso de su aplicación basados en esta información.

Estas aplicaciones están fácilmente disponibles y, a menudo, se disfrazan como herramientas para que los padres realicen un seguimiento de la actividad en línea de sus hijos. Las pruebas de una de esas aplicaciones de Google Play Store y funciona tal como se anunciaba.
Obviamente otras aplicaciones pueden ser falsas e incluso malware.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según algunas pruebas, la app envió alertas cuando un contacto en particular (otro número del autor del análisis) se conectó o se desconectó y puede mapear esta información en un gráfico que muestra cuándo y cuánto tiempo estuvo conectado. Incluso hay una opción para rastrear múltiples contactos a la vez, lo que permite la posibilidad de deducir si dos contactos están potencialmente hablando entre sí.

Teniendo en cuenta que Google no permite aplicaciones de acoso cibernético en Play Store, es un poco sorprendente que estas herramientas estén disponibles en el Play; algunas incluso tienen un modelo de suscripción que desbloquea funciones adicionales y seguimiento ilimitado.

Desafortunadamente, WhatsApp no permite que los usuarios deshabiliten números desconocidos para que no vean su estado en línea, por lo que no hay nada que pueda hacer para evitar que alguien sepa cuándo y durante cuánto tiempo usa la aplicación. WhatsApp aún no ha comentado sobre este tema, pero actualizaremos el artículo si escuchamos algo.

Fuente:
Android Police
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los foros de MyBB con versiones comprendidas entre 1.8.16 y 1.8.25 se ven afectados por dos vulnerabilidades que descubrieron investigadores de SonarSource. Estas vulnerabilidades se pueden encadenar para lograr la ejecución remota de código (RCE) sin ningún acceso previo a una cuenta privilegiada en las configuraciones predeterminadas de MyBB.

La primera vulnerabilidad reportada es un XSS persistente (CVE-2021-27889) es un error que permite a cualquier usuario de foro sin privilegios incrustar payloads XSS almacenados en un hilos, publicaciones e incluso mensajes privados.

La segunda vulnerabilidad es una Inyección SQL en las propiedades del tema (CVE-2021-27890) que conduce a un RCE que podría ser activado por cualquier usuario con una sesión activa en el panel de administrador de un foro MyBB.

Un atacante sofisticado podría desarrollar un exploit para la vulnerabilidad Stored XSS y luego enviar un mensaje privado a un administrador objetivo de MyBB. Tan pronto como el administrador abre el mensaje privado, en su propio foro de confianza, el exploit se activa. Una vulnerabilidad de RCE se explota automáticamente en segundo plano y conduce a una toma de control total del foro MyBB objetivo.

XSS persistente en URL automática anidada

MyBB comúnmente permite a los usuarios sin privilegios crear publicaciones o mensajes privados que contienen imágenes, videos, titulares, listas, etc.

Esta función debe implementarse con cuidado, ya que los usuarios que no son de confianza podrían abusar de ella para modificar el contenido del foro de formas no deseadas si las restricciones de esta función no son lo suficientemente estrictas. En el peor de los casos, un usuario podría obtener la capacidad de inyectar código JavaScript arbitrario en los documentos HTML proporcionados por el foro de confianza.

Hay dos enfoques para implementar esta característica:

•   Permitir que los usuarios envíen etiquetas HTML y apliquen una lista blanca o negra para determinar si la entrada es sensata y segura para mostrarla a otros usuarios.
•   Utilizar un formato de mensaje existente o personalizado, como Markdown, por ejemplo, para crear salidas HTML sensatas a partir de las entradas.


Ambos enfoques tienen sus respectivas ventajas y desventajas. MyBB utiliza el segundo enfoque en su proceso de renderizado con una implementación personalizada de sus MyCodes.

Siempre que un usuario crea, por ejemplo, un mensaje privado que contiene dichos códigos, el analizador MyBB codifica toda la entrada y luego utiliza una expresión regular para buscar y reemplazar todos los MyCodes con su respectivo código HTML.

Los problemas en dichos analizadores pueden ocurrir cuando los patrones de expresiones regulares que se utilizan para buscar y reemplazar, por ejemplo, MyCodes son demasiado relajados, lo que podría llevar a que se rendericen etiquetas HTML anidadas, como es el caso del XSS desglosado aquí.

Inyección de SQL en las propiedades del tema que conducen a RCE

La vulnerabilidad XSS descrita permite a un atacante apuntar a administradores de un foro MyBB. Si el atacante logra inyectar código JavaScript malicioso en el navegador de un usuario administrativo con una sesión activa, puede realizar acciones arbitrarias con privilegios de administrador.

MyBB evita activamente que incluso los usuarios administradores ejecuten código PHP arbitrario en el servidor subyacente, por lo que presentaremos una vulnerabilidad RCE autenticada a la que se puede acceder con privilegios administrativos.

Es aconsejable no dejar que las expresiones regulares se vuelvan demasiado complejas en estos analizadores, especialmente cuando están destinadas a prevenir problemas de seguridad.
MyBB ha solucionado las vulnerabilidades en su versión 1.8.26.

Fuentes:
SonarSource
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:

Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login