Microsoft está investigando una interrupción en curso que impide a los clientes de todo el mundo acceder y usar aplicaciones web como Excel Online y servicios en línea.

La lista de servicios afectados incluye el conjunto de aplicaciones de Microsoft 365, Exchange Online, SharePoint Online, Yammer Enterprise, Planner, Microsoft Teams, Microsoft 365 para la web y Project para la web.

Según los informes, los clientes están experimentando problemas al intentar iniciar sesión en sus cuentas y verán que no hay aplicaciones web disponibles una vez dentro.

"Estamos investigando problemas de acceso con las aplicaciones de Microsoft 365 Online y el centro de administración de Teams. Puede encontrar más información en OO544150 dentro del Centro de administración de Microsoft 365", tuiteó la compañía el día de hoy.

"Los usuarios pueden ser intermitentemente incapaces de ver o acceder a aplicaciones web en Microsoft 365. Estamos revisando la telemetría de monitoreo de servicios para aislar la causa raíz y desarrollar un plan de corrección", dice el informe de incidentes del centro de administración.

En algunos casos, un banner que se muestra en la parte superior de la pantalla pide a los usuarios "nuevos" que se comuniquen con su departamento de TI para ayudar con el problema.

"¿Nuevo en Microsoft 365? Esta es tu página principal de Microsoft 365 donde puedes ver y acceder a todas tus aplicaciones. Si está vacío, podría ser que su licencia de usuario se le haya asignado muy recientemente", dice la notificación.

"Espere 10 minutos y actualice esta página. Si sigues sin ver ninguna aplicación, ponte en contacto con tu departamento de TI. Pueden ayudarte a ponerte en marcha".


De acuerdo con las últimas actualizaciones proporcionadas por Microsoft en el centro de administración, la salida se debió a que la infraestructura de almacenamiento en caché se desempeñó por debajo de los umbrales de rendimiento aceptables y provocó excepciones de tiempo de espera.

"El análisis de los datos de diagnóstico ha identificado un número inusualmente alto de excepciones de tiempo de espera dentro de nuestra infraestructura de almacenamiento en caché y Azure Active Directory (AAD). Estamos trabajando para aislar la causa de estas excepciones mientras identificamos los pasos para remediar el impacto", dijo Microsoft.

Hasta que se aborde esta interrupción de Microsoft 365, los usuarios pueden acceder a las aplicaciones a través de direcciones URL directas. Microsoft proporciona los siguientes ejemplos:

• Centro de administración de Microsoft 365 - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Outlook - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Microsoft Teams - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Word Online - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• Excel Online - You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Otra interrupción eliminó varios servicios de Microsoft 365 en enero después de que un cambio en la dirección IP del enrutador causara problemas de reenvío de paquetes entre enrutadores en la red de área extensa (WAN) de Microsoft.

Los servicios afectados por la interrupción de enero de 2023 incluyeron Microsoft Teams, Exchange Online, Outlook, SharePoint Online, OneDrive, el Centro de administración de Microsoft 365, Microsoft Graph, Microsoft Intune y varios productos de Microsoft Defender.

Actualización 20 de abril, 13:23 EDT: Microsoft está investigando el alto uso de CPU que afecta a las API de características de navegación back-end de procesamiento de infraestructura.

Hasta que se resuelva la interrupción, los clientes pueden acceder al Centro de administración de Microsoft 365 a través de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

VMware abordó una vulnerabilidad de seguridad crítica de vRealize Log Insight que permite a los atacantes remotos obtener la ejecución remota en dispositivos vulnerables.

Ahora conocida como VMware Aria Operations for Logs, esta herramienta de análisis de registros ayuda a administrar terabytes de registros de aplicaciones e infraestructura en entornos a gran escala.

El error (rastreado como CVE-2023-20864) se describe como una vulnerabilidad de deserialización que se puede abusar para ejecutar código arbitrario como root en sistemas comprometidos.

CVE-2023-20864 puede ser explotado de forma remota por actores de amenazas no autenticados en ataques de baja complejidad que no requieren interacción del usuario.

Hoy, VMware también lanzó actualizaciones de seguridad para una segunda falla de seguridad (rastreada como CVE-2023-20865) que permite a los atacantes remotos con privilegios administrativos ejecutar comandos arbitrarios como root.

Ambas vulnerabilidades se solucionaron con el lanzamiento de VMware Aria Operations for Logs 8.12. No hay evidencia de que estos errores de seguridad hayan sido explotados en la naturaleza antes de ser parcheados.

"CVE-2023-20864 es un problema crítico y debe parchearse inmediatamente según las instrucciones del aviso. Es necesario destacar que solo la versión 8.10.2 se ve afectada por esta vulnerabilidad (CVE-2023-20864)", dijo VMware.

"Otras versiones de VMware Aria Operations for Logs (anteriormente vRealize Log Insight) se ven afectadas por CVE-2023-20865, pero esto tiene una puntuación CVSSv3 más baja de 7.2".

Otros dos errores críticos de vRealize parcheados en enero

En enero, la compañía abordó otro par de vulnerabilidades críticas (CVE-2022-31706 y CVE-2022-31704) que afectan al mismo producto y permiten la ejecución remota de código, así como fallas que podrían explotarse para el robo de información (CVE-2022-31711) y ataques de denegación de servicio (CVE-2022-31710).

Una semana después, los investigadores de seguridad del equipo de ataque de Horizon3 lanzaron código de prueba de concepto (PoC) para encadenar tres de los cuatro errores para ayudar a los atacantes a ejecutar código de forma remota como root en dispositivos VMware vRealize comprometidos.

Si bien solo unas pocas docenas de instancias de VMware vRealize están expuestas en línea, esto es de esperar, ya que dichos dispositivos están diseñados solo para ser accedidos desde las redes internas de las organizaciones.

Sin embargo, no es raro que los atacantes exploten las vulnerabilidades que afectan a los dispositivos en redes ya comprometidas, lo que hace que los dispositivos VMware configurados correctamente pero vulnerables sean valiosos objetivos internos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El notorio actor patrocinado por el estado alineado con Corea del Norte conocido como Lazarus Group ha sido atribuido a una nueva campaña dirigida a los usuarios de Linux.

Los ataques son parte de una actividad persistente y de larga duración rastreada bajo el nombre de Operación Dream Job, dijo ESET en un nuevo informe publicado hoy.

Los hallazgos son cruciales, sobre todo porque marca el primer ejemplo documentado públicamente del adversario que usa malware de Linux como parte de este esquema de ingeniería social.

La Operación Dream Job, también conocida como DeathNote o NukeSped, se refiere a múltiples olas de ataques en las que el grupo aprovecha las ofertas de trabajo fraudulentas como señuelo para engañar a objetivos desprevenidos para que descarguen malware. También exhibe superposiciones con otros dos cúmulos de Lázaro conocidos como Operación In(ter)cepción y Operación Estrella del Norte.

La cadena de ataque descubierta por ESET no es diferente, ya que ofrece una oferta de trabajo falsa de HSBC como señuelo dentro de un archivo ZIP que luego se utiliza para lanzar una puerta trasera de Linux llamada SimplexTea distribuida a través de una cuenta de almacenamiento en la nube OpenDrive.


Si bien no se conoce el método exacto utilizado para distribuir el archivo ZIP, se sospecha que es spear-phishing o mensajes directos en LinkedIn. La puerta trasera, escrita en C ++, tiene similitudes con BADCALL, un troyano de Windows previamente atribuido al grupo.

Además, ESET dijo que identificó puntos en común entre los artefactos utilizados en la campaña Dream Job y los descubiertos como parte del ataque a la cadena de suministro contra el desarrollador de software VoIP 3CX que salió a la luz el mes pasado.

Esto también incluye el dominio de comando y control (C2) "journalide[.] org", que figuraba como uno de los cuatro servidores C2 utilizados por las familias de malware detectadas en el entorno 3CX.

