Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Temas - AXCESS

Páginas: 1 [2] 3 4 ... 28
21
You are not allowed to view links. Register or Login

Hackers (White Hat) ganaron 1,88 millones de dólares en el concurso de hacking de la Copa Tianfu en China, al encontrar vulnerabilidades en software populares. Incluso hackearon un iOS 15 completamente parcheado que se ejecuta en iPhone 13.

La Copa Tianfu es el concurso de hacking más importante celebrado en China. La edición de este año tuvo lugar los días 16 y 17 de octubre en la ciudad de Chengdu y los participantes tuvieron tres intentos de 5 minutos para demostrar sus hazañas.

You are not allowed to view links. Register or Login

El ganador es la empresa de seguridad Kunlun Lab, que ganó U$S 654.500 con el asombroso experto @mj0011 CEO de Cyber-Kunlun & Kunlun Lab y ex CTO de Qihoo360 y fundador del equipo 360Vulcan.

You are not allowed to view links. Register or Login

La edición de este año incluyó una lista de 16 posibles objetivos, los participantes demostraron con éxito exploits contra 13 de ellos:

•   Windows 10: 5 veces
•   Adobe PDF Reader - 4 veces
•   Ubuntu 20 - 4 veces
•   Parallels VM - 3 veces
•   iOS 15 - 3 veces
•   Apple Safari - 2 veces
•   Google Chrome - 2 veces
•   Enrutador ASUS AX56U - 2 veces
•   Docker CE - 1 vez
•   VMWare ESXi - 1 vez
•   Estación de trabajo VMWare - 1 vez
•   qemu VM - 1 vez
•   Microsoft Exchange: 1 vez

You are not allowed to view links. Register or Login

Uno de los exploits demostrados en el concurso atrajo inmediatamente la atención de los medios de comunicación: es un exploit de ejecución remota de código sin hacer clic contra un iOS 15 completamente parcheado que se ejecuta en el último iPhone 13.

El Chian Pangu ganó el bono individual más alto de la historia en esta competencia por este exploit, U$S 300.000.

Los participantes también demostraron una cadena de exploits de ejecución remota de código contra Google Chrome, esta es la primera vez que se demostró este tipo de exploit en la Copa Tianfu.

Fuente:
Security Affairs
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

22
You are not allowed to view links. Register or Login

Los investigadores han demostrado que es posible entrenar un algoritmo de aprendizaje profundo de propósito especial que puede adivinar los PIN de tarjetas de 4 dígitos el 41% del tiempo, incluso si la víctima está cubriendo el teclado con las manos.

El ataque requiere la configuración de una réplica del cajero automático objetivo porque entrenar el algoritmo para las dimensiones específicas y el espaciado de teclas de los diferentes PIN pads es de crucial importancia.

A continuación, el modelo de aprendizaje automático está capacitado para reconocer las pulsaciones de la almohadilla y asignar probabilidades específicas en un conjunto de conjeturas, utilizando un video de personas que escriben PIN en la almohadilla del cajero automático.

You are not allowed to view links. Register or Login

Para el experimento, los investigadores recopilaron 5.800 videos de 58 personas diferentes de diversos grupos demográficos, ingresando PIN de 4 y 5 dígitos.

La máquina que ejecutó el modelo de predicción fue un Xeon E5-2670 con 128 GB de RAM y tres Tesla K20m con 5 GB de RAM cada uno.

Al utilizar tres intentos, que suele ser el número máximo permitido de intentos antes de que se retenga la tarjeta, los investigadores reconstruyeron la secuencia correcta para los PIN de 5 dígitos el 30% del tiempo y alcanzaron el 41% para los PIN de 4 dígitos.

El modelo puede excluir teclas basándose en la cobertura de la mano que no escribe y deduce los dígitos presionados de los movimientos de la otra mano evaluando la distancia topológica entre dos teclas.

La ubicación de la cámara que captura los intentos, juega un papel clave, especialmente si se graba a personas zurdas o diestras. Se determinó que ocultar una cámara en la parte superior del cajero automático era el mejor enfoque para el atacante.

Si la cámara también es capaz de capturar audio, el modelo también podría usar la retroalimentación de sonido al presionar que es ligeramente diferente para cada dígito, lo que hace que las predicciones sean mucho más precisas.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

23
You are not allowed to view links. Register or Login

Microsoft ha pedido a los administradores de sistemas que parcheen PowerShell 7 contra dos vulnerabilidades que permitan a los atacantes eludir las implementaciones del Control de aplicaciones de Windows Defender (WDAC) y obtener acceso a credenciales de texto sin formato.

PowerShell es una solución multiplataforma que proporciona un shell de línea de comandos, un marco y un lenguaje de scripting centrado en la automatización para procesar cmdlets de PowerShell.

Redmond lanzó PowerShell 7.0.8 y PowerShell 7.1.5 para abordar estas fallas de seguridad en las ramas de PowerShell 7 y PowerShell 7.1 en septiembre y octubre.

Contraseñas filtradas y omisión de WDAC

WDAC está diseñado para proteger los dispositivos Windows contra software potencialmente malicioso al garantizar que solo se puedan ejecutar aplicaciones y controladores confiables, bloqueando así el lanzamiento de malware y software no deseado.

Cuando la capa de seguridad WDAC basada en software está habilitada en Windows, PowerShell pasa automáticamente al modo de lenguaje restringido, restringiendo el acceso solo a un conjunto limitado de la API de Windows.

Al explotar la vulnerabilidad de omisión de la función de seguridad de control de aplicaciones de Windows Defender rastreada como CVE-2020-0951, los actores de amenazas pueden eludir la lista de permisos de WDAC, que les permite ejecutar comandos de PowerShell que de otro modo se bloquearían cuando WDAC está habilitado.

"Para aprovechar la vulnerabilidad, un atacante necesita acceso de administrador en una máquina local donde se ejecuta PowerShell. El atacante podría conectarse a una sesión de PowerShell y enviar comandos para ejecutar código arbitrario", explica Microsoft.

La segunda falla, rastreada como CVE-2021-41355, es una vulnerabilidad de divulgación de información en .NET Core donde las credenciales podrían filtrarse en texto sin cifrar en dispositivos que ejecutan plataformas que no son Windows.

"Existe una vulnerabilidad de divulgación de información en .NET donde System.DirectoryServices.Protocols.LdapConnection puede enviar credenciales en texto plano en sistemas operativos que no son Windows", dijo Microsoft.

Cómo saber si está afectado

La vulnerabilidad CVE-2020-0951 afecta a las versiones de PowerShell 7 y PowerShell 7.1, mientras que CVE-2021-41355 solo afecta a los usuarios de PowerShell 7.1.

Para verificar la versión de PowerShell que está ejecutando y determinar si es vulnerable a los ataques que explotan estos dos errores, puede ejecutar el comando pwsh -v desde un símbolo del sistema.

Microsoft dice que actualmente no hay medidas de mitigación disponibles para bloquear la explotación de estas fallas de seguridad.

Se recomienda a los administradores que instalen las versiones actualizadas de PowerShell 7.0.8 y 7.1.5 lo antes posible para proteger los sistemas de posibles ataques.

"Se recomienda a los administradores del sistema que actualicen PowerShell 7 a una versión que no se vea afectada", agregó Microsoft.
En julio, Microsoft advirtió sobre otra vulnerabilidad de ejecución remota de código .NET Core de alta gravedad en PowerShell 7.

Microsoft anunció recientemente que facilitaría la actualización de PowerShell para los clientes de Windows 10 y Windows Server al lanzar actualizaciones futuras a través del servicio Microsoft Update.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

24
You are not allowed to view links. Register or Login

MOSCÚ, 14 oct (Reuters) - El presidente ruso Vladimir Putin dijo que las criptomonedas eran demasiado inestables para ser utilizadas para liquidar contratos petroleros, pero que aún merecían un lugar como medio de pago.

El líder ruso hizo los comentarios en una entrevista con CNBC que se publicó en el sitio web del Kremlin el jueves. Se le preguntó si podía ver los contratos petroleros denominados en criptomonedas en lugar de dólares en el futuro.

Rusia ha estado tratando durante años de reducir su dependencia del dólar estadounidense, que se usa ampliamente para liquidar contratos petroleros, pero no ha logrado lograrlo a gran escala a pesar de que algunas empresas han cambiado a la comercialización de productos básicos en euros.

"Es demasiado pronto para hablar de eso por ahora porque la criptomoneda puede, por supuesto, ser una unidad de pago, pero es muy inestable. Transferir fondos de un lugar a otro, sí, pero creo que aún es prematuro comerciar, especialmente intercambiar energía y recursos ", dijo Putin.

Rusia introdujo la regulación de las criptomonedas este año y ha hecho que sea ilegal pagar bienes y servicios en criptomonedas en el país, aunque es legal invertir en ellas.

