You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft declara que la cantidad de ataques de web shell mensuales casi se ha duplicado desde el año pasado, con un promedio de 140.000 herramientas maliciosas de este tipo que se encuentran en servidores comprometidos cada mes.

Los web shells son herramientas (scripts o programas) que los actores de amenazas implementan en servidores pirateados para obtener y / o mantener el acceso, así como para ejecutar de forma remota códigos o comandos arbitrarios, moverse lateralmente dentro de la red o entregar cargas útiles maliciosas adicionales.

Se pueden implementar en una gran variedad de formas, desde complementos de aplicaciones y fragmentos de código PHP o ASP inyectados dentro de aplicaciones web hasta programas diseñados para proporcionar funciones de shell web y scripts de shell Perl, Python, Ruby y Unix.

"Los datos más recientes de Microsoft 365 Defender muestran que esta tendencia no solo continuó, sino que se aceleró: todos los meses desde agosto de 2020 hasta enero de 2021, registramos un promedio de 140.000 encuentros de estas amenazas en los servidores", dijo Microsoft.

En comparación, el equipo de Microsoft Defender Advanced Threat Protection (ATP) dijo en un informe publicado el año pasado que estaba detectando un promedio de 77.000 web shells cada mes, según los datos recopilados de aproximadamente 46.000 dispositivos distintos.
Microsoft también brindó algunos consejos sobre cómo fortalecer los servidores contra ataques que intentan descargar e instalar un web shell.

La lista de medidas preventivas que deberían evitar los ataques de web shell incluyen:

    Identifique y corrija vulnerabilidades o configuraciones incorrectas en aplicaciones web y servidores web. Utilice Threat and Vulnerability Management para descubrir y corregir estas debilidades. Implemente las últimas actualizaciones de seguridad tan pronto como estén disponibles.
    Implemente la segmentación adecuada de su red perimetral, de modo que un servidor web comprometido no ponga en peligro la red empresarial.
    Habilite la protección antivirus en los servidores web. Active la protección proporcionada en la nube para obtener las últimas defensas contra amenazas nuevas y emergentes. Los usuarios solo deben poder cargar archivos en directorios que puedan ser escaneados por antivirus y configurados para no permitir la ejecución o secuencias de comandos del lado del servidor.
    Audite y revise los registros de los servidores web con frecuencia. Sea consciente de todos los sistemas que expone directamente a Internet.
    Utilice el Firewall de Windows Defender, los dispositivos de prevención de intrusiones y el firewall de su red para evitar la comunicación del servidor de comando y control entre los puntos finales siempre que sea posible, limitando el movimiento lateral, así como otras actividades de ataque.
    Verifique su firewall y proxy perimetral para restringir el acceso innecesario a los servicios, incluido el acceso a los servicios a través de puertos no estándar.
    Practique una buena higiene de credenciales. Limite el uso de cuentas con privilegios de nivel de administrador local o de dominio.

Advertencia de web shell de la NSA

La Agencia de Seguridad Nacional de EE. UU. (NSA) también advirtió sobre los actores de amenazas que intensifican sus ataques en servidores web vulnerables para implementar puertas traseras de web shell en un informe conjunto publicado con la Dirección de Señales de Australia (ASD) en abril de 2020.

"Los actores cibernéticos maliciosos han aprovechado cada vez más los web shells para obtener o mantener el acceso a las redes de las víctimas", dijo la NSA.

La NSA tiene un repositorio de GitHub dedicado con herramientas que las organizaciones y los administradores pueden usar para detectar y bloquear amenazas de web shell, que incluyen:

     Secuencias de comandos para la comparación de archivos "conocidos"
     Scripts, consultas de Splunk, reglas de YARA, firmas de red y Snort para detectar web shells
     Instrucciones sobre cómo utilizar las soluciones de respuesta y detección de puntos finales (Microsoft Sysmon, Auditd) para detectar web shells en Windows y Linux
     Reglas HIPS para permitir que el sistema de seguridad basado en host del sistema, bloquee los cambios en el sistema de archivos

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La empresa rusa de búsqueda e Internet Yandex anunció hoy que uno de sus administradores de sistema había habilitado el acceso no autorizado a miles de buzones de correo de usuarios.