Las indicaciones son que los preparativos para el ataque a la cadena de suministro habían estado en marcha desde diciembre de 2022, cuando algunos de los componentes se comprometieron con la plataforma de alojamiento de código GitHub.

Los hallazgos no solo fortalecen el vínculo existente entre Lazarus Group y el compromiso 3CX, sino que también demuestran el éxito continuo del actor de amenazas con la organización de ataques a la cadena de suministro desde 2020.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha revelado una cadena de dos fallas críticas en ApsaraDB RDS de Alibaba Cloud para PostgreSQL y AnalyticDB para PostgreSQL que podrían explotarse para violar las protecciones de aislamiento de inquilinos y acceder a datos confidenciales pertenecientes a otros clientes.

"Las vulnerabilidades potencialmente permitieron el acceso no autorizado a las bases de datos PostgreSQL de los clientes de Alibaba Cloud y la capacidad de realizar un ataque a la cadena de suministro en ambos servicios de base de datos de Alibaba, lo que llevó a un RCE en los servicios de base de datos de Alibaba", dijo la firma de seguridad en la nube Wiz en un nuevo informe compartido con The Hacker News.

Los problemas, denominados BrokenSesame, se informaron a Alibaba Cloud en diciembre de 2022, luego de que la compañía implementara mitigaciones el 12 de abril de 2023. No hay evidencia que sugiera que las debilidades fueron explotadas en la naturaleza

En pocas palabras, las vulnerabilidades, una falla de escalada de privilegios en AnalyticDB y un error de ejecución remota de código en ApsaraDB RDS, hicieron posible elevar los privilegios a root dentro del contenedor, escapar al nodo Kubernetes subyacente y, en última instancia, obtener acceso no autorizado al servidor API.

Armado con esta capacidad, un atacante podría recuperar las credenciales asociadas con el registro del contenedor del servidor API y enviar una imagen malintencionada para obtener el control de las bases de datos de clientes pertenecientes a otros inquilinos en el nodo compartido.


"Las credenciales utilizadas para extraer imágenes no tenían el alcance correcto y permitían permisos push, sentando las bases para un ataque a la cadena de suministro", dijeron los investigadores de Wiz Ronen Shustin y Shir Tamari.

Esta no es la primera vez que se identifican vulnerabilidades de PostgreSQL en servicios en la nube. El año pasado, Wiz descubrió problemas similares en Azure Database for PostgreSQL Flexible Server (ExtraReplica) e IBM Cloud Databases for PostgreSQL (Hell's Keychain).

Los hallazgos se producen cuando la Unidad 42 de Palo Alto Networks, en su Informe de amenazas en la nube, reveló que "los actores de amenazas se han vuelto expertos en explotar problemas comunes y cotidianos en la nube", incluidas configuraciones erróneas, credenciales débiles, falta de autenticación, vulnerabilidades sin parches y paquetes maliciosos de software de código abierto (OSS).

"El 76% de las organizaciones no aplican MFA [autenticación multifactor] para los usuarios de consola, mientras que el 58% de las organizaciones no aplican MFA para usuarios root / administradores", dijo la firma de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Solus, la distribución de lanzamiento continuo e independiente que ha jugado el rol de referente del escritorio Budgie (si es que la condición no era la de oficial), fue dando signos de estar agonizando durante semanas debido a que su sitio web no era accesible, aunque ahora sí permite entrar. Sin embargo, y según han recogido en Linuxiac, que el sitio web esté funcionando no tiene por qué significar que el proyecto haya vuelto realmente a la vida, ya que su ficha en DistroWatch indica que su estado es inactivo.

La trayectoria de Solus es un poco más turbulenta y retorcida de lo que nos podemos imaginar. El proyecto original, SolusOS, fue una distribución basada en Debian y creada por Ikey Doherty que acabó descontinuada en 2013 debido a la falta de tiempo y de mano de obra. El mismo desarrollador decidió refundar Solus en 2015 a partir de Evolve OS para convertirla en una distribución independiente, de lanzamiento continuo y que destaca por tener un escritorio propio, Budgie, el cual se basa en GNOME.

El objetivo de Solus es (o fue) proporcionar un sistema operativo de lanzamiento continuo, orientado al escritorio y fácil de usar. La apuesta por Budgie no excluyó la existencia de ediciones oficiales con GNOME, KDE Plasma y MATE. Por otro lado, Budgie opera de forma independiente desde hace tiempo y ha tenido durante su trayectoria una fallida transición de GTK a Qt.



Solus llegó a tener sus seguidores y hasta fue promocionado por algunos como uno de los mejores sistemas Linux para jugar gracias a su naturaleza rolling release, bleeding edge y a su clara orientación al escritorio. Sin embargo, las cosas no parecían ir tan bien entre bastidores, ya que Ikey Doherty abandonó Solus en 2018 para fundar dos años después Serpent Linux, un proyecto que sigue teniendo más de experimento que de producto en la actualidad. Su sucesor en el cargo, Joshua Strobl, decidió bajarse del barco en 2022, lo que terminó por disparar las alarmas sobre el futuro de Solus.

Que las cosas olían mal es algo que quedó confirmado en enero del presente año, cuando el sitio web, los foros y el rastreador de desarrolladores (Dev Tracker) estuvieron prácticamente un mes inoperativos. Al parecer la razón fueron problemas técnicos que fueron manejados por una única persona, Beatrice Meyers, directora técnica del proyecto.

Otro aspecto que delata el mal estado del proyecto es su blog. La entrada más reciente fue publicada el 11 de junio de 2021 por Joshua Strobl, así que todo apunta a que desde entonces o poco después de esa fecha no hay nadie responsable de cubrir ese frente de la política de comunicación. El tener el blog al día no es solo cumplir con un ritual, sino que también sirve para mantener un canal de comunicación y contacto con los usuarios que da a entender que el proyecto sigue vivo.


¿Se puede decir que Solus está descontinuado? Al parecer y como mínimo se puede decir que está en un estado latente, pero las circunstancias, en caso de no cambiar, no invitan al optimismo. Debido a eso, es recomendable migrar a otra distribución a menos que uno sea plenamente consciente de donde se está metiendo, porque el usar un sistema operativo en una situación tan precaria no es algo que dé sensación de seguridad.

También es posible que surja un nuevo equipo que se haga responsable de Solus, pero la situación normal de la mayoría de las distribuciones Linux es el vivir en la precariedad, una precariedad de la que solo consiguen escapar las grandes y algunas de origen corporativo por motivos obvios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Valve ha iniciado el despliegue de Proton 8, la nueva versión mayor de la capa de compatibilidad basada en Wine y orientada a facilitar la ejecución en Linux de videojuegos compilados para Windows. En esta ocasión nos encontramos con una lista de videojuegos funcionales ampliada y muchas correcciones, y es que, después de años de desarrollo, la introducción de novedades rompedoras no es muy habitual desde hace tiempo, pero eso no quita que la empresa siga empujando para mejorar la compatibilidad y la fiabilidad. A fin de cuentas, lo determinante en el desarrollo de Proton es la constancia.