"Tiene un lugar para existir y se puede utilizar como medio de pago, por supuesto, pero el comercio de petróleo, digamos, u otras materias primas y fuentes de energía, todavía me parece que es un poco pronto para hablar de esto ", dijo Putin.

El banco central ha dicho que los rusos que invierten en criptomonedas tienen el potencial de convertirse en un problema importante. Señala la falta de transparencia en los mercados de cifrado, así como los enormes riesgos involucrados debido a la volatilidad allí.

Aunque Rusia podría tomar medidas para prohibir las compras de criptomonedas, los rusos aún podrían comprar las monedas a través de intermediarios extranjeros, dijo el banco.

Fuente:
Reuters
You are not allowed to view links. Register or Login

25
You are not allowed to view links. Register or Login

Apple ha solucionado silenciosamente una vulnerabilidad de día cero 'gamed' con el lanzamiento de iOS 15.0.2, el lunes, una falla de seguridad que podría permitir a los atacantes obtener acceso a información confidencial de los usuarios.

La compañía abordó el error sin reconocer ni acreditar al desarrollador de software Denis Tokarev (Illusion Of Chaos – Twitter) por el descubrimiento, a pesar de que informó sobre el error siete meses antes del lanzamiento de iOS 15.0.2.

No acreditar los informes de errores


En julio, Apple también reparó silenciosamente una falla de día cero 'analítica' con el lanzamiento de 14.7 sin acreditar a Tokarev en el aviso de seguridad, en lugar de prometer reconocer su informe en los avisos de seguridad para una próxima actualización.

Desde entonces, Apple publicó múltiples advertencias de seguridad (iOS 14.7.1, iOS 14.8, iOS 15.0 e iOS 15.0.1) que abordan las vulnerabilidades de iOS pero, cada vez, fallaron en acreditar su informante de errores.

"Debido a un problema de procesamiento, su crédito se incluirá en los avisos de seguridad en una próxima actualización. Nos disculpamos por las molestias", le dijo Apple cuando se le preguntó por qué la lista de errores de seguridad de iOS corregidos no incluía su día cero.

Hace dos días, después del lanzamiento de iOS 15.0.2, Tokarev volvió a enviar un correo electrónico sobre la falta de crédito por las fallas de juego y análisis en los avisos de seguridad. Apple respondió, pidiéndole que tratara el contenido de su intercambio de correo electrónico como confidencial.

Esta no sería la primera vez que el equipo de seguridad de Apple solicita confidencialidad: la primera vez sucedió en agosto, cuando le dijeron que el día cero “gamed” se solucionaría en una futura actualización de seguridad y se le instó a no divulgar el error públicamente.

"A fin de cuentas, tratan la vulnerabilidad de los juegos un poco mejor que la analítica, al menos no me ignoran y me mienten esta vez", dijo Tokarev.

You are not allowed to view links. Register or Login

Otros cazarrecompensas de errores e investigadores de seguridad también han informado que han tenido experiencias similares al informar vulnerabilidades al equipo de seguridad de productos de Apple a través del Programa de recompensas de seguridad de Apple.

Algunos dijeron que los errores informados a Apple se solucionaron en silencio, y la compañía no les dio crédito, tal como sucedió en este caso.

A otros no se les pagó la cantidad que figura en la página oficial de recompensas de Apple o no han recibido ningún pago, mientras que algunos se han mantenido en la oscuridad durante meses sin respuestas a sus correos electrónicos.

Quedan dos días cero para parchear (silenciosamente)


En total, Tokarev encontró cuatro días cero de iOS y los informó a Apple entre el 10 de marzo y el 4 de mayo. En septiembre, publicó un código de explotación (prueba de concepto) y detalles sobre todas las vulnerabilidades de iOS después de que la compañía no lo acreditara después de parchear  el día cero en julio.

Si los atacantes aprovecharan con éxito las cuatro vulnerabilidades en dispositivos iOS sin parchear (es decir, iPhones y iPads), podrían obtener acceso y recopilar correos electrónicos de ID de Apple, nombres completos, tokens de autenticación de ID de Apple, información de aplicaciones instaladas, información de WiFi y registros de análisis (incluidos información médica y de dispositivos).

La lista completa de días cero de iOS informados por Tokarev incluye:

    - Día 0 en juego (solucionado en iOS 15.0.2): error explotable a través de aplicaciones instaladas por el usuario desde App Store y dando acceso no autorizado a datos confidenciales normalmente protegidos por un mensaje de TCC o the platform sandbox de la plataforma ($ 100,000 en la página del Programa de recompensas de seguridad de Apple)

   -  Nehelper Enumerate Installed Apps 0-day (iOS 15.0): permite que cualquier aplicación instalada por el usuario determine si alguna aplicación está instalada en el dispositivo dado su ID de paquete.

   -  Nehelper Wifi Info 0-day (iOS 15.0): hace posible que cualquier aplicación que califique (por ejemplo, que posea autorización de acceso a la ubicación) obtenga acceso a la información de Wifi sin la autorización requerida.

   -  Analyticsd (corregido en iOS 14.7): permite que cualquier aplicación instalada por el usuario acceda a los registros de análisis.

"Vimos la publicación de su blog con respecto a este problema y sus otros informes. Nos disculpamos por la demora en responderle", dijo Apple a Tokarev 24 horas después de publicar los días cero y el código de explotación en su blog.

"Queremos informarle que todavía estamos investigando estos problemas y cómo podemos abordarlos para proteger a los clientes. Gracias nuevamente por tomarse el tiempo para informarnos sobre estos problemas. Agradecemos su ayuda".

Apple también ha corregido una segunda vulnerabilidad de día cero en iOS 15.0.2 y iPadOS 15.0.2, explotada activamente en la naturaleza para atacar iPhones y iPads.

Este error, registrado como CVE-2021-30883, es una falla crítica de corrupción de memoria en IOMobileFrameBuffer, que permite que aplicaciones maliciosas ejecuten comandos en dispositivos vulnerables con privilegios de kernel.

Apple no ha respondido a los correos electrónicos enviados desde el 24 de septiembre, solicitando una declaración oficial y más detalles.

Fuente
:
BleepingComputer
You are not allowed to view links. Register or Login

26
Noticias Informáticas / Nuevo ransomware Yanluowang
« en: Octubre 14, 2021, 11:29:55 pm »
You are not allowed to view links. Register or Login

Una nueva variedad de ransomware, que aún está en desarrollo, se está utilizando en ataques altamente dirigidos contra entidades empresariales, como descubrió el equipo de Symantec Threat Hunter de Broadcom.

El malware, denominado ransomware Yanluowang (en honor a una deidad china Yanluo Wang, uno de los diez reyes del infierno) se basa en la extensión que agrega a los archivos cifrados en los sistemas comprometidos.

Recientemente se detectó mientras se investigaba un incidente que involucraba a una organización de alto perfil después de detectar una actividad sospechosa que involucraba la herramienta legítima de consulta de Active Directory de línea de comandos AdFind.

Los operadores de ransomware suelen utilizar AdFind para tareas de reconocimiento, incluido el acceso a la información necesaria para el movimiento lateral a través de las redes de sus víctimas.

Se advirtió a las víctimas que no pidieran ayuda

A los pocos días de que los investigadores detectaran el uso sospechoso de AdFind, los atacantes también intentaron implementar sus cargas útiles de ransomware Yanluowang en los sistemas de la organización vulnerada.

Antes de ser implementado en dispositivos comprometidos, los operadores de ransomware lanzan una herramienta maliciosa diseñada para llevar a cabo las siguientes acciones:

   -  Crea un archivo .txt con la cantidad de máquinas remotas para verificar en la línea de comando

   -  Utiliza Instrumental de administración de Windows (WMI) para obtener una lista de los procesos que se ejecutan en las máquinas remotas enumeradas en el archivo .txt

   -  Registra todos los procesos y nombres de máquinas remotas en process.txt

Una vez implementado, Yanluowang detendrá las máquinas virtuales del hipervisor, finalizará todos los procesos recolectados por la herramienta precursora (incluidos SQL y Veeam), encriptará archivos y agregará la extensión .yanluowang.

En los sistemas encriptados, Yanluowang también deja caer una nota de rescate llamada README.txt que advierte a sus víctimas que no se comuniquen con las fuerzas del orden o pidan ayuda a las firmas de negociación de ransomware.

Amenazas de ataques DDoS


"Si se rompen las reglas de los atacantes, los operadores de ransomware dicen que llevarán a cabo ataques distribuidos de denegación de servicio (DDoS) contra la víctima, así como que harán 'llamadas a empleados y socios comerciales'", agregaron los investigadores de Broadcom.

"Los delincuentes también amenazan con repetir el ataque" en unas pocas semanas "y eliminar los datos de la víctima", una táctica común utilizada por la mayoría de las bandas de ransomware para presionar a sus víctimas para que paguen el rescate.