La compañía descubrió la brecha internamente, durante una revisión de rutina de su equipo de seguridad. La investigación reveló que las acciones del empleado llevaron a comprometer casi 5,000 bandejas de entrada de correo electrónico de Yandex.

Negocio secundario del administrador de sistemas

El empleado era un administrador del sistema que tenía derechos de acceso para brindar soporte técnico al servicio de correo electrónico de Yandex. En un comunicado de prensa de hoy, la empresa dijo que el administrador lo hizo "para beneficio personal", sugiriendo que tenían una motivación financiera.

No está claro cuándo el empleado comenzó a ofrecer acceso no autorizado a terceros, pero el número total de bandejas de entrada comprometidas de esta manera asciende a 4.887.

"El equipo de seguridad de Yandex ya ha bloqueado el acceso no autorizado a los buzones de correo comprometidos", dice la compañía, y agrega que los propietarios ya han sido alertados de la violación y que deben cambiar las contraseñas de sus cuentas.

Como resultado del incidente, Yandex realizará cambios en el procedimiento de acceso administrativo para aumentar la seguridad de los datos del usuario. Según la empresa, los detalles del pago no se han visto afectados.

Si bien esta violación de datos merece un escrutinio serio, Yandex enfrentó una amenaza más grave en el pasado, cuando las agencias de inteligencia occidentales comprometieron sus sistemas con el malware Regin.

El ataque ocurrió entre octubre y noviembre de 2018 y apuntó a información técnica sobre la autenticación de la cuenta de usuario, según supo Reuters en ese momento.

Yandex reconoció el ataque y dijo que fue detectado y neutralizado antes de que causara algún daño.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es un RAT ya viejito, pero sirve para aprender.

Hay varios tutoriales en YouTube, e incluso links para descarga. Le recomiendo sea cuidadoso en este aspecto.

Solo ponga en el buscador que use "Xtreme RAT".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tan sencillo como eso.

Está muy bueno y se agradece.

Pues sí, todas las redes sociales hacen una copia del archivo (imagen), no siendo la primaria la que transmite o divulga. De hecho, la eliminan y las que divulgan le incrustan una ID para rastrearla.

Un detalle a tener bien presente.

Muchas gracias por el tuto y presentación.

Porque no tiene privilegios elevados el abrir una imagen (solo lectura), a no ser que ya esté un previo compromiso de seguridad, que es raro en ese orden.

Como le mencioné, y según lo que he leído (que no soy especialista en malware), tuvo un gran impacto (relativamente reciente) el uso de ".gif". Fue noticia.

Ya con las imágenes es cosa del pasado. Fíjese en la fecha del Foro que menciona, además no es una imagen, sino un ejecutable que se está haciendo pasar por una, con el viejo "truquito" del remombrarla con .jpg:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Según la descripción de Virustotal a la que ha vinculado, esto en realidad no es una imagen, sino un ejecutable PE32 real (ejecutable normal de Windows). Por lo tanto, solo se cambió la extensión del nombre del archivo para ocultar el propósito real del archivo.
PE32 no se ejecutará automáticamente cuando tengan la extensión .jpg como en este caso. Además, el visor de imágenes que se invocará con el archivo de forma predeterminada no ejecutará el código, sino que saldrá o se quejará de que esta no es una imagen válida.
Por lo tanto, este archivo no funcionaría solo. Pero estos archivos se utilizan normalmente junto con otro archivo que le cambiará el nombre a name.exe y lo ejecutará. Esto se puede hacer mediante algún archivo por lotes, con la ayuda de Windows Scripting Host ActiveX dentro de un sitio web o correo electrónico o similar. Esta estrategia se utiliza para eludir antivirus y cortafuegos que podrían omitir el análisis del archivo "jpg" debido a la extensión y no encontrarán nada sospechoso en el script que lo acompaña (que solo cambia el nombre del archivo y lo ejecuta).
... si hay alguna forma de decodificar / descompilar los datos de la imagen
Una vez más, esto no es una imagen sino un ejecutable, por lo que la herramienta de elección podría ser un desensamblador, un depurador, una ejecución en espacio aislado, etc. Vea también el análisis de Virustotal."

Por lo general, desde un email se proyecta con un Word o PDF, que por eso es peligrosísimo el abrir a la ligera este tipo de archivos.