Los nuevos juegos que ahora funcionan oficialmente (porque puede que ya funcionaran antes y en caso extremo siempre está el resorte de Glorious Eggroll) son los siguientes según la lista de cambios publicado en GitHub:

• Forspoken
• Samurai Maiden
• Dead Space remake
• Nioh 2 – The Complete Edition
• One Piece: Pirate Warriors 4
• Atelier Meruru, Atelier Lydie & Suelle ~The Alchemists and the Mysterious Paintings~
• Blue Reflection
• Atelier Rorona ~The Alchemist of Arland~ DX
• Disney Dreamlight Valley
• ROMANCE OF THE THREE KINGDOMS XIV
• ToGather:Island
• WARRIORS OROCHI 3 Ultimate Definitive Edition
• Exceed – Gun Bullet Children
• Gungrave G.O.R.E.
• Chex Quest HD

Entre las correcciones hay una para corregir un fallo causado por el actualizador del lanzador de 2K, un soporte para multitouch mejorado, una barra de desplazamiento nativa que siempre estaba visible en el lanzador de Final Fantasy XIV Online, una regresión en el rendimiento de Mortal Kombat X, una caída de Life is Strange Remastered que se producía al final del episodio 2, un alt+tab que no funcionaba en GNOME 43, una compatibilidad de Force FeedBack mejorada en BeamNG y Forza Horizon 5, una regresión que provocaba el cuelgue de Minecraft Dungeons cuando se desconectaba del modo multijugador, además de problemas de flickering con el lanzador de The Witcher 3: Wild Hunt sobre una sesión de Wayland.

Aparte de ser una reimplementación de Wine 8, Proton 8 ha llegado con otros componentes que son igual de determinantes para la correcta ejecución de los juegos, entre los que están DXVK 2.1-4, VKD3D-Proton 2.8-84, DXVK-NVAPI 0.6.2 y wine-mono 7.4.1. En el registro de cambios se dice que NVAPI ha sido habilitado para muchos juegos. Recordamos que DXVK es el renderizador que se encarga de traducir las versiones 9, 10 y 11 de Direct3D a Vulkan, mientras que VKD3D-Proton hace lo mismo con la versión 12 de la API gráfica de Microsoft.

Con el lanzamiento de la Steam Deck, Valve estableció a Proton como la vía estándar para ejecutar videojuegos sobre Linux. Esto se ha traducido en el hecho de que cada vez menos desarrolladoras están interesadas en hacer compilaciones nativas para Linux, incluso entre las indies. Pese a esa circunstancia, Proton se ha erigido al final como la mejor vía para dotar nutrir de juegos a Linux, sobre todo cuando estos son triple A.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google lanzó el martes soluciones de emergencia para abordar otra falla de día cero de alta gravedad explotada activamente en su navegador web Chrome.

La falla, rastreada como CVE-2023-2136, se describe como un caso de desbordamiento de enteros en Skia, una biblioteca de gráficos 2D de código abierto. Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google ha sido acreditado con el descubrimiento y la notificación de la falla el 12 de abril de 2023.

"El desbordamiento de enteros en Skia en Google Chrome antes de 112.0.5615.137 permitió a un atacante remoto que había comprometido el proceso de renderizador realizar potencialmente un escape de sandbox a través de una página HTML diseñada", según la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.

El gigante tecnológico, que también solucionó otros siete problemas de seguridad con la última actualización, dijo que está al tanto de la explotación activa de la falla, pero no reveló detalles adicionales para evitar más abusos.

El desarrollo marca la segunda vulnerabilidad de día cero de Chrome en ser explotada por actores maliciosos este año, y se produce pocos días después de que Google parcheara CVE-2023-2033 la semana pasada. No está claro de inmediato si los dos días cero se han encadenado como parte de los ataques en la naturaleza.

Se recomienda a los usuarios que actualicen a la versión 112.0.5615.137 para Windows, macOS y Linux para mitigar las posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones cuando estén disponibles.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El actor de espionaje cibernético rastreado como Blind Eagle ha sido vinculado a una nueva cadena de ataque de múltiples etapas que conduce al despliegue del troyano de acceso remoto NjRAT en sistemas comprometidos.

"El grupo es conocido por usar una variedad de técnicas de ataque sofisticadas, que incluyen malware personalizado, tácticas de ingeniería social y ataques de spear-phishing", dijo ThreatMon en un informe del martes.

Águila Ciega, también conocida como APT-C-36, es un grupo sospechoso de habla hispana que ataca principalmente a entidades del sector público y privado en Colombia. Los ataques orquestados por el grupo también han apuntado a Ecuador, Chile y España.

Las cadenas de infección documentadas por Check Point y BlackBerry este año han revelado el uso de señuelos de spear-phishing para entregar familias de malware básico como BitRAT, AsyncRAT y cargadores Python en memoria capaces de lanzar una carga útil Meterpreter.

El último descubrimiento de ThreatMon implica el uso de un descargador de JavaScript para ejecutar un script de PowerShell alojado en Discord CDN. El script, a su vez, quita otro script de PowerShell y un archivo por lotes de Windows, y guarda un archivo VBScript en la carpeta de inicio de Windows para lograr la persistencia.


A continuación, se ejecuta el código VBScript para iniciar el archivo por lotes, que posteriormente se desofusca para ejecutar el script de PowerShell que se entregó previamente junto con él. En la etapa final, el script de PowerShell se usa para ejecutar njRAT.

"njRAT, también conocido como Bladabindi es una herramienta de acceso remoto (RAT) con interfaz de usuario o troyano que permite al titular del programa controlar la computadora del usuario final", dijo la firma de ciberseguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores universitarios estadounidenses han desarrollado un nuevo ataque llamado "Troyano inaudible de ultrasonido cercano" (NUIT) que puede lanzar ataques silenciosos contra dispositivos alimentados por asistentes de voz, como teléfonos inteligentes, altavoces inteligentes y otros IoT.

El equipo de investigadores está formado por el profesor Guenevere Chen de la Universidad de Texas en San Antonio (UTSA), su estudiante de doctorado Qi Xia y el profesor Shouhuai Xu de la Universidad de Colorado (UCCS).

El equipo demostró ataques NUIT contra asistentes de voz modernos que se encuentran dentro de millones de dispositivos, incluidos Siri de Apple, Asistente de Google, Cortana de Microsoft y Alexa de Amazon, mostrando la capacidad de enviar comandos maliciosos a esos dispositivos.

Ataques inaudibles

El principio fundamental que hace que NUIT sea efectivo y peligroso es que los micrófonos en dispositivos inteligentes pueden responder a ondas de ultrasonido cercanas que el oído humano no puede, realizando así el ataque con un riesgo mínimo de exposición mientras se sigue utilizando la tecnología de altavoces convencionales.

En una publicación en el sitio de USTA, Chen explicó que NUIT podría incorporarse a sitios web que reproducen medios o videos de YouTube, por lo que engañar a los objetivos para que visiten estos sitios o reproduzcan medios maliciosos en sitios confiables es un caso relativamente simple de ingeniería social.

Los investigadores dicen que los ataques NUIT se pueden llevar a cabo utilizando dos métodos diferentes.

El primer método, NUIT-1, es cuando un dispositivo es tanto el origen como el objetivo del ataque. Por ejemplo, se puede lanzar un ataque en un teléfono inteligente reproduciendo un archivo de audio que hace que el dispositivo realice una acción, como abrir la puerta de un garaje o enviar un mensaje de texto.

El otro método, NUIT-2, es cuando el ataque es lanzado por un dispositivo con un altavoz a otro dispositivo con un micrófono, como un sitio web a un altavoz inteligente.

"Si reproduces YouTube en tu televisor inteligente, ese televisor inteligente tiene un altavoz, ¿verdad? El sonido de los comandos maliciosos de NUIT se volverá inaudible, y también puede atacar su teléfono celular y comunicarse con su Asistente de Google o dispositivos Alexa ", explicó G. Chen.

"Incluso puede suceder en Zooms durante las reuniones. Si alguien se reactiva, puede incrustar la señal de ataque para hackear su teléfono que se coloca junto a su computadora durante la reunión".

Chen explicó que el altavoz desde donde se lanza NUIT debe configurarse por encima de un cierto nivel de volumen para que el ataque funcione, mientras que los comandos maliciosos duran solo 0,77 segundos.



"Incluso puede suceder en Zooms durante las reuniones. Si alguien se reactiva, puede incrustar la señal de ataque para hackear su teléfono que se coloca junto a su computadora durante la reunión".