Los indicadores de compromiso, incluidos los hash de malware, se pueden encontrar al final del informe del equipo de Symantec Threat Hunter:

You are not allowed to view links. Register or Login

Aunque está en desarrollo, Yanluowang sigue siendo un malware peligroso dado que el ransomware es una de las mayores amenazas a las que se enfrentan las organizaciones en todo el mundo.

El Consejo de Seguridad Nacional de la Casa Blanca facilita esta semana una serie de reuniones entre altos funcionarios de más de 30 países en un evento virtual internacional contra el ransomware para unirse a los esfuerzos de Estados Unidos para acabar con los grupos de delitos informáticos de ransomware.

Después de los ataques de ransomware contra Colonial Pipeline y JBS este verano, la asesora adjunta de seguridad nacional Anne Neuberger también les dijo a las empresas estadounidenses que se tomaran en serio al ransomware.

Fuente:
Symantec Threat Hunter
You are not allowed to view links. Register or Login

Vía:
BleepingComputer
You are not allowed to view links. Register or Login

27
You are not allowed to view links. Register or Login

Un equipo de investigadores universitarios del Reino Unido (University of Edinburgh, UK 2Trinity College Dublin, Ireland) ha publicado un estudio que pone de manifiesto los problemas de privacidad que surgen al utilizar smartphones Android.

Los expertos se han centrado en los dispositivos Android de Samsung, Xiaomi, Realme y Huawei, así como en LineageOS y /e/OS, dos forks de Android que pretenden ofrecer un soporte a largo plazo y una experiencia sin Google.
 
Con la excepción de /e/OS, el resto de variantes de Android transmiten cantidades sustanciales de información al desarrollador del sistema operativo y también a terceros (Google, Microsoft, LinkedIn, Facebook, etc.) cuyas aplicaciones vienen preinstaladas, incluso cuando están mínimamente configuradas y el teléfono está en reposo.
 
Como indica la siguiente tabla resumen, los datos sensibles del usuario, como los identificadores persistentes, los detalles de uso de las aplicaciones y la información telemétrica, no sólo se comparten con los fabricantes del dispositivo, sino que también van a parar a varios terceros, como Microsoft, LinkedIn y Facebook.

You are not allowed to view links. Register or Login

Y para empeorar las cosas, Google aparece en el extremo receptor de todos los datos recogidos casi en toda la tabla. Es importante señalar que se trata de la recopilación de datos para la que no hay opción de exclusión, por lo que los usuarios de Android están indefensos ante este tipo de telemetría.
 
Esto es especialmente preocupante cuando los vendedores de teléfonos inteligentes incluyen aplicaciones de terceros que recopilan datos de forma silenciosa incluso si no son utilizadas por el propietario del dispositivo, y que no pueden ser desinstaladas.
 
En el caso de algunas de las aplicaciones integradas en el sistema, como miui.analytics (Xiaomi), Heytap (Realme) e Hicloud (Huawei), los investigadores descubrieron que los datos cifrados pueden descifrarse en ocasiones, lo que supone un riesgo para los ataques de tipo Man-in-the-Middle (MitM).

Como señala el estudio, incluso si el usuario restablece los identificadores publicitarios de su cuenta de Google en Android, el sistema de recogida de datos puede volver a vincular trivialmente el nuevo identificador al mismo dispositivo y añadirlo al historial de seguimiento original.
La mayoría de los usuarios de Android siguen atrapados en un flujo interminable de recopilación de datos, que es donde los reguladores y las organizaciones de protección de los consumidores tienen que intervenir y poner fin a esto.

Un portavoz de Google ha declarado lo siguiente sobre las conclusiones del estudio:

Aunque apreciamos el trabajo de los investigadores, no estamos de acuerdo en que este comportamiento sea inesperado: así es como funcionan los smartphones modernos.
Como se explica en nuestro artículo del Centro de ayuda de los servicios de Google Play, estos datos son esenciales para los servicios básicos del dispositivo, como las notificaciones push y las actualizaciones de software, en un ecosistema diverso de dispositivos y versiones de software.
Por ejemplo, los servicios de Google Play utilizan los datos de los dispositivos Android certificados para respaldar las funciones principales del dispositivo. La recopilación de información básica limitada, como el IMEI de un dispositivo, es necesaria para ofrecer actualizaciones críticas de forma fiable en todos los dispositivos y aplicaciones Android.


Fuente:
Hacking Land
You are not allowed to view links. Register or Login

28
You are not allowed to view links. Register or Login

Apple ha lanzado recientemente iOS 15.0.2 y iPadOS 15.0.2 para todos los iPhones y iPads compatibles, abordando una vulnerabilidad de día cero.
 
Como se detalla en su aviso, la vulnerabilidad, CVE-2021-30883, informada por un investigador anónimo, afecta a la mayoría de los dispositivos Apple más recientes.
 
El error generalmente afecta al kernel del sistema y podría permitir ataques de ejecución de código arbitrario. Al describir la vulnerabilidad, Apple declaró en el aviso:

Una aplicación puede ejecutar código arbitrario con privilegios del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente.

Apple corrigió este "problema de corrupción de memoria" mejorando el manejo de la memoria y lanzó la solución con actualizaciones de emergencia. Las últimas versiones están disponibles para iPhone 6 y posteriores, todos los modelos de iPad Pro, iPad de quinta generación y posteriores, iPad Air 2 y posteriores, iPad mini 4 y posteriores, y iPod touch de séptima generación.

Por ahora, Apple no ha compartido detalles sobre la vulnerabilidad para minimizar posibles exploits en la naturaleza y dar a los usuarios más tiempo para actualizar sus dispositivos.

No obstante, el investigador de seguridad Saar Amar ha profundizado sobre el error en una publicación reciente de blog.
Amar también ha compartido el exploit de PoC deducido después de aplicar ingeniería inversa al parche.

Según el investigador, esta vulnerabilidad potencialmente desencadena el jailbreak y funciona incluso para los dispositivos que ejecutan el último iOS 15.
 
Específicamente, Amar probó el exploit contra iOS 14.7.1 a 15.0.1 y encontró que funciona para todas las versiones. Si bien sospecha que el error podría existir en las versiones anteriores, no las probó.

Dada esta gravedad, los usuarios de iPhone y iPad deben actualizar sus dispositivos lo antes posible para evitar posibles ataques.

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login

29
You are not allowed to view links. Register or Login

La plataforma de alojamiento de código GitHub ha revocado las claves de autenticación SSH débiles que se generaron a través del cliente GUI de GitKraken git debido a una vulnerabilidad en una biblioteca de terceros que aumentó la probabilidad de claves SSH duplicadas.

Como medida de precaución adicional, la compañía propiedad de Microsoft también dijo que está creando salvaguardas para evitar que las versiones vulnerables de GitKraken agreguen claves débiles recién generadas.

La dependencia problemática, denominada "keypair", es una biblioteca de generación de claves SSH de código abierto que permite a los usuarios crear claves RSA para fines relacionados con la autenticación. Se ha descubierto que afecta a las versiones 7.6.x, 7.7.xy 8.0.0 de GitKraken, lanzadas entre el 12 de mayo de 2021 y el 27 de septiembre de 2021.

La falla, rastreada como CVE-2021-41117 (puntaje CVSS: 8.7), se refiere a un error en el generador de números pseudoaleatorios utilizado por la biblioteca, lo que resulta en la creación de una forma más débil de claves SSH públicas que, debido a su la baja medida de la aleatoriedad, podría aumentar la probabilidad de duplicación de claves.

"Esto podría permitir a un atacante descifrar mensajes confidenciales u obtener acceso no autorizado a una cuenta que pertenece a la víctima", dijo el mantenedor del par de claves Julian Gruber en un aviso publicado el lunes. Desde entonces, el problema se ha abordado en la versión 1.0.4 del par de claves y la versión 8.0.1 de GitKraken.

El ingeniero de Axosoft, Dan Suceava, ha sido reconocido por descubrir la debilidad de la seguridad, mientras que el ingeniero de seguridad de GitHub, Kevin Jones, ha sido reconocido por identificar la causa y la ubicación del código fuente del error. Al momento de escribir este artículo, no hay evidencia de que la falla haya sido explotada en la naturaleza para comprometer las cuentas.

Se recomienda encarecidamente a los usuarios afectados que revisen y "eliminen todas las claves SSH antiguas generadas por GitKraken almacenadas localmente" y "generen nuevas claves SSH utilizando GitKraken 8.0.1, o posterior, para cada uno de sus proveedores de servicios Git", como GitHub, GitLab y Bitbucket, entre otros.

Actualización: junto con GitHub, Microsoft Azure DevOps, GitLab y Atlassian Bitbucket también han iniciado revocaciones masivas de claves SSH conectadas a cuentas donde se usó el cliente GitKraken para sincronizar el código fuente, instando a los usuarios a revocar las claves públicas SSH y generar nuevas claves usando la versión actualizada de la aplicación.