Pues muy interesante está el tuto que puso @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Nmap no detecta (identifica) qué tipo de Sistema Operativo tiene el host de destino.

Esto es común, sobretodo en Sistemas que son de Linux y para auditorías.

No se ejecuta "otro archivo", lo que se suele hacer es incrustar o enmascarar código para ejecuciones (muy parecido a scripts) que llaman funciones. Como es lógico está limitado en permisos, por eso es que no suele usarse las imágenes con ese fin, y sí los ".gif", los cuales dieron  "bum" en su momento. Otro aspecto es que es fácil detectarlo.

Por ello se prefieren los archivos de Word o PDF´s que permiten más oportunidades.

Solo se usa la esteganografía con el fin de ocultar info.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aquí en el Foro hubo desafíos muy ingeniosos y divertidos:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Me ha gustado mucho la respuesta del chico.
Sobretodo el ver que se interesa y busca, y se esfuerza por aprender. Y que comparte lo que ha aprendido.

Pocas veces hay sorpresas tan gratas.

Muy bien @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Diez hombres que formaban parte de una banda criminal, involucrada en una serie de ataques de intercambio de SIM, dirigidos a víctimas de alto perfil en los Estados Unidos, fueron arrestados en el Reino Unido, Malta y Bélgica.

El fraude de intercambio de SIM (también conocido como "SIM hijacking") permite a los estafadores tomar el control del número de teléfono de un objetivo, ya sea a través de ingeniería social o sobornando a los empleados del operador móvil para que lo transfieran a una SIM controlada por el estafador.

Posteriormente, el atacante será el que reciba todos los mensajes y llamadas entregados a la víctima, lo que permite eludir fácilmente la autenticación multifactor (MFA) basada en SMS, robar las credenciales de usuario y tomar el control de las cuentas de servicio en línea de las víctimas.

Posteriormente, los delincuentes pueden iniciar sesión en las cuentas bancarias de sus víctimas para robar dinero e incluso cambiar las contraseñas de las cuentas y bloquear a las víctimas de sus propias cuentas.

El año pasado, Europol arrestó a sospechosos que formaban parte de otras dos bandas criminales de intercambio de SIM, que robaron millones de sus víctimas, en colaboración con las fuerzas del orden locales de España, Austria y Rumanía.

Red de SIM hijackers desmantelada

Luego de exitosos ataques de secuestro de SIM, los ocho hombres arrestados en Inglaterra y Escocia accedieron a los números de teléfono de las víctimas y tomaron el control de sus aplicaciones o cuentas cambiando las contraseñas.

"Esto les permitió robar dinero, criptomonedas e información personal, incluidos los contactos sincronizados con cuentas en línea", dijo Europol.

"También secuestraron cuentas de redes sociales para publicar contenido y enviar mensajes haciéndose pasar por la víctima".

Se han dirigido a "numerosas víctimas a lo largo de 2020, incluidas personas influyentes conocidas, estrellas del deporte, músicos y sus familias", agregó la Agencia Nacional contra el Crimen del Reino Unido (NCA).

Se cree que los SIM hijackers han robado más de $ 100 millones en criptomonedas durante 2020, de miles de víctimas, incluidas estrellas del deporte, personas influyentes de Internet, músicos y sus familias.

La red criminal se descubrió después de una operación conjunta de un año con agentes de la NCA del Reino Unido, el Servicio Secreto de los EE. UU., Investigaciones de Seguridad Nacional, el FBI y la Oficina del Fiscal de Distrito de Santa Clara, California.



Defensa contra ataques de intercambio de SIM

Europol también ha compartido medidas que se pueden tomar para evitar que los secuestradores de tarjetas SIM, le roben sus credenciales y le bloqueen sus cuentas.

Para adelantarse a cualquier intento de intercambio de SIM, Europol le recomienda:

• Mantenga actualizado el software de sus dispositivos
• No haga clic en enlaces, ni descargue archivos adjuntos que vengan con correos electrónicos inesperados
• No responda a correos electrónicos sospechosos, ni interactúe por teléfono con personas que llaman solicitando su información personal
• Limite la cantidad de datos personales que comparte en línea
• Intente utilizar la autenticación de dos factores para sus servicios en línea, en lugar de que le envíen un código de autenticación por SMS
• Cuando sea posible, no asocie su número de teléfono con cuentas en línea confidenciales
• Configure su propio PIN para restringir el acceso a la tarjeta SIM. No comparta este PIN con nadie.