Chen explicó que el altavoz desde donde se lanza NUIT debe configurarse por encima de un cierto nivel de volumen para que el ataque funcione, mientras que los comandos maliciosos duran solo 0,77 segundos.



Los escenarios de ataque demostrados por los investigadores implican el envío de comandos a IoTs conectados al teléfono inteligente, como desbloquear puertas o deshabilitar alarmas domésticas, con poco riesgo de que la víctima se dé cuenta de que esta actividad está teniendo lugar.

Sin embargo, dado que los asistentes inteligentes también pueden realizar acciones como abrir sitios web, los atacantes podrían llevar a los teléfonos inteligentes a sitios web de "abrevadero" que pueden usarse para colocar malware en el dispositivo explotando una vulnerabilidad en su navegador sin interacción por parte de la víctima.

Eficacia y precauciones

Los investigadores probaron 17 dispositivos populares que ejecutan los asistentes de voz y descubrieron que todos son propietarios usando cualquier voz, incluso generada por robots, excepto Apple Siri, que requiere emular o robar la voz del objetivo para aceptar comandos.

Por lo tanto, si puede autenticarse en su dispositivo inteligente utilizando su huella digital vocal, se recomienda que active este método de seguridad adicional.

Chen también aconsejó que los usuarios monitoreen sus dispositivos de cerca para las activaciones de micrófonos, que tienen indicadores dedicados en pantalla en teléfonos inteligentes iOS y Android.

Finalmente, el uso de auriculares en lugar de altavoces para escuchar algo o transmitir sonido protege eficazmente contra NUIT o ataques similares.

Los detalles completos del ataque NUIT se presentarán en el 32º Simposio de Seguridad USENIX programado para el 9 y 11 de agosto de 2023, en el Anaheim Marriott en Anaheim, CA, EE.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Twitter ha eliminado el código fuente interno de su plataforma y herramientas que se filtraron en GitHub durante meses. Ahora está usando una citación para buscar a aquellos que filtraron y descargaron su código.

El viernes, GitHub cumplió con un aviso de infracción de DMCA emitido por Twitter porque la filtración expuso el código fuente propietario y las herramientas internas, lo que podría representar un riesgo de seguridad para Twitter.

Según el aviso de la DMCA, la filtración provino de alguien que usaba el identificador "FreeSpeechEnthusiast", una clara referencia a Elon Musk llamándose a sí mismo un absolutista de la libertad de expresión y sugiriendo que son un empleado descontento de Twitter.

Según un informe de The New York Times, no está claro cuándo se filtró el código, pero la publicación dice que "parecía haber sido público durante al menos varios meses".

Como solución para la infracción de derechos de autor, Twitter indicó que GitHub debería proporcionar información sobre el historial de acceso a la filtración, probablemente para determinar quién descargó o copió el código.

"Conserve y proporcione copias de cualquier historial de carga / descarga / acceso relacionado (y cualquier información de contacto, direcciones IP u otra información de sesión relacionada con el mismo), y cualquier registro asociado relacionado con este repositorio o cualquier bifurcación del mismo, antes de eliminar todo el contenido infractor de Github", se lee en el aviso de DMCA de Twitter a GitHub.

La cuenta de GitHub del filtrador sigue activa, pero ya no tiene repositorios públicos. Sin embargo, su actividad pasada muestra que la primera contribución del usuario (por ejemplo, comprometerse con un repositorio o abrir un tema / discusión) fue el 3 de enero.

Twitter ahora está intentando usar una citación para obligar a GitHub a proporcionar información de identificación sobre el usuario de FreeSpeechEnthusiasm y cualquier persona que acceda y distribuya el código fuente de Twitter filtrado, que se usaría para acciones legales adicionales.


En una respuesta a BleepingComputer, GitHub dijo que no tenían nada más que agregar, ya que es la política general de la plataforma no comentar sobre las decisiones de eliminar contenido.

Se desconoce cuántas personas accedieron o descargaron el código fuente filtrado de Twitter, pero el filtrador tenía pocos seguidores. Aun así, la filtración podría tener repercusiones para Twitter, ya que el código puede ser examinado para encontrar vulnerabilidades potencialmente explotables.

BleepingComputer se ha puesto en contacto con Twitter con una solicitud de comentarios sobre lo anterior, pero aún no hemos recibido una respuesta significativa.

En febrero de 2023, el propietario y CEO de Twitter, Elon Musk, anunció que la compañía abriría el algoritmo de la plataforma pronto, aunque aún no se ha definido una línea de tiempo.

Sin embargo, el 31 de marzo, se espera que Twitter abra el código utilizado para recomendar tweets, según un mensaje en la plataforma de Musk.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un nuevo malware que roba información ha puesto su mirada en el sistema operativo macOS de Apple para desviar información confidencial de dispositivos comprometidos.

Apodado MacStealer, es el último ejemplo de una amenaza que utiliza Telegram como una plataforma de comando y control (C2) para filtrar datos. Afecta principalmente a los dispositivos que ejecutan las versiones de macOS Catalina y posteriores que se ejecutan en CPU M1 y M2.

"MacStealer tiene la capacidad de robar documentos, cookies del navegador de la víctima e información de inicio de sesión", dijeron los investigadores de Uptycs Shilpesh Trivedi y Pratik Jeware en un nuevo informe.

Anunciado por primera vez en foros de piratería en línea a principios de mes, todavía es un trabajo en progreso, con los autores de malware planeando agregar funciones para capturar datos del navegador Safari de Apple y la aplicación Notes.

En su forma actual, MacStealer está diseñado para extraer datos de llaveros de iCloud, contraseñas e información de tarjetas de crédito de navegadores como Google Chrome, Mozilla Firefox y Brave. También cuenta con soporte para recolectar archivos, imágenes, archivos y scripts de Python de Microsoft Office.

El método exacto utilizado para entregar el malware no se conoce, pero se propaga como un archivo DMG (maleza.dmg) que, cuando se ejecuta, abre una solicitud de contraseña falsa para recolectar las contraseñas con el pretexto de buscar acceso a la aplicación Configuración del sistema.

MacStealer es uno de varios ladrones de información que han surgido en los últimos meses y se suma a un gran número de herramientas similares actualmente en la naturaleza.


Esto también incluye otra pieza de nuevo malware basado en C # llamado HookSpoofer que está inspirado en StormKitty y viene con capacidades de registro de teclas y clipper y transmite los datos robados a un bot de Telegram.

Otro malware de robo de cookies del navegador es Ducktail, que también utiliza un bot de Telegram para filtrar datos y resurgió a mediados de febrero de 2023 con tácticas mejoradas para eludir la detección.

Esto implica "cambiar la infección inicial de un archivo que contiene un ejecutable malicioso a un archivo que contiene un archivo LNK malicioso que iniciaría la cadena de infección", dijo el investigador de Deep Instinct Simon Kenin a principios de este mes.

El malware ladrón generalmente se propaga a través de diferentes canales, incluidos archivos adjuntos de correo electrónico, descargas de software falsas y otras técnicas de ingeniería social.

Para mitigar estas amenazas, se recomienda que los usuarios mantengan actualizado su sistema operativo y software de seguridad y eviten descargar archivos o hacer clic en enlaces de fuentes desconocidas.

"A medida que las Mac se han vuelto cada vez más populares en la empresa entre los equipos de liderazgo y desarrollo, más importantes son los datos almacenados en ellas para los atacantes", dijo el investigador de SentinelOne Phil Stokes la semana pasada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha lanzado una actualización fuera de banda para abordar una falla que derrota la privacidad en su herramienta de edición de captura de pantalla para Windows 10 y Windows 11.

El problema, denominado aCropalypse, podría permitir a los actores maliciosos recuperar partes editadas de capturas de pantalla, revelando potencialmente información confidencial que puede haber sido recortada.