Fuente:
GitHub
You are not allowed to view links. Register or Login

30
You are not allowed to view links. Register or Login

El Consejo de Seguridad Nacional de la Casa Blanca facilita reuniones virtuales esta semana con altos funcionarios y ministros de más de 30 países en un evento virtual internacional contra el ransomware para reunir aliados en la lucha contra esta amenaza.

Los pagos de ransomware divulgados públicamente han alcanzado más de $ 400 millones a nivel mundial en 2020 y más de $ 81 millones en el primer trimestre de 2021, según una hoja informativa publicada hoy por la Casa Blanca.

Reuniones virtuales internacionales contra el ransomware

El presidente Joe Biden anunció el 1 de octubre que EE. UU., reunirá a aliados y socios de 30 países para unir esfuerzos para acabar con los grupos de ransomware detrás de una serie de ataques que afectan a organizaciones de todo el mundo.
Las reuniones de la Iniciativa contra el ransomware se producen en respuesta a los ataques en curso, incluidos los ataques de ransomware en Colonial Pipeline, JBS Foods y Kaseya en los EE. UU., que han revelado vulnerabilidades importantes en la infraestructura crítica mundial.

"Estamos organizando, estamos facilitando una reunión virtual. A ella se unirán ministros y altos funcionarios de más de 30 países y de la Unión Europea para acelerar la cooperación para contrarrestar el ransomware", dijo un alto funcionario de la administración a los periodistas.

"La Iniciativa contra el ransomware se reunirá durante dos días, y los participantes cubrirán todo, desde los esfuerzos para mejorar la infraestructura nacional, hasta las experiencias que abordan el uso indebido de la moneda virtual para lavar los pagos de rescate, nuestros respectivos esfuerzos para interrumpir y enjuiciar a los delincuentes de ransomware y la diplomacia como una herramienta para contrarrestar  este delito".

Las áreas que se cubrirán durante las reuniones de esta semana se organizan en cuatro líneas de esfuerzo diferentes:

    - Interrumpir la infraestructura y los actores del ransomware: la Administración está aportando todo el peso de las capacidades del gobierno de los EE. UU., para interrumpir a los actores, facilitadores, redes e infraestructura financiera del ransomware;

    - Reforzar la infraestructura para resistir los ataques de ransomware: la administración ha pedido al sector privado que intensifique su inversión y se centre en las ciberdefensas para hacer frente a la amenaza. La Administración también ha delineado los umbrales de seguridad cibernética esperados para la infraestructura crítica e introducido requisitos de seguridad cibernética para la infraestructura de transporte crítica;

    - Abordar el abuso de moneda virtual para lavar pagos de rescate: la moneda virtual está sujeta a los mismos controles de Lucha contra el Lavado de Dinero y Contra el Financiamiento del Terrorismo (ALD / CFT) que se aplican a la moneda fiduciaria, y esos controles y leyes deben hacerse cumplir. La Administración está aprovechando las capacidades existentes y adquiriendo capacidades innovadoras para rastrear e interceptar los ingresos del ransomware; y

    - Aprovechar la cooperación internacional para perturbar el ecosistema de ransomware y abordar los puertos seguros para los delincuentes: los estados responsables no permiten que los delincuentes operen con impunidad desde dentro de sus fronteras.

En julio, Interpol también instó a las agencias policiales y socios de la industria de todo el mundo a luchar juntos contra la amenaza del ransomware después de que los líderes del G7 pidieran a Rusia que interrumpiera las bandas de ransomware con sede en Rusia dentro de sus fronteras.

Rusia y China quedaron fuera

A pesar de que Moscú y Washington han logrado reanudar la cooperación en varias áreas, lo que llevó a varios ataques a las bandas Evil Corp., TrickBot y REvil, según Kommersant, Rusia y China no fueron invitados a las reuniones de esta semana contra el ransomware.

"Hemos trabajado con aliados y socios para responsabilizar a los estados-nación por la actividad cibernética maliciosa, como lo demuestra, realmente, el apoyo internacional más amplio que hemos tenido en nuestras atribuciones para las actividades cibernéticas maliciosas de Rusia y China en los últimos meses", dijo el funcionario.

"El Grupo de Expertos sigue reuniéndose para abordar la amenaza del ransomware y presionar a Rusia para que actúe contra las actividades delictivas de ransomware que emanan de su territorio. En esta primera ronda de debates, no invitamos a los rusos a participar por una serie de razones, incluidas varias limitaciones".

El funcionario también dijo que el administrador de Biden ha observado que el gobierno ruso está tomando medidas para tomar medidas enérgicas contra las bandas de ransomware activas en su territorio, y se esperan más resultados y acciones de seguimiento.

"Esperamos que el gobierno ruso aborde la actividad delictiva de ransomware proveniente de actores dentro de Rusia. Puedo informar que hemos tenido, en el Grupo de Expertos, intercambios francos y profesionales en los que hemos comunicado esas expectativas."

"También hemos compartido información con Rusia sobre la actividad criminal de ransomware que se lleva a cabo desde su territorio. Hemos visto algunos pasos del gobierno ruso y esperamos ver acciones de seguimiento".


Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

31
Noticias Informáticas / MysterySnail: vulnerabilidad crítica en Windows
« en: Octubre 13, 2021, 11:34:58 am »
You are not allowed to view links. Register or Login

En octubre, Microsoft ha publicado 74 correcciones de seguridad, incluido un error Zero-Day explotado activamente en Win32k. Se incluyen soluciones para un total de cuatro fallas de día cero, tres de las cuales son públicas. Los productos afectados por la actualización de seguridad de octubre incluyen Microsoft Office, Exchange Server, MSHTML, Visual Studio y el navegador Edge.

Los errores de día cero se identifican como CVE-2021-40449, CVE-2021-41338, CVE-2021-40469 y CVE-2021-41335. La primera está siendo aprovechada activamente por atacantes: MysterySnail.

CVE-2021-26427 es una vulnerabilidad RCE en Microsoft Exchange Server que recibió una puntuación CVSSv3 de 9, la más alta en esta versión del martes de parches. La vulnerabilidad se atribuye a Andrew Ruddick del Centro de Respuesta de Seguridad de Microsoft, así como a la Agencia de Seguridad Nacional (NSA). A pesar de la alta puntuación de CVSS, el aviso señala específicamente que la vulnerabilidad solo sería explotable desde una red adyacente. En abril, a la NSA también se le atribuyó el descubrimiento de cuatro vulnerabilidades de RCE en Microsoft Exchange Server.

MysterySnail

A finales de agosto y principios de septiembre de 2021, Kaspersky detectó ataques mediante el uso de un exploit de elevación de privilegios en varios servidores de Microsoft Windows. El nuevo exploit está basado en otro más más antiguo y conocido públicamente desde 2016 (CVE-2016-3309), pero un análisis más detallado reveló que era un Zero-Day.

Este Zero-Day está usando una vulnerabilidad previamente desconocida en el controlador Win32k y la explotación se basa en gran medida en una técnica para filtrar las direcciones base de los módulos del kernel. Microsoft asignó CVE-2021-40449 a esta vulnerabilidad use-after-free en el controlador del kernel Win32k y fue parcheada el 12 de octubre de 2021, como parte del martes de parches de octubre.

Además de encontrar este día cero in-the-wild, Kaspersky analizó el malware utilizado junto con el exploit y descubrieron que se detectaron variantes del malware en campañas de espionaje generalizadas contra empresas de TI, contratistas militares/defensa y entidades diplomáticas.

Kaspersky llamó a este ataque MysterySnail. La similitud de código y la reutilización de la infraestructura C2 que descubrieron permite conectar estos ataques con el actor conocido como IronHusky y la actividad APT de habla china que se remonta a 2012.
 
Este exploit  de elevación de privilegios funciona en los siguientes productos de Windows:

•   Microsoft Windows Vista
•   Microsoft Windows 7
•   Microsoft Windows 8
•   Microsoft Windows 8.1
•   Microsoft Windows Server 2008
•   Microsoft Windows Server 2008 R2
•   Microsoft Windows Server 2012
•   Microsoft Windows Server 2012 R2
•   Microsoft Windows 10 (compilación 14393)
•   Microsoft Windows Server 2016 (compilación 14393)
•   Microsoft Windows 10 (compilación 17763)
•   Microsoft Windows Server 2019 (compilación 17763)

Fuente:
Hacking Land
You are not allowed to view links. Register or Login

32
You are not allowed to view links. Register or Login

El Ministerio de Finanzas de Ecuador y Banco Pichincha, una de las entidades más grandes del país, fueron atacadas hoy por un grupo que los infectó con un ransomware.
 
Un grupo de delincuentes autodenominado "Hotarus Corp" se adjudicó el hackeo al Ministerio de Finanzas de Ecuador y al banco más grande del país, Banco Pichincha, a la vez que afirman haber robado datos internos.