También debe comunicarse de inmediato con su proveedor y el banco si detecta alguna actividad sospechosa en su cuenta bancaria cada vez que pierde la conectividad móvil donde normalmente no tiene problemas.

Dependiendo de lo que digan su proveedor y su banco, es posible que deba cambiar rápidamente las contraseñas de su cuenta en línea para evitar un mayor compromiso, si los estafadores transfirieron su número a un dispositivo controlado por un atacante.

El FBI emitió una alerta de intercambio de SIM, con orientación sobre cómo defenderse contra tales ataques, luego de un aumento en la cantidad de ataques de robo de SIM.

La FTC también brinda información sobre cómo mantener segura la información personal en línea y cómo proteger la información personal en su teléfono.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sí, solo debe actualizar la versión:

"Los administradores del sistema que usan Sudo para delegar privilegios de root a sus usuarios deben actualizar inmediatamente a sudo 1.9.5p2 o posterior tan pronto como sea posible."

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los expertos en seguridad llevan mucho tiempo preocupados de que los avances en la computación cuántica pudieran eventualmente facilitar la ruptura del cifrado que protege la privacidad de los datos de las personas. Esto se debe a que estas máquinas sofisticadas pueden realizar cálculos a velocidades imposibles para las computadoras convencionales, lo que potencialmente les permite descifrar códigos que antes se consideraban indescifrables.

Ya en un comunicado emitido en 2018 por Treadwell Stanton DuPont, afirmaba que sus laboratorios de investigación habían roto con éxito el algoritmo hash SHA256 de 64.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nada pasó.

Ahora, una empresa de tecnología suiza dice haber logrado un gran avance al utilizar computadoras cuánticas para descubrir vulnerabilidades en el cifrado de uso común. La compañía cree que ha encontrado una debilidad de seguridad que podría poner en peligro la confidencialidad de los datos de Internet, las transacciones bancarias y los correos electrónicos del mundo.

Terra Quantum AG habría descubierto la vulnerabilidad en el cifrado AES que puede ser descifrada usando las computadoras cuánticas a través del método Quantum Annealing.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Utilizando esta técnica, los científicos han concluido que, incluso el cifrado AES, puede ser descifrado por computadoras cuánticas.
El problema principal es que dentro de unos años todo el mundo podrá acceder a ellas.

La compañía dice que ha logrado un gran avance al usar ordenadores cuánticos para descubrir vulnerabilidades en el cifrado ampliamente utilizado.

La empresa declaró que su descubrimiento "cambia la comprensión actual de lo que constituye un cifrado irrompible". Además, podría tener graves consecuencias para las principales organizaciones.

Pero algunos otros expertos en seguridad dijeron que aún no están listos para declarar un gran avance, al menos no hasta que la compañía publique todos los detalles de su investigación.

"Si es cierto, este sería un gran resultado", dijo Brent Waters, profesor de informática que se especializa en criptografía en la Universidad de Texas en Austin. "Parece algo improbable a primera vista. Sin embargo, es bastante difícil para los expertos opinar sobre algo sin que se publique".

Terra Quantum actualmente está buscando una patente para un nuevo protocolo: distribución de claves cuánticas (quantum key distribution), que la empresa pondría a disposición de todo el mundo de forma gratuita.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Terra Quantum cuenta con un equipo de unos 80 físicos cuánticos, criptógrafos y matemáticos, que se encuentran en Suiza, Rusia, Finlandia y EE.UU.

"Lo que actualmente se considera seguro post-cuántico no es seguro post-cuántico", dijo Markus Pflitsch , director ejecutivo y fundador de la empresa, en una entrevista.
"Podemos mostrar y hemos demostrado que no es seguro y se puede hackear".

Pflitsch fundó la empresa en 2019. Es un ex ejecutivo financiero que comenzó su carrera como científico investigador en el CERN, la Organización Europea para la Investigación Nuclear.

La investigación de Terra Quantum está dirigida por dos directores de tecnología: Gordey Lesovik, jefe del Laboratorio de Tecnología de la Información Cuántica en el Instituto de Física y Tecnología de Moscú; y Valerii Vinokur, un físico con sede en Chicago que en 2020 ganó el Premio Fritz London Memorial por su trabajo en materia condensada y física teórica.