Rastreada como CVE-2023-28303, la vulnerabilidad tiene una calificación de 3.3 en el sistema de puntuación CVSS. Afecta tanto a la aplicación Snip & Sketch en Windows 10 como a la herramienta Snipping en Windows 11.

"La gravedad de esta vulnerabilidad es baja porque la explotación exitosa requiere una interacción de usuario poco común y varios factores fuera del control de un atacante", dijo Microsoft en un aviso publicado el 24 de marzo de 2023.

La explotación exitosa requiere que se cumplan los dos requisitos previos siguientes:

• El usuario debe tomar una captura de pantalla, guardarla en un archivo, modificar el archivo (por ejemplo, recortarlo) y, a continuación, guardar el archivo modificado en la misma ubicación.
• El usuario debe abrir una imagen en Herramienta de recorte, modificar el archivo (por ejemplo, recortarlo) y, a continuación, guardar el archivo modificado en la misma ubicación.

Sin embargo, no afecta a los escenarios en los que una imagen se copia de la herramienta Recorte o se modifica antes de guardarla.

"Si toma una captura de pantalla de su extracto bancario, la guarda en su escritorio y recorta su número de cuenta antes de guardarlo en la misma ubicación, la imagen recortada aún podría contener su número de cuenta en un formato oculto que podría ser recuperado por alguien que tenga acceso al archivo de imagen completo", explica Microsoft.


"Sin embargo, si copia la imagen recortada de Snipping Tool y la pega en un correo electrónico o un documento, los datos ocultos no se copiarán y su número de cuenta estará seguro".

La vulnerabilidad se ha solucionado en la aplicación versión 10.2008.3001.0 de Snip y Sketch instalada en Windows 10 y la versión 11.2302.20.0 de Snipping Tool instalada en Windows 11.

aCropalypse salió a la luz por primera vez el 18 de marzo de 2022, cuando se descubrió que un error en la herramienta Markup de Google Pixel permitía revertir retroactivamente los cambios introducidos en las capturas de pantalla, recuperando así información personal de capturas de pantalla e imágenes redactadas, incluidas aquellas que se han recortado o tenían su contenido enmascarado.

Acreditados con el descubrimiento del problema están los ingenieros inversos Simon Aarons y David Buchanan. La falla de alta gravedad relacionada con Pixel, rastreada como CVE-2023-21036, se informó a Google el 2 de enero de 2023 y se solucionó a través de una actualización publicada el 6 de marzo de 2023 para dispositivos Pixel 4A, 5A, 7 y 7 Pro.

La deficiencia ha existido desde el lanzamiento de la utilidad Markup con Android 9 Pie en 2018, y las imágenes ya compartidas en los últimos cinco años son vulnerables al ataque Acropalypse, lo que plantea posibles problemas de privacidad.

"Puedes parcharlo, pero no puedes dejar de compartir fácilmente todas las imágenes vulnerables que puedas haber enviado", dijo Buchanan en un tweet, describiéndolo como "malo".

Un problema similar con el recorte reversible también se reveló recientemente en Google Docs, lo que permite a los usuarios con acceso de solo lectura recuperar versiones originales de imágenes recortadas en documentos compartidos sin tener los permisos de edición para hacerlo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El fabricante líder de cajeros automáticos de Bitcoin, General Bytes, reveló que los piratas informáticos robaron criptomonedas de la compañía y sus clientes utilizando una vulnerabilidad de día cero en su plataforma de gestión BATM.

General Bytes fabrica cajeros automáticos de Bitcoin que permiten a las personas comprar o vender más de 40 criptomonedas. Los clientes pueden implementar sus cajeros automáticos utilizando servidores de administración independientes o el servicio en la nube General Bytes.

Durante el fin de semana, la compañía reveló que los piratas informáticos explotaron una vulnerabilidad de día cero rastreada como BATM-4780 para cargar de forma remota una aplicación Java a través de la interfaz de servicio maestro de ATM y ejecutarla con privilegios de usuario 'batm'.

"El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó servicios CAS en ejecución en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean (nuestro proveedor de alojamiento en la nube recomendado)", explicó General Bytes en una divulgación de incidentes de seguridad.

La compañía recurrió a Twitter para instar a los clientes a "tomar medidas inmediatas" e instalar las últimas actualizaciones para proteger sus servidores y fondos de los atacantes.


Después de cargar la aplicación Java, los actores de amenazas pudieron realizar las siguientes acciones en dispositivos comprometidos:

• Posibilidad de acceder a la base de datos.
• Capacidad para leer y descifrar claves API utilizadas para acceder a fondos en billeteras calientes e intercambios.
• Envía fondos desde billeteras calientes.
• Descargue los nombres de usuario, sus hashes de contraseña y desactive 2FA.
• Capacidad para acceder a los registros de eventos del terminal y escanear cualquier instancia en la que los clientes escanearon claves privadas en el cajero automático. Las versiones anteriores del software ATM registraban esta información.

General Bytes advirtió que sus clientes y su propio servicio en la nube fueron violados durante los ataques.

"El servicio GENERAL BYTES Cloud fue violado, así como los servidores independientes de otros operadores", destaca el comunicado.

Aunque la compañía reveló cuánto dinero robó el atacante, proporcionaron una lista de direcciones de criptomonedas utilizadas por el pirata informático durante el ataque.

Estas direcciones muestran que el hacker comenzó a robar criptomonedas de los servidores de cajeros automáticos de Bitcoin el 17 de marzo, y la dirección de Bitcoin del atacante recibió 56.28570959 BTC, por un valor aproximado de $ 1,589,000, y 21.79436191 Ethereum, por un valor aproximado de $ 39,000.

Si bien la billetera Bitcoin todavía contiene la criptomoneda robada, los actores de amenazas parecen haber utilizado Uniswap para convertir el Ethereum robado en USDT.

Actualizar servidores ahora

Se insta a los administradores de CAS (Crypto Application Server) a examinar sus archivos de registro "maestros.log" y "admin.log" para detectar cualquier brecha de tiempo sospechosa causada por el atacante que elimina las entradas de registro para ocultar sus acciones en el dispositivo.

El informe del general Byte también advirtió que las aplicaciones JAVA maliciosas cargadas aparecerían en la carpeta "/batm/app/admin/standalone/deployments/" como archivos .war y .war.deployed con nombres aleatorios, como se muestra a continuación.

La compañía señala que los nombres de los archivos son probablemente diferentes por víctima.


Aquellos sin signos de una violación aún deben considerar todas sus contraseñas CAS y claves API comprometidas e invalidarlas inmediatamente y generar otras nuevas. Todas las contraseñas de usuario también deben restablecerse.

Las instrucciones detalladas paso a paso para todos los operadores de servidores sobre la protección de sus puntos finales se incluyen en la declaración de la compañía.

Cerrar el servicio en la nube

General Bytes dice que están cerrando su servicio en la nube, afirmando que le resulta "teóricamente (y prácticamente) imposible" protegerlo de los malos actores cuando debe proporcionar acceso simultáneamente a múltiples operadores.

La compañía proporcionará soporte con la migración de datos a aquellos que deseen instalar su propio CAS independiente, que ahora debe colocarse detrás de un firewall y VPN.

General Byte también ha publicado una corrección de seguridad CAS que corrige la vulnerabilidad explotada, proporcionada en dos parches, 20221118.48 y 20230120.44.

También destaca que el sistema violado se sometió a múltiples auditorías de seguridad desde 2021, pero ninguna identificó la vulnerabilidad explotada.

Además, los investigadores del intercambio de criptomonedas Kraken encontraron múltiples vulnerabilidades en los cajeros automáticos de General Bytes en 2021, que la compañía solucionó rápidamente.