You are not allowed to view links. Register or Login
 
Esta no es la primera vez que el banco es atacado por este grupo, porque ya en febrero de 2021 habían llevado a cabo una acción similar. En este momento la banda apuntó al Ministerio de Economía y Finanzas de Ecuador, donde desplegaron un ransomware basado en PHP para cifrar un sitio que aloja un curso en línea dentro de la institución. En este momento habían utiliza el software Ronggolawe (también conocido como AwesomeWare). Poco después del ataque, los atacantes publicaron un archivo de texto que contenía 6.632 nombres de inicio de sesión y combinaciones de contraseñas hash en un foro.

 En esta oportunidad, el banco confirmó el ataque en un comunicado oficial, pero afirma que fue un socio de marketing hackeado y no sus sistemas internos. Banco Pichincha continúa diciendo que "los atacantes utilizaron la plataforma comprometida para enviar correos electrónicos de phishing a los clientes para intentar robar información confidencial para realizar transacciones ilegítimas".

Hasta ahora, el Banco Pichincha no ha revelado públicamente la naturaleza del ataque. Sin embargo, fuentes de la industria de la ciberseguridaddeclararon que se trata de un ataque de ransomware con actores de amenazas que instalan Cobalt Strike en la red. Las bandas de ransomware y otros actores de amenazas suelen utilizar Cobalt Strike para obtener persistencia y acceso a otros sistemas en una red.

En una entrevista el grupo de delincuentes informáticos cuestiona el estado de cuenta del banco y afirma que utilizó el ataque de la empresa de marketing como un trampolín hacia los sistemas internos del banco. Luego robaron los datos y utilizaron el ransomware para cifrar los dispositivos.
 
"Inicialmente entramos a una empresa que desarrolla aplicaciones web y marketing para el banco, luego de analizar códigos y datos nos dio la posibilidad de acceder a los sistemas internos del banco, fue allí donde usamos un ransomware, extrayendo toda la información posible. Una vez dentro, encontramos vulnerabilidades en sus aplicaciones en los puertos FTP y RDP que nos ayudaron a aumentar los privilegios. Actualmente solo está a la venta información bancaria, ya hemos vendido alrededor de 37.000 tarjetas de crédito a un grupo dedicado a esto, la información inicialmente será subastada o vendida por 250.000", dijo un operador de "Hotarus Corp"

A través de este ataque, el grupo afirma haber robado "31.636.026 millones de registros de clientes y 58.456 registros confidenciales del sistema", incluidos números de tarjetas de crédito.
 
Como prueba de su ataque, el grupo compartió varias imágenes de los datos presuntamente robados, incluida una carpeta de archivos.

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

33
You are not allowed to view links. Register or Login

Un investigador descubrió una vulnerabilidad grave en la función de mensajes de autodestrucción de Telegram, dejando mensajes eliminados en el caché. Si bien Telegram corrigió la falla, no recompensó adecuadamente al investigador por el informe del error.

Vulnerabilidad de Telegram en la función "Autodestrucción"

Al elaborar los detalles en una publicación de blog, el investigador de seguridad Dmitrii descubrió cómo la vulnerabilidad en la función de autodestrucción permitió a los usuarios de Telegram recuperar datos eliminados.

 Mientras inspeccionaba el cliente de Telegram para Android poco después del lanzamiento de la actualización de autodestrucción, el investigador descubrió que la función de autodestrucción solo funcionaría visualmente a nivel de la aplicación. En realidad, los mensajes eliminados permanecerían en la carpeta del dispositivo / Almacenamiento / Emulado / 0 / Telegram / Telegram Image.

El investigador probó la vulnerabilidad configurando el temporizador de autodestrucción durante 24 horas. Como se observó, la imagen enviada y luego eliminada permaneció en la memoria caché del dispositivo tanto en el extremo del remitente como en el del receptor. Dmitrii evaluó esta función en varios dispositivos que se ejecutan en Android 7 a 10 y obtendría los mismos resultados.
 
El siguiente video demuestra el exploit.



Como se mencionó, este es un error diferente pero similar al CVE-2019-16248 reportado anteriormente (y corregido) reportado en 2019.

Al Investigador se le negó la recompensa

Al descubrir la vulnerabilidad, el investigador se acercó a los funcionarios de Telegram. Sin embargo, explicó que el servicio no respondió adecuadamente.

Específicamente, Dmitrii informó del error a Telegram en marzo de 2021, que la firma incluso reconoció. Sin embargo, no solucionó el error durante varios meses a pesar de las actualizaciones periódicas para el cliente de Telegram.

 El investigador no dejaba de recordar la vulnerabilidad a los funcionarios de Telegram.
 
Finalmente, el servicio solucionó el error en una versión beta posterior lanzada en agosto de 2021 que confirmó el investigador.

No obstante, los problemas comenzaron cuando Telegram intentó impedir que el investigador revelara la vulnerabilidad en el momento de recompensar el reporte del error, incluso después de la corrección.

 En respuesta, el investigador envió algunas preguntas a Telegram sobre el acuerdo que se suponía que debía firmar, pero Dmitrii nunca obtuvo respuesta.
 
El investigador incluso notó que se le ofrecía una recompensa menor (1000 euros) por el error que la que ofrecía el servicio anteriormente por un defecto similar (2500 euros).

 Finalmente, el investigador siguió adelante con la divulgación pública completa de esta vulnerabilidad CVE-2021-41861.

Los usuarios deben asegurarse de usar al menos la versión 7.8 de la aplicación Telegram que incluye la solución. (Sin embargo, Telegram no ha mencionado ninguna corrección de errores en el registro de cambios).

Además, el investigador aconsejó a los usuarios que no confiaran en la función de autodestrucción para la privacidad de los medios. En su lugar, los usuarios deben optar por la eliminación manual de los mensajes que no quieren que el destinatario retenga.

Fuente:
Latest Hacking News
You are not allowed to view links. Register or Login

34
You are not allowed to view links. Register or Login

Suena como una escena de un thriller de espías. Un atacante atraviesa las defensas de TI de una planta de energía nuclear y la alimenta con datos falsos y realistas, engañando a sus sistemas informáticos y al personal para que piensen que las operaciones son normales. Luego, el atacante interrumpe la función de la maquinaria clave de la planta, lo que hace que funcione mal o se descomponga. Para cuando los operadores del sistema se dan cuenta de que han sido engañados, ya es demasiado tarde, con resultados catastróficos.

El escenario no es ficticio; sucedió en 2010, cuando se utilizó el virus Stuxnet para dañar centrifugadoras nucleares en Irán. Y a medida que aumentan el ransomware y otros ciberataques en todo el mundo, los operadores del sistema se preocupan más por estos sofisticados ataques de "inyección de datos falsos". En las manos equivocadas, los modelos informáticos y el análisis de datos, basados en inteligencia artificial, que garantizan el buen funcionamiento de las redes eléctricas, las instalaciones de fabricación y las centrales eléctricas de hoy en día, podrían volverse contra sí mismos.

Un grupo de investigadores de la Universidad de Purdue, en Estados Unidos, ha creado un algoritmo autoconsciente que corrige por su cuenta los fallos ocasionados por los delincuentes informáticos.
 
Aplicada a un sistema de seguridad, esta solución es capaz de advertir un intento de falsificación o corrupción de datos sin necesidad de ayuda humana. Tendría amplias aplicaciones en múltiples campos, considerando que los procesos informáticos dominan prácticamente todas las áreas de la gestión industrial, comercial o institucional.

Es más que evidente la dependencia que tiene la sociedad actual de todo tipo de aplicaciones informáticas. Satélites, centrales nucleares y de generación eléctrica, instalaciones de producción hidrocarburífera, transporte, entes estatales y empresas de servicios sustentan su actividad a partir de la eficacia en la gestión de datos informáticos.

Un fallo en estos sistemas no solamente puede complicar la operatoria o generar pérdidas económicas: en algunos casos, como por ejemplo una central nuclear, puede desembocar en una verdadera tragedia.

La consciencia de los algoritmos

Según una nota de prensa, un equipo de especialistas que ha analizado diversos estudios publicados en varios revistas científicas, podría tener la llave para evitar la acción de los ciberdelincuentes que, por causas políticas o económicas, puedan poner en jaque la seguridad de los datos. Denominado como "conocimiento encubierto", el enfoque crea un algoritmo que conoce al más mínimo detalle los sistemas que protege, ya que es "consciente" de su propia tarea y de la red que integra.

"Lo llamamos conocimiento encubierto", dijo Abdel-Khalik, profesor asociado de ingeniería nuclear e investigador del Centro de Educación e Investigación de Purdue en Aseguramiento y Seguridad de la Información (CERIAS). "Imagina tener un montón de abejas revoloteando a tu alrededor. Una vez que te mueves un poco, toda la red de abejas responde, por lo que tiene ese efecto mariposa. Aquí, si alguien mete el dedo en los datos, todo el sistema sabrá que hubo una intrusión y podrá corregir los datos modificados".