Vinokur dijo en una entrevista que el equipo de Terra Quantum hizo el descubrimiento después de corroborar cómo invertir una "función hash".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La investigación mostrará que "lo que alguna vez se creía irrompible ya no existe. Este hallazgo significa que pronto se pueden encontrar miles de otras formas".

El portavoz de IBM, Christopher Sciacca, dijo que su empresa conoce los riesgos desde hace 20 años y está trabajando en sus propias soluciones para abordar el problema de la seguridad post-cuántica.

"Es por eso que el Instituto Nacional de Ciencia y Tecnología (NIST) ha estado presentando un desafío para desarrollar un nuevo estándar de cifrado cuántico seguro. IBM tiene varias propuestas para este nuevo estándar en la ronda final, que se espera en unos años".

Brian LaMacchia, ingeniero distinguido de Microsoft, dijo que los criptógrafos de la empresa están colaborando con la comunidad criptográfica global para preparar a los clientes y los centros de datos para un futuro cuántico.

"Prepararse para la seguridad en un mundo post-cuántico es importante no solo para proteger y asegurar los datos en el futuro, sino también para garantizar que las futuras computadoras cuánticas no sean una amenaza para la seguridad a largo plazo de la información actual".

Fuente:

Compendio vario sobre internet y elaborado por:

Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hijacker - All-in-One Wi-Fi Cracking Tools for Android

Review:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Download:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Condiciones que tienen que haber:
Saber

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha instado a sus clientes hoy, a instalar actualizaciones de seguridad para tres vulnerabilidades de TCP / IP de Windows calificadas como críticas y de alta gravedad lo antes posible.

Esta advertencia se emitió debido a un elevado riesgo de explotación y posibles ataques de denegación de servicio (DoS) que pronto podrían usar estos errores.

Las tres vulnerabilidades de seguridad de TCP / IP afectan a los equipos que ejecutan versiones de servidor y cliente de Windows a partir de Windows 7 y versiones posteriores.

Todos ellos son explotables de forma remota por atacantes no autenticados y se rastrean como CVE-2021-24074, CVE-2021-24094 y CVE-2021-24086.

Dos de ellos exponen los sistemas sin parchear a ataques de ejecución remota de código (RCE), mientras que el tercero permite a los atacantes activar un estado DoS, eliminando el dispositivo objetivo.

"Los exploits DoS para estos CVEs permitirían a un atacante remoto causar un error crítico en el sistema. Los clientes pueden recibir una pantalla azul en cualquier sistema Windows que esté expuesto directamente a Internet con un tráfico de red mínimo", dijo el equipo del Centro de Respuesta de Seguridad de Microsoft.

"Las dos vulnerabilidades de RCE son complejas, lo que dificulta la creación de exploits funcionales, por lo que es poco probable que ocurran a corto plazo".

"Creemos que los atacantes podrán crear vulnerabilidades de DoS más rápidamente y esperamos que los tres problemas pudieran explotarse con un ataque de DoS. Por lo tanto, recomendamos a los clientes que actúen rápidamente para aplicar las actualizaciones de seguridad de Windows este mes".

Soluciones alternativas también disponibles

Si bien Microsoft dice que es vital aplicar las actualizaciones de seguridad de hoy en todos los dispositivos Windows lo antes posible, la compañía también ofrece soluciones para aquellos que no pueden implementarlas de inmediato.

Redmond proporciona soluciones independientes de Protocolo de Internet versión 4 (IPv4) y Protocolo de Internet versión 6 (IPv6) para estos problemas de seguridad.

La solución de IPv4 requiere endurecimiento contra el uso del Enrutamiento de Origen (Source Routing), normalmente no permitido, en el estado predeterminado de Windows.

Las instrucciones detalladas disponibles en el aviso CVE-2021-24074 se pueden aplicar a través de la Política de Grupo o ejecutando un comando NETSH que no requerirá reiniciar la máquina parcheada.

Las soluciones provisionales de IPv6 requieren bloquear fragmentos de IPv6 que, desafortunadamente, pueden afectar negativamente a los servicios con dependencias de IPv6; la información sobre cómo aplicarlos está disponible en las advertencias CVE-2021-24094 y CVE-2021-24086.