Sin embargo, incluso con estas auditorías de seguridad, en agosto de 2022, General Bytes tuvo un incidente de seguridad donde los piratas informáticos explotaron una vulnerabilidad de día cero en sus servidores de cajeros automáticos para robar criptomonedas de sus clientes.

La compañía dice que planea realizar numerosas auditorías de seguridad de sus productos por parte de múltiples compañías en un corto período de tiempo para descubrir y corregir otras fallas potenciales antes de que los malos actores las encuentren.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ferrari ha revelado una violación de datos luego de una demanda de rescate recibida después de que los atacantes obtuvieron acceso a algunos de los sistemas de TI de la compañía.

"Lamentamos informarle de un incidente cibernético en Ferrari, donde un actor de amenazas pudo acceder a un número limitado de sistemas en nuestro entorno de TI", dice Ferrari en las cartas de notificación de incumplimiento enviadas a los clientes.

El fabricante italiano de autos deportivos de lujo dice que la información del cliente expuesta en el incidente incluye nombres, direcciones, direcciones de correo electrónico y números de teléfono.

Hasta ahora, Ferrari aún no ha encontrado evidencia de que se haya accedido o robado detalles de pago, números de cuentas bancarias u otra información de pago confidencial.

"Ferrari N.V. anuncia que Ferrari S.p.A., su filial italiana de propiedad absoluta, fue contactada recientemente por un actor de amenazas con una demanda de rescate relacionada con ciertos datos de contacto del cliente", dijo la compañía en un comunicado.

"Al recibir la demanda de rescate, inmediatamente comenzamos una investigación en colaboración con una empresa líder mundial de ciberseguridad de terceros".


Sin impacto en las operaciones de Ferrari

Ferrari ha tomado medidas para asegurar los sistemas comprometidos y dice que el ataque no ha tenido ningún impacto en las operaciones de la compañía.

Después de descubrir la violación, Ferrari también informó del ataque a las autoridades pertinentes y está trabajando con una empresa de ciberseguridad para investigar el alcance del impacto.

"Como política, Ferrari no será secuestrado, ya que pagar tales demandas financia la actividad criminal y permite a los actores de amenazas perpetuar sus ataques", agregó la compañía.

"En cambio, creímos que el mejor curso de acción era informar a nuestros clientes y, por lo tanto, hemos notificado a nuestros clientes sobre la posible exposición de datos y la naturaleza del incidente".

Un portavoz de Ferrari no estuvo disponible de inmediato para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Amazon Linux 2023 es la nueva versión de la distribución desarrollada por el gigante detrás del conocido bazar y de Amazon Web Services (AWS), que en esta ocasión llega con algunas novedades importantes que profundizan en la adopción de Fedora como base en lugar de Red Hat Enteprise Linux (RHEL).

Amazon Linux, como es de esperar para quienes conozcan las diversas facetas que abarca el gigante fundado por Jeff Bezos, es una distribución desarrollada por y para AWS. La propia compañía dice que es la preferida por sus clientes debido a la ausencia de costes de licencia y sobre todo por "la estrecha integración con herramientas y capacidades específicas de AWS", así como por facilitar un "acceso inmediato a nuevas innovaciones de AWS y una experiencia de soporte de un solo proveedor".

La corporación explica que Amazon Linux 2023 (AL2023) "está diseñado para proporcionar un entorno seguro, estable y de alto rendimiento para desarrollar y ejecutar sus aplicaciones en la nube". Entre las novedades que ofrece en comparación con Amazon Linux 2, nos encontramos con que SELinux se encuentra activado en modo permisivo y con IMDSv2 habilitado por defecto junto a la capacidad de parchear el kernel en caliente. Otras características mencionadas son "una integración perfecta con varios servicios y herramientas de desarrollo de AWS" y "un rendimiento optimizado para las instancias basadas en Graviton de Amazon Elastic Compute Cloud (EC2) y AWS Support sin costo de licencia adicional".

Profundizando un poco en otra de las características, Amazon explica que, con las "actualizaciones deterministas a través de repositorios versionados, puede bloquear una versión específica del repositorio de paquetes de Amazon Linux, lo que le brinda control sobre cómo y cuándo absorbe las actualizaciones. Con esta capacidad, puede cumplir con las mejores prácticas operativas de manera más eficiente al garantizar la coherencia entre las versiones de los paquetes y las actualizaciones en todo su entorno".

El gigante responsable del conocido bazar ha explicado que a partir de AL2023 habrá una nueva versión mayor de Amazon Linux que será publicada cada dos años y que cada lanzamiento contará con hasta cinco años de soporte. Con una cadencia clara y fija, se brinda un ciclo de lanzamiento predecible que debería facilitar la planificación por parte de los usuarios y los administradores de sistema.

La cadencia de lanzamientos y el tiempo máximo de soporte anunciados ponen en evidencia que Amazon Linux 2023 no se ajusta ni va en sincronía con ninguna versión de Fedora en particular. "Amazon Linux 2023 mantiene sus propios ciclos de vida y soporte independientes de Fedora. AL2023 proporciona versiones actualizadas de software de código abierto, una mayor variedad de paquetes y lanzamientos frecuentes."

"AL2023 GA incluye componentes de Fedora 34, 35 y 36. Algunos de los componentes son los mismos que los componentes de Fedora y algunos están modificados. Otros componentes se parecen más a los de CentOS 9 Stream o se desarrollaron de forma independiente".

En Phoronix han comparado Amazon Linux 2023 y Amazon Linux 2 para descubrir que el primero, según sus pruebas, rinde aproximadamente un 14% más que el segundo, lo que muestra que al menos en este sentido el cambio de base a Fedora ha sido un éxito. Todos los detalles sobre el lanzamiento que protagoniza esta entada pueden ser consultados a través del anuncio oficial y la documentación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La situación de Docker no es idílica desde hace tiempo. La empresa detrás del conocido motor de contenedores ha tomado en los últimos tiempos decisiones que han sembrado cierta desconfianza, pero la última puede que sea la que colme el vaso, ya que al parecer las cuentas que operan organizaciones de forma gratuita podrían desaparecer de Docker Hub, lo que puede terminar impactando negativamente en proyectos de código abierto.

Alex Ellis, fundador de OpenFaaS, cuenta en su blog personal que Docker ha enviado emails a usuarios de Docker Hub que han creado organizaciones que operan de forma gratuita para decirles que, si no pasan por caja en treinta días, sus cuentas serán eliminadas junto a todas sus imágenes después de un periodo de retención de otros treinta días. Las críticas que empezaron a aparecer a través de las redes hicieron que Docker suavizara un poco el mensaje, pero parece que, al menos por ahora, están decididos a seguir adelante con la eliminación de las cuentas que hayan creado una organización que opera bajo el plan gratuito.

Alex Ellis explica que, si bien no se opone que Docker pueda generar dinero, el último movimiento realizado por la compañía podría acarrear algunos problemas. Para empezar, las organizaciones que quieran almacenar imágenes públicas en Docker Hub tendrán que pagar 420 dólares anuales, estima.

Aquí nos encontramos con que muchos proyectos de código abierto están desarrollados y mantenidos por una única persona o por pequeñas organizaciones que no tienen el músculo económico suficiente como para pasar por caja. Ellis expone que entendería que esto se aplicara a los repositorios privados o a las nuevas organizaciones, pero no a las que están presentes.

Muchos proyectos de código abierto han publicado sus imágenes en Docker Hub durante años de forma pública, gratuita y a través de una organización. Alex Ellis expone que esta vía abre la puerta a que cualquiera pueda «ciberocupar» las imágenes para publicar contenido malicioso. Debido a eso, las imágenes comunitarias y gratuitas de OpenFaaS ahora son publicadas en el registro de contenedores de GitHub.