La innovación utiliza el "ruido de fondo" que existe dentro de los flujos de datos de estos sistemas para detectar los fallos. Se trata de espacios que quedan libres en los millones de cálculos que realizan los sistemas: en realidad, de toda esa inmensa cantidad de operaciones matemáticas solo se utiliza una mínima fracción en los cálculos básicos que afectan los resultados y las predicciones de los modelos.

Sin embargo, todas esas variables no esenciales siguen allí. El nuevo algoritmo las utiliza para producir señales que ordenan a los componentes individuales de un sistema a verificar la autenticidad de los datos que ingresan. Por ejemplo, cualquier mínima variación en la temperatura de un equipo logra ser detectada de inmediato y analizada para evaluar si ha sido producida por algún fallo en los datos.

Esta nueva solución también protege a los sistemas de las copias perfectas. Si un potencial atacante ha logrado crear una reproducción exacta de un modelo informático y planea introducir datos falsos haciéndose pasar por el modelo original, el algoritmo "autoconsciente" lo advertirá inmediatamente y evitará la intromisión. Si hay algún tipo de daño, lo corregirá en cuestión de segundos sin requerir ninguna clase de intervención humana.

En el mismo sentido, los expertos destacaron que la aplicación del nuevo algoritmo también permite evitar los inconvenientes ocasionados con el acceso a claves de seguridad por parte de personas que, por alguna razón, pasan abruptamente de ser parte de una organización a convertirse en virtuales enemigos.
 
Si esas personas conocen las claves, tampoco podrán acceder a los datos: al ser autoconsciente, el algoritmo emplea "firmas de datos" o formas de gestionar y verificar la información, de tal forma que nadie podría anticiparla o recrearla. Estos datos en constante cambio impiden que incluso alguien con acceso interno pueda descifrar los códigos necesarios.

Cara al futuro, la nueva solución podrá integrarse en avanzados sistemas de Inteligencia Artificial orientados a la seguridad informática, aportando un nivel de eficacia sin precedentes hasta el momento en esta clase de modelos.

¿Habrá llegado el fin para los siempre ingeniosos y creativos delincuentes informáticos?

Fuente:
Perdue University News
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

35
Off Topic / Los mejores Memes de informática en Underc0de
« en: Octubre 11, 2021, 03:53:00 pm »
You are not allowed to view links. Register or Login

Cuentan que la vida no tendría sentido humano sin uno de sus ingredientes esenciales: la risa.
 
Nada más complace a un hacker que reírse.
Muchas veces a través de la inteligencia y la distinción de que solo él, tal vez otros similares en arte y oficio, entiendan lo gracioso y siempre irónico de las bromas que acomete.

Los hackers adoran los Memes. En especial si están relacionados con el gremio y profesión.

Pues con ese pensamiento se ha creado este post.

Una colaboración de tres Moderadores Globales que le invitan a, por un instante, sonreír, y evocar esa luz creativa de simpatía, inspiración y gracia que llevan dentro. Y que ansiamos conocer.

Ponga aquí su Meme favorito relacionado con este mundo que nos une: la informática.

Todos los Memes serán evaluados en originalidad y calidad, para escoger al Meme más gracioso de Underc0de que, se dará a conocer como el ganador a través de las redes sociales: Facebook, Twitter, etc. Este post estará vigente en concurso hasta el 31 de octubre del 2021, día festivo de Halloween.

Se corroboran para evitar los plagios, así como se evaluará la calidad visual y su impacto comunicacional.

No obstante el buscarse al más gracioso, son válidos todos los Memes, ya sean de propia autoría (tendrán preferencia para el concurso) o no.
Comenten cuál les va gustando más. Y cualquier semejanza con la realidad… no es coincidencia…

Al fin y al cabo, el objetivo es reírnos juntos y compartir este breve instante que, en intimidad de apreciación, formará un recuerdo grato y anécdota que evocar.

Como el humor es una cualidad sujeta a la apreciación, cultura, educación, personalidad, y experiencias, incluso puede tener matices extremos, se ruega cierta gentileza con el humor vulgar y soez  que tanto afean la vida, e identifican a los espíritus mediocres e inválidos en originalidad.

Para romper el hielo, hemos seleccionado entre nosotros tres, Memes de internet; algunos son de autoría, otros no, pero con la finalidad de motivarle en sonrisas y con suerte, inspirarle a que comparta el suyo favorito, o materialice uno que nos distinga en simpatía en las redes sociales.

Atentamente:

@Alex
@DtxdF
@AXCESS

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

36
You are not allowed to view links. Register or Login

Las vulnerabilidades de prueba de concepto (PoC) para el servidor web Apache de día cero aparecieron en Internet y revelaron que la vulnerabilidad es mucho más crítica de lo que se reveló originalmente.

Estos exploits muestran que el alcance de la vulnerabilidad trasciende el recorrido de la ruta, lo que permite a los atacantes la capacidad de ejecución remota de código (RCE).

Apache sigue siendo uno de los servidores web más populares con más del 25% de participación de mercado.

Desde el recorrido de la ruta hasta la ejecución remota de código

La vulnerabilidad de recorrido de ruta en el servidor HTTP de Apache, reportada recientemente, ha sido explotada activamente en la naturaleza antes de que el proyecto Apache fuera notificado de la falla en septiembre, o tuviera la oportunidad de parchearlo.

Pero la divulgación de ayer de la falla transversal de la ruta del servidor web Apache, rastreada como CVE-2021-41773, fue seguida por exploits PoC que aparecieron rápidamente en Internet.

Pero, mientras se desarrollaban y modificaban los exploits de PoC, otro descubrimiento salió a la luz.

Los atacantes pueden abusar de los servidores Apache que ejecutan la versión 2.4.49 no solo para leer archivos arbitrarios sino también para ejecutar código arbitrario en los servidores.

El investigador de seguridad Hacker Fantastic señaló que la falla pronto se convierte en una vulnerabilidad de ejecución remota de código (RCE) en un sistema Linux si el servidor está configurado para admitir CGI a través de mod_cgi.

Si un atacante pudiera cargar un archivo a través de un exploit de ruta transversal y establecer permisos de ejecución en el archivo, ahora se ha otorgado la capacidad de ejecutar comandos con los mismos privilegios que el proceso de Apache.

Will Dormann, analista de vulnerabilidades de CERT, y el investigador de seguridad Tim Brown, también han informado del éxito con la ejecución de código en máquinas con Windows.

Mientras jugaba con el PoC simple en su servidor de Windows, Dormann se dio cuenta de que acceder a un EXE a través del exploit de recorrido de ruta, a su vez, lanzaba el binario en su servidor, en lugar de simplemente descargar el contenido del EXE.

"No estaba haciendo nada inteligente más que simplemente reproducir esencialmente el PoC público en Windows cuando vi que se generaba calc.exe", dice Dormann, quien además confirmó este comportamiento.

"¿CVE-2021-41773 tenía un alcance incorrecto cuando se publicó?" conjeturó Dormann, señalando la nota en el aviso original de Apache de que la explotación de la falla, como mucho, filtraría el código fuente de los scripts, en lugar de ejecutar los scripts.

No todas las instalaciones son vulnerables

Aunque las consultas de Shodan ejecutadas muestran que más de 112.000 servidores Apache están ejecutando la versión vulnerable 2.4.49, no todos los servidores pueden estar en riesgo.

El éxito de los exploits de recorrido de ruta depende de una variedad de factores, incluido si "mod-cgi" está habilitado en el servidor y la opción predeterminada "Requerir todos los denegados" no se encuentra en la configuración.

Pero, en caso de que se apliquen todos los elementos de los criterios mencionados anteriormente, existe un alto potencial de que la vulnerabilidad evolucione hacia la ejecución de código arbitrario:

"Nuevamente, Apache debe ser la versión vulnerable 2.4.49, y mod-cgi está habilitado, y debe faltar el predeterminado Requerir todo denegado. Pero si ambos son verdaderos, entonces CVE-2021-41773 es como RCE como sea posible ", explica Dormann.

Los administradores del servidor deben asegurarse de que sus instancias de servidor HTTP Apache estén ejecutando versiones parcheadas 2.4.50 y superiores.

El analista de inteligencia de amenazas Florian Roth ha proporcionado reglas Sigma para ayudar a detectar un exploit activo para el día cero.

Rule: Apache Path Traversal - CVE-2021-41773 #2124
You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

37
You are not allowed to view links. Register or Login

Google ha lanzado las actualizaciones de seguridad de octubre de Android, que abordan 41 vulnerabilidades, todas con una gravedad entre alta y crítica.

El día 5 de cada mes, Google lanza el parche de seguridad completo para el sistema operativo Android que contiene tanto el marco como las correcciones del proveedor para ese mes. Como tal, esta actualización también incorpora correcciones para las 10 vulnerabilidades que se abordaron en el nivel de parche de seguridad 2021-10-01, lanzado hace un par de días.