"Las solicitudes de enrutamiento de origen IPv4 y los fragmentos de IPv6 se pueden bloquear en un dispositivo de borde, como un equilibrador de carga o un firewall", señaló Microsoft.

"Esta opción se puede utilizar para mitigar los sistemas con exposición de alto riesgo y luego permitir que los sistemas se parcheen siguiendo su cadencia estándar".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de desbordamiento de búfer recientemente descubierta en Linux SUDO también afecta la última versión de Apple macOS Big Sur, sin ningún parche disponible todavía.

Al explotar la falla "Baron Samedit", los usuarios estándar no root en Linux, y ahora en sistemas macOS, pueden ejecutar aplicaciones con privilegios de root.

La vulnerabilidad de sudo afecta la última versión de macOS

Esta semana, varios investigadores de seguridad han notado que la vulnerabilidad de escalada de privilegios sudo CVE-2021-3156 también afecta a la última versión de Apple macOS, Big Sur 11.2.

Si bien la vulnerabilidad se corrigió en varias distribuciones de Linux, incluidas Ubuntu, Debian y Fedora, según la divulgación del blog original de Qualys Research Team, aún no hay una solución disponible para macOS.

PoC exploits disponibles

Para demostrar la afirmación, el investigador Matthew Hickey (Hacker Fantastic), cofundador de Hacker House, codificó un exploit simplista de prueba de concepto (PoC) de menos de diez líneas que puede permitir a los usuarios estándar de macOS elevar sus privilegios a root.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otros PoC para la vulnerabilidad Baron Samedit también se han publicado para Ubuntu y otras distribuciones de Linux.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las distribuciones IBM AIX Unix también siguen siendo vulnerables a Baron Samedit.

Hickey declaró que había informado de la vulnerabilidad a Apple, pero que aún no se ha solucionado en la versión 11.2 de macOS Big Sur más reciente. Hickey recalcó además que no es posible que los usuarios de macOS actualicen SUDO ellos mismos debido a la función de seguridad de Protección de Integridad del Sistema de Apple.

El investigador también le dijo a ZDNet que las actualizaciones de seguridad del lunes de Apple no remediaba la vulnerabilidad.

Todavía no hay ningún parche disponible para los usuarios de macOS, y sigue siendo posible activar la vulnerabilidad en varias arquitecturas de sistemas, incluidos aarch64 y x86_64.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Realmente espero que 2021 termine siendo mucho mejor que 2020, porque 2020 ha sido terrible para todos nosotros.... ¡Les deseo a todos buena suerte aquí! todo estará bien.

Muy optimista...

Ya hay nuevas cepas del virus, en especial la sudafricana se está llevando a medio pueblo. Y las vacunas son agua con azúcar para calmar los nervios.

El rebrote en este 2021 es peor que el comienzo de la enfermedad.

Las personas están extenuadas y con las economías en números rojos. La vida se ha encarecido, y las solvencias han bajado.

A nivel de nación, las deudas sin pagar, y créditos están por las nubes.

Así que... si sumamos...el asunto podría tornarse serio (en el mejor de los casos):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Todo no estará bien...

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace poco menos de un mes un fallo en Facebook permitía ver el número de teléfono vinculado a cada cuenta. Esto permitió crear una base de datos con más de 500 millones de usuarios con sus números de teléfono asociados.

La empresa de seguridad Hudson Rock ha avisado de que se ha creado un bot que permite consultar directamente sobre la base de datos con todos estos números vinculados a sus cuentas respectivas. El servicio que ofrece el bot es de pago según comenta Alon Gal en su cuenta de Twitter, una práctica poco confiable que podría ser utilizado para fines no legítimos.

Hudson Rock ha filtrado la cantidad de números robados y comentan que hay personas de más de 100 países afectadas.
De España encontramos 11 millones de números, Chile con casi 7 millones y Alemania con 6 millones.
El mayor afectado es Italia con más de 35 millones.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Con estos datos es posible acceder a determinadas cuentas de usuarios de la red social.
El bot permite a los usuarios introducir un número de teléfono para recibir el ID de Facebook del usuario correspondiente, o viceversa.
Según la web Vice, el autor es de un foro cibercriminal, y permite ver los números de teléfono robados, con previo pago de dinero, a quien desee.