El último problema señalado por Ellis es que "Docker tiene una definición hostil y fuera de contacto de lo que está permitido para su programa de código abierto. Descarta todo lo que no sean proyectos de tiempo libre o proyectos que hayan sido totalmente donados a una fundación de código abierto", denuncia.

¿Qué se puede hacer en caso de estar empleando una organización en Docker Hub que opera de forma gratuita? El fundador de OpenFaaS recomienda a los usuarios legítimos, en caso de ser viable la eliminación completa de la organización, ciberocupar las imágenes antes de que lo haga un actor malicioso. Para ello habría que crear una nueva cuenta personal en Docker Hub, hacer una réplica de todas las imágenes y etiquetas hacia dicha cuenta nueva, eliminar la organización y renombrar la nueva cuenta de usuario personal para que coincida con el que tenía la organización.

Por ahora parece que los usuarios individuales sí podrán seguir operando de forma gratuita, pues el plan de suscripción gratuito no desaparece, aunque se dirige solo a individuos. La otra vía es publicar las imágenes en el Registro de Contenedores de GitHub, el cual ofrece almacenamiento gratuito. Alex Ellis avisa que esta solución no es una panacea, ya que "GitHub también perjudicó a los desarrolladores de código abierto fue cuando canceló todos los patrocinios a los mantenedores a los que se les pagaba a través de PayPal".

Ellis recalca que, a pesar de sus críticas hacia la decisión de Docker, no se considera como una persona que piense que todo el software y todos los servicios deban ser gratuitos y es más, él mismo emplea una cuenta personal de pago en Docker Hub para obtener las imágenes base como las de Go y Node.js como parte su trabajo en torno al código abierto. Eso sí, lo de publicar imágenes es ya otro asunto.

Veremos qué pasa con Docker Hub en un futuro si la empresa responsable decide mantenerse firme en su decisión. El propio Alex Ellis ha enlazado en su blog los ingresos que Docker, los cuales han aumentado mucho en los últimos años.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha publicado un script para facilitar la revisión de una vulnerabilidad de seguridad de omisión de BitLocker en el Entorno de recuperación de Windows (WinRE).

Este script de PowerShell (KB5025175) simplifica el proceso de proteger las imágenes de WinRE contra los intentos de aprovechar el error CVE-2022-41099 que permite a los atacantes omitir los dispositivos de almacenamiento del sistema de la característica de cifrado de dispositivos de BitLocker.

La explotación exitosa de esto permite a los actores de amenazas con acceso físico acceder a datos cifrados en ataques de baja complejidad.

Según Microsoft, la vulnerabilidad no se puede explotar si el usuario ha habilitado la protección TPM + PIN de BitLocker.

"El script de ejemplo de PowerShell fue desarrollado por el equipo de producto de Microsoft para ayudar a automatizar la actualización de imágenes WinRE en dispositivos Windows 10 y Windows 11", dice Microsoft en un documento de soporte publicado el jueves.

"Ejecute el script con credenciales de administrador en PowerShell en los dispositivos afectados. Hay dos scripts disponibles: el script que debe usar depende de la versión de Windows que esté ejecutando.

La versión de script recomendada es PatchWinREScript_2004plus.ps1, que ayuda a aplicar las actualizaciones de seguridad en sistemas que ejecutan Windows 10 2004 y versiones posteriores (incluido Windows 11).

El otro script de PowerShell (PatchWinREScript_General.ps1) es menos robusto y debe usarse en Windows 10 1909 y versiones anteriores (aunque se ejecutará en todos los sistemas Windows 10 y Windows 11).


Cómo utilizar el script de revisión de WinRE

Los scripts de revisión CVE-2022-41099 se pueden ejecutar desde Windows PowerShell y permiten a los administradores especificar la ruta de acceso y el nombre del paquete de actualización dinámica de SO seguro que se debe usar para actualizar la imagen de WinRE.

Estos paquetes de actualización son específicos de la versión del sistema operativo y de la arquitectura del procesador, y deben descargarse previamente del Catálogo de Microsoft Update.

Los scripts también permiten pasar un parámetro workDir para seleccionar el espacio temporal que se utilizará durante el proceso de aplicación de parches (si no se especifica, el script utilizará la carpeta temporal predeterminada de Windows).

Una vez iniciado, el script seguirá los siguientes pasos:

• Monte la imagen de WinRE existente (WINRE. WIM).
• Actualice la imagen de WinRE con el paquete especificado de actualización dinámica de SO seguro (actualización de compatibilidad) disponible en el Catálogo de Windows Update (se recomienda la actualización más reciente disponible para la versión de Windows instalada en el dispositivo)
• Desmonte la imagen de WinRE.
• Si el protector TPM de BitLocker está presente, vuelve a configurar WinRE para el servicio BitLocker.

Después de ejecutar el script, no será necesario reiniciar el sistema para completar el proceso de revisión de imágenes de WinRE.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La NBA (Asociación Nacional de Baloncesto) está notificando a los fanáticos de una violación de datos después de que parte de su información personal, "en retención" de un servicio de boletín de terceros, fuera robada.

La NBA es una organización global de deportes y medios de comunicación que administra cinco ligas deportivas profesionales, incluidas la NBA, la WNBA, la Basketball Africa League, la NBA G League y la NBA 2K League.

La programación y los juegos de la NBA se transmiten en todo el mundo, en más de 215 países y territorios, abarcando más de 50 idiomas.

En los correos electrónicos de "Aviso de incidente de ciberseguridad" enviados a un número desconocido de fanáticos, la NBA dice que sus sistemas no fueron violados y que las credenciales de los fanáticos afectados no se vieron afectadas en este incidente. Sin embargo, la información personal de algunos fanáticos fue robada.


"Recientemente nos dimos cuenta de que un tercero no autorizado obtuvo acceso y obtuvo una copia de su nombre y dirección de correo electrónico, que estaba en manos de un proveedor de servicios externo que nos ayuda a comunicarnos por correo electrónico con los fanáticos que han compartido esta información con la NBA", dice la NBA.

"No hay indicios de que nuestros sistemas, su nombre de usuario, contraseña o cualquier otra información que haya compartido con nosotros se hayan visto afectados".

Después de ser informada del incidente, la NBA está trabajando con el proveedor de servicios externo como parte de una investigación en curso y ha contratado los servicios de expertos externos en ciberseguridad para analizar el alcance del impacto.

Se advierte a los fanáticos que tengan cuidado con los ataques de phishing

La NBA también advirtió que, debido a la naturaleza sensible de los datos involucrados, existe una mayor probabilidad de que las personas afectadas puedan ser blanco de ataques de phishing y varias estafas.

Se alentó encarecidamente a los fanáticos afectados a permanecer atentos al abrir correos electrónicos o comunicaciones sospechosas que puedan parecer originadas por la NBA o sus socios.

"Dada la naturaleza de la información, puede haber un mayor riesgo de que reciba correos electrónicos de 'phishing' de cuentas de correo electrónico que parecen estar afiliadas a la NBA, o de ser blanco de otros ataques llamados de 'ingeniería social' (donde un individuo busca engañar al objetivo para que comparta información confidencial o tome medidas contrarias a su propio interés, ", dijo la NBA.

Los correos electrónicos de notificación agregan que la NBA nunca solicitará la información de la cuenta de los fanáticos, incluidos nombres de usuario o contraseñas, por correo electrónico.

También se recomienda a los fans afectados que verifiquen que los correos electrónicos recibidos se envíen desde una dirección de correo electrónico legítima "@nba.com", que verifiquen que los enlaces incrustados apunten a un sitio web de confianza y que nunca abran archivos adjuntos de correo electrónico que no esperan recibir.

Un portavoz de la NBA no estuvo disponible para hacer comentarios cuando fue contactado por BleepingComputer el día de hoy.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La explotación de día cero de una falla de seguridad de gravedad media ahora parcheada en el sistema operativo Fortinet FortiOS se ha relacionado con un presunto grupo de piratería chino.