Las fallas de alta gravedad corregidas este mes se refieren a la denegación de servicio, la elevación de privilegios, la ejecución remota de código y los problemas de divulgación de información.

Los tres vulnerabilidades de gravedad crítica en el conjunto se rastrean como:

     CVE-2021-0870: Defecto de ejecución de código remoto en el sistema Android, que permite a un atacante remoto ejecutar código arbitrario dentro del contexto de un proceso privilegiado.
     CVE-2020-11264: Defecto crítico que afecta al componente WLAN de Qualcomm, con respecto a la aceptación de tramas no EAPOL / WAPI de pares no autorizados recibidos en la ruta de excepción de IPA.
     CVE-2020-11301: Defecto crítico que afecta al componente WLAN de Qualcomm, con respecto a la aceptación de tramas sin cifrar (texto sin formato) en redes seguras.

Crítico pero sin explotar

No se ha informado que ninguna de las 41 fallas abordadas este mes esté bajo explotación activa en la naturaleza, por lo que no debería haber exploits en funcionamiento para ellas circulando por ahí.

Los dispositivos más antiguos que ya no son compatibles con las actualizaciones de seguridad ahora tienen una mayor superficie de ataque, ya que algunas de las vulnerabilidades solucionadas este mes son excelentes candidatos para que los actores de amenazas creen exploits funcionales en el futuro.

Recuerde, los parches de seguridad de Android no están vinculados a las versiones de Android, y las correcciones anteriores se refieren a todas las versiones desde Android 8.1 hasta Android 11.
Como tal, la versión del sistema operativo no es un factor determinante en si su dispositivo aún es compatible o no.

Si ha confirmado que su dispositivo ha alcanzado la fecha de EOL, debe instalar una distribución de Android de terceros que aún ofrezca parches de seguridad mensuales para su modelo o reemplazarlo por uno nuevo.

Los fanáticos de Android han estado esperando ansiosamente el lanzamiento de la versión 12, que se rumoreaba para el 4 de octubre de 2021, pero lo que obtuvieron fue la fuente de Android 12 enviada al Proyecto de código abierto de Android.

Este paso significa que el lanzamiento real está a la vuelta de la esquina, y las alertas de actualización de OTA podrían afectar a los dispositivos elegibles, como el Pixel, muy pronto.

Fuente:
source.android.com
You are not allowed to view links. Register or Login

Vía:
BleepingComputer
You are not allowed to view links. Register or Login

38
You are not allowed to view links. Register or Login

Los atacantes han utilizado un UEFI bootkit (Interfaz de firmware extensible unificada) recién descubierto y previamente indocumentado para hacer puertas traseras (backdoor) a los sistemas Windows mediante el secuestro del Administrador de arranque de Windows desde 2012.

Los bootkits son códigos maliciosos instalados en el firmware (a veces dirigidos a UEFI) invisibles para el software de seguridad que se ejecuta dentro del sistema operativo, ya que el malware está diseñado para cargarse antes que todo lo demás, en la etapa inicial de la secuencia de arranque.

Proporcionan a los actores de amenazas persistencia y control sobre el proceso de arranque de un sistema operativo, lo que hace posible sabotear las defensas del sistema operativo sin pasar por el mecanismo de arranque seguro si el modo de seguridad de arranque del sistema no está configurado correctamente. Habilitar el modo de 'arranque completo' o 'arranque completo' bloquearía dicho malware, como explica la NSA.

Persistencia en la partición del sistema EFI

El bootkit, denominado ESPecter por los investigadores de ESET que lo encontraron, logra la persistencia en la partición del sistema EFI (ESP) de los dispositivos comprometidos al cargar su propio controlador sin firmar, para omitir la aplicación de la firma del controlador de Windows.

"Se encontró ESPecter en una máquina comprometida junto con un componente de cliente en modo de usuario con funciones de registro de teclas y robo de documentos, por lo que creemos que ESPecter se usa principalmente para espionaje", dijeron los investigadores de seguridad de ESET Martin Smolár y Anton Cherepanov.

"Curiosamente, rastreamos las raíces de esta amenaza al menos hasta 2012, que anteriormente funcionaba como un kit de arranque para sistemas con BIOS heredados".

El controlador malicioso implementado en computadoras Windows comprometidas se usa para cargar dos cargas útiles (WinSys.dll y Client.dll) que también pueden descargar y ejecutar malware adicional.

WinSys.dll es un agente de actualización, el componente que se utiliza para comunicarse con el servidor de comando y control (C2) para obtener más comandos o cargas útiles más maliciosas.

Como descubrieron los investigadores, WinSys.dll puede filtrar información del sistema, lanzar otro malware descargado del servidor C2, reiniciar la PC usando ExitProcess (solo en Windows Vista) y obtener nueva información de configuración y guardarla en el registro.

Client.dll, la segunda carga útil, actúa como una puerta trasera con capacidades de exfiltración automática de datos, incluido el registro de teclas, el robo de documentos y el monitoreo de la pantalla a través de capturas de pantalla.

ESET también encontró versiones de ESPecter que apuntan a los modos de arranque heredados y logran la persistencia al alterar el código MBR que se encuentra en el primer sector físico de la unidad de disco del sistema.

El arranque seguro realmente no ayuda

Parchear el Administrador de arranque de Windows (bootmgfw.efi) requiere que el Arranque seguro (que ayuda a verificar si la PC arranca con un firmware confiable) esté deshabilitado.

Como descubrieron los investigadores, los atacantes han implementado el bootkit en la naturaleza, lo que significa que han encontrado un método para desactivar el arranque seguro en dispositivos específicos.

Aunque en este momento no hay indicios de cómo los operadores de ESPecter lograron esto, hay algunos escenarios posibles:

    - El atacante tiene acceso físico al dispositivo (conocido históricamente como un ataque de "evil maid") y deshabilita manualmente el arranque seguro en el menú de configuración del BIOS (es común que el menú de configuración del firmware todavía esté etiquetado y se denomine "BIOS setup menu", incluso en sistemas UEFI).

    - El Arranque seguro ya estaba deshabilitado en la máquina comprometida (p. Ej., Un usuario puede hacer un arranque dual de Windows y otros sistemas operativos que no son compatibles con el Arranque seguro).

    - Explotación de una vulnerabilidad de firmware UEFI desconocida que permite deshabilitar el arranque seguro.

    - Explotación de una vulnerabilidad de firmware UEFI conocida (por ejemplo, CVE-2014-2961, CVE-2014-8274 o CVE-2015-0949) en el caso de una versión de firmware obsoleta o un producto que ya no es compatible.

Los ataques documentados públicamente que utilizan bootkits en la naturaleza son extremadamente raros: el kit de arranque FinSpy utilizado para cargar software espía, Lojax desplegado por el grupo de hackers APT28 respaldado por Rusia, MosaicRegressor utilizado por hackers de habla china y el módulo TrickBoot utilizado por la pandilla TrickBot.

"ESPecter muestra que los actores de amenazas se basan no solo en los implantes de firmware UEFI cuando se trata de la persistencia previa al SO y, a pesar de los mecanismos de seguridad existentes como UEFI Secure Boot, invierten su tiempo en la creación de malware que sería fácilmente bloqueado por tales mecanismos, si está habilitado y configurado correctamente”.

Se pueden encontrar más detalles técnicos sobre el kit de arranque ESPecter y los indicadores de compromiso en el informe de ESET:

You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. Register or Login

39
Noticias Informáticas / Porqué Facebook desapareció de Internet
« en: Octubre 05, 2021, 05:47:57 pm »
You are not allowed to view links. Register or Login

Hoy a las 16:51 UTC, el proveedor Cloudflare abrió un incidente interno titulado "Búsqueda de DNS de Facebook que devuelve SERVFAIL" porque les preocupaba que algo estuviera mal su servicio de DNS 1.1.1.1. Pero cuando estaban a punto de publicarlo en su página, se dieron cuenta de que estaba sucediendo algo más serio: Facebook y sus servicios afiliados WhatsApp e Instagram estaban caídos.
Sus nombres DNS dejaron de resolverse y sus IP de infraestructura eran inalcanzables. Era como si alguien hubiera "desconectado los cables" de Internet.

You are not allowed to view links. Register or Login

¿Cómo es eso posible?

BGP son las siglas de Border Gateway Protocol. Es un mecanismo para intercambiar información de enrutamiento entre Sistemas Autónomos (AS) en Internet. Los grandes enrutadores que hacen que Internet funcione tienen listas enormes y constantemente actualizadas de las posibles rutas que se pueden utilizar para entregar cada paquete de red a sus destinos finales. Sin BGP, los enrutadores de Internet no sabrían qué hacer e Internet no funcionaría.