Se creía que la brecha de seguridad fue parcheada pero el problema aún sigue vigente. Sería recomendable que Facebook avisase a sus usuarios sobre esta vulnerabilidad para reducir las posibilidades de que estos sean víctimas de ataques de cibercrimen o ingeniería social.

Fuente:
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Porque no tiene ni el certificado, ni la reputación.

Por lo general los servidores para phishing tiene un certificado de cierta trayectoria, que valida su reputación ante las principales compañías que administran la seguridad de internet.

Hay manipulaciones muy ingeniosas (ya parcheadas pero ilustra el cómo):

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Por cierto, muy gracioso lo del "phishing ético".

Por eso no basta tener las claves en cuanto a las principales Redes Sociales: Facebook, Twitter, etc.; y aún con muchos otros servicios de compañías de valía.

Debe obtener todo el ID del usuario, sino pide verificación.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de Sudo, ahora corregida, permitió a cualquier usuario local obtener privilegios de root en sistemas operativos similares a Unix sin requerir autenticación.

Sudo es un programa Unix que permite a los administradores del sistema proporcionar privilegios de root limitados a los usuarios normales que aparecen en el archivo sudoers, mientras que al mismo tiempo mantienen un registro de su actividad.

Funciona según el principio de privilegio mínimo, en el que el programa otorga a las personas los permisos necesarios para realizar su trabajo sin comprometer la seguridad general del sistema.

Al ejecutar comandos en un sistema operativo similar a Unix, los usuarios sin privilegios pueden usar el comando sudo (superuser do) para ejecutar comandos como root si tienen permiso o conocen la contraseña del usuario root; root es el superusuario del sistema, una cuenta especial de administración del sistema.

Sudo también se puede configurar para permitir que los usuarios normales ejecuten comandos como cualquier otro usuario al incluir directivas especiales en el archivo de configuración de sudoers.

Privilegios de root para cualquier usuario local

La vulnerabilidad de escalada de privilegios de Sudo rastreada como CVE-2021-3156 (también conocida como Baron Samedit) fue descubierta por investigadores de seguridad de Qualys, quienes la revelaron el 13 de enero y se aseguraron de que los parches estén disponibles antes de hacer públicos sus hallazgos.

Según los investigadores de Qualys, el problema es un desbordamiento de búfer basado en el montón explotable por cualquier usuario local (usuarios normales y usuarios del sistema, enumerados en el archivo sudoers o no), y no se requiere que los atacantes conozcan la contraseña del usuario para explotar con éxito la falla.

El desbordamiento del búfer que permite a cualquier usuario local obtener privilegios de root se activa cuando Sudo elimina incorrectamente las barras diagonales inversas en los argumentos.

"Normalmente, sudo escapa de los caracteres especiales cuando se ejecuta un comando a través de un shell (sudo -s o sudo -i)", se lee en el registro de cambios 1.9.5p2.

"Sin embargo, también era posible ejecutar sudoedit con los indicadores -s o -i, en cuyo caso no se había realizado ningún escape, haciendo posible un desbordamiento del búfer".

Qualys creó tres exploits CVE-2021-3156 para mostrar cómo los atacantes potenciales pueden abusar con éxito de esta vulnerabilidad.

Usando estos exploits, los investigadores pudieron obtener privilegios de root completos en múltiples distribuciones de Linux, incluyendo Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) y Fedora 33 (Sudo 1.9.2).

Otros sistemas operativos y distribuciones compatibles con Sudo probablemente también sean explotables utilizando exploits CVE-2021-3156 según Qualys.

Más detalles técnicos sobre cómo se puede explotar CVE-2021-3156 están disponibles en el aviso de seguridad CVE-2021-3156 de Qualys publicado el martes.

A continuación, se incluye una demostración en video de cómo se puede explotar la vulnerabilidad crítica CVE-2021-3156.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fallo del barón Samedit solucionado antes de la divulgación

La vulnerabilidad se introdujo en el programa Sudo hace casi 9 años, en julio de 2011, con el compromiso 8255ed69, y afecta las configuraciones predeterminadas de todas las versiones estables desde 1.9.0 a 1.9.5p1 y todas las versiones heredadas desde 1.8.2 a 1.8.31p2 .

Los colaboradores de Sudo han solucionado la vulnerabilidad en la versión de sudo 1.9.5p2 lanzada hoy, al mismo tiempo que Qualys reveló públicamente sus hallazgos.