La firma de inteligencia de amenazas Mandiant, que hizo la atribución, dijo que el grupo de actividad es parte de una campaña más amplia diseñada para implementar puertas traseras en las soluciones de Fortinet y VMware y mantener el acceso persistente a los entornos de las víctimas.

La firma de inteligencia de amenazas y respuesta a incidentes propiedad de Google está rastreando la operación maliciosa bajo su apodo sin categorizar UNC3886, un actor de amenazas de nexo con China.

"UNC3886 es un grupo avanzado de ciberespionaje con capacidades únicas en la forma en que operan en la red, así como las herramientas que utilizan en sus campañas", dijeron los investigadores de Mandiant en un análisis técnico.

"UNC3886 se ha observado apuntando a tecnologías de firewall y virtualización que carecen de soporte EDR. Su capacidad para manipular el firmware del firewall y explotar un día cero indica que han seleccionado un nivel más profundo de comprensión de tales tecnologías".

Vale la pena señalar que el adversario estaba vinculado previamente a otro conjunto de intrusiones dirigido a servidores VMware ESXi y Linux vCenter como parte de una campaña de hiperjacking diseñada para eliminar puertas traseras como VIRTUALPITA y VIRTUALPIE.

La última revelación de Mandiant se produce cuando Fortinet reveló que las entidades gubernamentales y las grandes organizaciones fueron víctimas de un actor de amenazas no identificado al aprovechar un error de día cero en el software Fortinet FortiOS para provocar la pérdida de datos y la corrupción del sistema operativo y los archivos.

La vulnerabilidad, rastreada como CVE-2022-41328 (puntuación CVSS: 6.5), se refiere a un error de recorrido de ruta en FortiOS que podría conducir a la ejecución de código arbitrario. Fue parcheado por Fortinet el 7 de marzo de 2023.

Según Mandiant, los ataques montados por UNC3886 se dirigieron a los dispositivos FortiGate, FortiManager y FortiAnalyzer de Fortinet para implementar dos implantes diferentes como THINCRUST y CASTLETAP. Esto, a su vez, fue posible debido al hecho de que el dispositivo FortiManager estaba expuesto a Internet.


THINCRUST es una puerta trasera de Python capaz de ejecutar comandos arbitrarios, así como leer y escribir desde y hacia archivos en el disco.

La persistencia ofrecida por THINCRUST se aprovecha posteriormente para entregar scripts FortiManager que arman la falla transversal de ruta de FortiOS para sobrescribir archivos legítimos y modificar imágenes de firmware.

Esto incluye una carga útil recién agregada llamada "/ bin / fgfm" (conocida como CASTLETAP) que se dirige a un servidor controlado por actores para aceptar instrucciones entrantes que le permiten ejecutar comandos, obtener cargas útiles y filtrar datos del host comprometido.


"Una vez que CASTLETAP se implementó en los firewalls FortiGate, el actor de amenazas se conectó a las máquinas ESXi y vCenter", explicaron los investigadores. "El actor de amenazas implementó VIRTUALPITA y VIRTUALPIE para establecer la persistencia, permitiendo el acceso continuo a los hipervisores y las máquinas invitadas".

Alternativamente, en los dispositivos FortiManager que implementan restricciones de acceso a Internet, se dice que el actor de amenazas ha pivotado desde un firewall FortiGate comprometido con CASTLETAP para dejar caer una puerta trasera de shell inversa llamada REPTILE ("/ bin / klogd") en el sistema de administración de red para recuperar el acceso.

UNC3886 también emplea en esta etapa una utilidad denominada TABLEFLIP, un software de redirección de tráfico de red para conectarse directamente al dispositivo FortiManager independientemente de las reglas de lista de control de acceso (ACL) implementadas.

Esta está lejos de ser la primera vez que los colectivos adversarios chinos se han dirigido a equipos de red para distribuir malware a medida, con ataques recientes que aprovechan otras vulnerabilidades en dispositivos Fortinet y SonicWall.

La revelación también se produce cuando los actores de amenazas están desarrollando e implementando exploits más rápido que nunca, con hasta 28 vulnerabilidades explotadas dentro de los siete días posteriores a la divulgación pública, un aumento del 12% con respecto a 2021 y un aumento del 87% con respecto a 2020, según Rapid7.

Esto también es significativo, sobre todo porque los equipos de piratería alineados con China se han vuelto "particularmente competentes" en la explotación de vulnerabilidades de día cero y el despliegue de malware personalizado para robar credenciales de usuario y mantener el acceso a largo plazo a las redes objetivo.

"La actividad [...] es una prueba más de que los actores avanzados de amenazas de ciberespionaje están aprovechando cualquier tecnología disponible para persistir y atravesar un entorno objetivo, especialmente aquellas tecnologías que no admiten soluciones EDR", dijo Mandiant.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las autoridades policiales de Estados Unidos arrestaron a un hombre de Nueva York en relación con la gestión del infame foro de piratería BreachForums bajo el alias en línea "Pompompurin".

El desarrollo, reportado por primera vez por Bloomberg Law, se produce después de que News 12 Westchester, a principios de esta semana, dijera que los investigadores federales "pasaron horas dentro y fuera de una casa en Peekskill".

"En un momento dado, los investigadores fueron vistos sacando varias bolsas de evidencia de la casa", agregó el servicio local de noticias con sede en Nueva York.

Según una declaración jurada presentada por la Oficina Federal de Investigaciones (FBI), el sospechoso se identificó como Conor Brian Fitzpatrick y admitió ser el propietario del sitio web BreachForums.

"Cuando arresté al acusado el 15 de marzo de 2023, me declaró en sustancia y en parte que: a) su nombre era Conor Brian Fitzpatrick; b) usó el alias 'pompompurin', y c) era el propietario y administrador de 'BreachForums'", dijo el agente especial del FBI, John Longmire.

Fitzpatrick ha sido acusado de un cargo de conspiración para solicitar individuos con el propósito de vender dispositivos de acceso no autorizados.

El acusado fue liberado un día después con una fianza de $ 300,000 firmada por sus padres y está programado para comparecer ante el Tribunal de Distrito para el Distrito Este de Virginia el 24 de marzo de 2023.

Además de tener prohibido obtener un pasaporte u otro documento de viaje internacional, a Fitzpatrick se le ha restringido contactar a sus co-conspiradores y usar un narcótico u otras sustancias controladas a menos que sea recetado por un médico con licencia.

BreachForums surgió el año pasado, tres semanas después de que una operación coordinada de aplicación de la ley tomara el control de RaidForums en marzo de 2022.

"En el hilo de bienvenida del actor de amenazas, 'pompompurin' declaró que habían creado BreachForums como una alternativa a RaidForums, pero que 'no estaba afiliado a RaidForums en ninguna capacidad'", dijo la firma de ciberseguridad Flashpoint en ese momento.


Desde entonces, el foro ha atraído notoriedad por alojar bases de datos robadas pertenecientes a varias compañías, que a menudo incluyen información personal confidencial.

A raíz del arresto de Fitzpatrick, otro usuario del foro llamado Baphomet dijo que estaban tomando posesión del sitio web, señalando que no hay evidencia de "acceso o modificaciones a Breach".

"Mi única respuesta a [la policía], o a cualquier medio de comunicación es que no tengo preocupaciones por mí mismo en este momento", dijo Baphomet en el anuncio. "OPSEC ha sido mi enfoque desde el primer día, y afortunadamente no creo que ningún león de montaña me ataque en mi pequeño bote de pesca".

El desarrollo se produce cuando la Policía Cibernética de Ucrania anunció el arresto de un desarrollador de 25 años que creó un troyano de acceso remoto que infectó a más de 10,000 computadoras bajo la apariencia de aplicaciones de juegos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login