Internet es literalmente una red de redes y está unida por BGP. BGP permite que una red (digamos Facebook) anuncie su presencia a otras redes que forman Internet. Lo que sucedió es que Facebook dejó de anunciar su presencia, los ISP y otras redes no pueden encontrar la red de Facebook y, por lo tanto, no está disponible... No existe.

Cada una de las redes tiene un ASN: un número de sistema autónomo. Un sistema autónomo (AS) es una red individual con una política de enrutamiento interna unificada. Un AS puede originar prefijos (digamos que controlan un grupo de direcciones IP), así como prefijos de tránsito (digamos que saben cómo llegar a grupos específicos de direcciones IP).

Por ejemplo, el ASN de Facebook es 32934. Cada ASN necesita anunciar sus rutas de prefijo a Internet usando BGP; de lo contrario, nadie sabrá cómo conectarse y dónde encontrarnos. Este centro de aprendizaje tiene una buena descripción general de lo que son BGP y ASN y cómo funcionan.

Por ejemplo, en este diagrama simplificado, puede ver seis sistemas autónomos en Internet y dos rutas posibles que un paquete puede usar para ir de principio a fin. AS1 → AS2 → AS3 es el más rápido, y AS1 → AS6 → AS5 → AS4 → AS3 es el más lento, pero eso se puede usar si el primero falla.

You are not allowed to view links. Register or Login

A las 1658 UTC, Facebook había dejado de anunciar las rutas a sus prefijos DNS. Eso significaba que, al menos, los servidores DNS de Facebook no estaban disponibles. Debido a esto, el sistema de resolución de DNS ya no podía responder a las consultas que solicitaban la dirección IP de facebook.com o instagram.com.

You are not allowed to view links. Register or Login

Mientras tanto, otras direcciones IP de Facebook permanecieron enrutadas, pero no fueron particularmente útiles, ya que sin DNS, Facebook y los servicios relacionados no estaban efectivamente disponibles.
 
Un mensaje de BGP UPDATE informa al enrutador de cualquier cambio que haya realizado y esto se puede ver claramente en la cantidad de actualizaciones recibidas de Facebook. Normalmente, este gráfico es bastante silencioso porque no es normal que Facebook realice muchos cambios en su red minuto a minuto. Pero alrededor de las 15:40 UTC se puede ver un pico de cambios en el enrutamiento de Facebook. Fue entonces cuando empezó el problema.

Si dividimos esta vista por anuncios de rutas y retiros, tenemos una idea aún mejor de lo que sucedió. Se retiraron las rutas, los servidores DNS de Facebook se desconectaron y facebook.com "dejó de existir". Como consecuencia directa de esto, los resolutores de DNS de todo el mundo también dejaron de resolver sus nombres de dominio.

Esto sucede porque el DNS, como muchos otros sistemas en Internet, también tiene su mecanismo de enrutamiento. Cuando alguien escribe la URL You are not allowed to view links. Register or Login en el navegador, el DNS, responsable de traducir los nombres de dominio a direcciones IP reales para conectarse, primero verifica si tiene algo en su caché y lo usa. De lo contrario, intenta obtener la respuesta de los servidores de nombres de dominio, normalmente alojados por la entidad propietaria.
 
Si no se puede acceder a los servidores de nombres o no responden por algún otro motivo, se devuelve un SERVFAIL y el navegador envía un error al usuario. Una buena explicación sobre cómo funciona el DNS.

Debido a que Facebook dejó de anunciar sus rutas de prefijo DNS a través de BGP, todos los resolutores de DNS no tenían forma de conectarse a sus servidores de nombres. En consecuencia, 1.1.1.1, 8.8.8.8 y otros importantes solucionadores de DNS públicos comenzaron a emitir (y almacenar en caché) respuestas SERVFAIL.

Pero eso no es todo. Ahora el comportamiento humano y la lógica de la aplicación entran en juego y provocan otro efecto exponencial. Sigue un tsunami de tráfico DNS adicional. Esto sucedió en parte porque las aplicaciones no aceptarán un error como respuesta y comenzarán a intentarlo de nuevo, a veces de manera agresiva, y en parte porque los usuarios finales tampoco aceptarán un error como respuesta y comenzarán a recargar las páginas, o matarán y relanzarán sus aplicaciones, a veces también de forma agresiva.

Este es el aumento de tráfico (en número de solicitudes) que se puede ver aquí vimos en 1.1.1.1:
 
You are not allowed to view links. Register or Login

Impactando otros servicios

La gente busca alternativas y quiere saber más o discutir lo que está sucediendo. Cuando Facebook se volvió inalcanzable, se vió un aumento de las consultas de DNS a Twitter, Telegram, Signal y otras plataformas de mensajería y redes sociales.
 
Los eventos de hoy son un suave recordatorio de que Internet es un sistema muy complejo e interdependiente de millones de sistemas y protocolos que trabajan juntos. Esa confianza, estandarización y cooperación entre entidades son fundamentales para que funcione para casi cinco mil millones de usuarios activos en todo el mundo.

Fuente:
Cloudflare
You are not allowed to view links. Register or Login

Vía:
Hacking Land
You are not allowed to view links. Register or Login

40
You are not allowed to view links. Register or Login

 La información privada y personal de más de 1.500 millones de usuarios de Facebook se estaría vendiendo en RaidForums, un Foro relacionado con el hacking, lo que permitía a los ciberdelincuentes y anunciantes sin escrúpulos dirigirse a los usuarios de Internet en todo el mundo.

Importante!!: esto no tiene nada que ver con la interrupción global de Facebook experimentada el 4 de octubre de 2021.

You are not allowed to view links. Register or Login

Todo lo que sabemos en este momento es que las múltiples muestras proporcionadas a los usuarios del foro parecían ser reales. Esto constituiría el mayor y más significativo volcado de datos de Facebook hasta la fecha y aparentemente, este nuevo volcado está relacionado con un volcado de datos de Facebook anterior de 2021, donde 533 millones de usuarios se vieron afectados.
 
A finales de septiembre de 2021, un usuario del foro publicó un anuncio en el que afirmaba poseer los datos personales de más de 1.500 millones de usuarios de Facebook. Los datos están actualmente a la venta en la plataforma del foro respectivo, y los compradores potenciales tienen la oportunidad de comprar todos los datos de una vez o en cantidades más pequeñas. Los datos parecen auténticos y habrían sido obtenidos mediante web scraping.

Un posible comprador afirma haber recibido una cotización de 5.000 dólares por los datos de 1 millón de cuentas de usuario de Facebook. Después de que se publicara inicialmente esta noticia, un usuario del foro afirmó que le pagó al vendedor pero no recibió nada a cambio. El vendedor aún no ha respondido a estas acusaciones.

Según el anuncio del foro, los datos proporcionados contienen la siguiente información personal de los usuarios de Facebook:

•   Nombre
•   Correo electrónico
•   Localización
•   Género
•   Número de teléfono
•   ID de usuario

Las muestras presentadas en el foro muestran que los datos parecen ser auténticos y al cotejarlos con las filtraciones conocidas de la base de datos de Facebook, no se obtuvieron coincidencias, lo que implica que, a primera vista, los datos de muestra proporcionados son únicos y no son un duplicado o una reventa de una violación o scrapping de datos previamente conocido.

El vendedor afirma representar a un grupo de web scrapers en funcionamiento durante al menos cuatro años, alegando que han tenido más de 18.000 clientes durante este tiempo.

Los comerciantes afirman haber obtenido los datos mediante web scrapping en lugar de comprometer las cuentas de usuarios individuales.

El scrapping es un proceso de extracción o recolección de datos web en el que se accede a los datos disponibles públicamente y se organizan en listas y bases de datos. La mayoría de estos datos se obtienen simplemente eliminando los perfiles de Facebook que sus propietarios han configurado como "Públicos". Desafortunadamente, la gran mayoría de la información personal es compartida libremente y puesta a disposición del público en general por los propios usuarios de Facebook.
Si bien técnicamente no se ha comprometido ninguna cuenta, esto es poco consuelo para aquellos cuyos datos ahora pueden terminar en manos de comerciantes de Internet sin escrúpulos y probablemente también en manos de ciberdelincuentes.

Los especialistas en marketing poco éticos pueden utilizar estos datos para bombardear a individuos o grupos de individuos específicos con publicidad no solicitada.

El hecho de que los números de teléfono, la ubicación real y los nombres completos de los usuarios estén incluidos en los datos es especialmente preocupante. Además, el correo no deseado por SMS y notificaciones push es cada vez más frecuente a pesar de que la mayoría de los países ilegalizaron estas prácticas hace muchos años.

La identificación de los números de teléfono de los usuarios individuales hace posible que los ciberdelincuentes envíen mensajes SMS falsos a los usuarios afectados que fingen ser varias entidades, como el propio Facebook o incluso los bancos.

Fuente:
Hacking Land
You are not allowed to view links. Register or Login

Páginas: 1 [2] 3 4 ... 28