Para probar si su sistema es vulnerable, debe iniciar sesión como usuario no root y ejecutar el comando "sudoedit -s /". Los sistemas vulnerables arrojarán un error que comienza con "sudoedit:" mientras que los parcheados mostrarán un error que comenzará con "uso:".

Los administradores del sistema que usan Sudo para delegar privilegios de root a sus usuarios deben actualizar inmediatamente a sudo 1.9.5p2 o posterior tan pronto como sea posible.

En 2019, otra vulnerabilidad de Sudo, registrada como CVE-2019-14287, permitió a los usuarios sin privilegios ejecutar comandos como root.

Afortunadamente, esa falla solo se podía aprovechar en configuraciones no estándar, lo que significaba que la mayoría de los sistemas que ejecutaban versiones vulnerables de Sudo no se veían afectados.


Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad de AT&T Alien Labs han descubierto que el grupo de ciberdelincuencia TeamTNT actualizó su cripto minería Linux con capacidades de evasión de detección de código abierto.

TeamTNT es principalmente conocido por apuntar y comprometer instancias de Docker expuestas a Internet para minería no autorizada de Monero (XMR).

Sin embargo, el grupo también ha cambiado de táctica al actualizar su malware de criptojacking de Linux llamado Black-T para recopilar también las credenciales de usuario de los servidores infectados.

TeamTNT ahora actualizó aún más su malware para evadir la detección después de infectar e implementar cargas útiles de minero de monedas maliciosas en dispositivos Linux.

Ocultos a plena vista

"El grupo está utilizando una nueva herramienta de evasión de detección, copiada de repositorios de código abierto", dice el investigador de seguridad de AT&T Alien Labs, Ofer Caspi, en un informe publicado hoy.

Esta herramienta se conoce como libprocesshider y es una herramienta de código abierto disponible en Github que se puede utilizar para ocultar cualquier proceso de Linux con la ayuda del preloader de ld.

"El objetivo de la nueva herramienta es ocultar el proceso malicioso de los programas de información del proceso como` ps` y `lsof`, actuando efectivamente como una técnica de evasión de defensa", agregó Caspi.

La herramienta de detección de evasión se implementa en sistemas infectados como un script bash codificado en base64 incrustado en el binario TeamTNT ircbot o cryptominer.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vez que el script se inicia en una máquina comprometida, ejecutará una serie de tareas que le permitirán:

     Modifique la configuración de DNS de la red.
     Establezca la persistencia a través de systemd.
     Suelta y activa la nueva herramienta como servicio.
     Descargue la última configuración del bot de IRC.
     Evidencia clara de actividades para complicar las posibles acciones de los defensores.

Después de seguir todos los pasos, el malware Black-T también borrará automáticamente todos los rastros de actividad maliciosa al eliminar el historial de bash del sistema.

"Mediante el uso de libprocesshider, TeamTNT una vez más expande sus capacidades en base a las herramientas de código abierto disponibles", concluyó Caspi.

"Si bien la nueva funcionalidad de libprocesshider es evadir la detección y otras funciones básicas, actúa como un indicador a considerar cuando se busca actividad maliciosa en el nivel del host".

Actualizaciones de botnet

MalwareHunterTeam descubrió por primera vez la botnet de minería de criptomonedas en mayo de 2020 y luego fue analizada por Trend Micro, que descubrió su afinidad con Docker.

Después de que el malware infecta un servidor mal configurado, se implementará en nuevos contenedores y soltará un binario de carga útil malicioso que comienza a extraer la criptomoneda Monero (XMR).

En agosto, Cado Security descubrió la nueva función de recolección de credenciales de AWS del gusano TeamTNT, lo que la convierte en la primera botnet de criptojacking con esta capacidad.

Un mes después, Intezer observó el malware mientras implementaba la herramienta legítima de código abierto Weave Scope para tomar el control de la infraestructura en la nube Docker, Kubernetes, Distributed Cloud Operating System (DC / OS) o AWS Elastic Compute Cloud (ECS) de las víctimas. .

A principios de este mes, TeamTNT comenzó a usar el cargador de memoria y el criptográfico Ezuri de código abierto para hacer que su malware sea virtualmente indetectable por los productos antivirus.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login