Microsoft está investigando un problema conocido que causa fallas de autenticación para algunos servicios de Windows después de instalar actualizaciones lanzadas durante el martes de parches de mayo de 2022.

Esto ocurre después de que los administradores de Windows comenzaron a compartir informes de fallas en algunas políticas después de instalar las actualizaciones de seguridad de este mes con "Falló la autenticación debido a una falta de coincidencia de credenciales de usuario. El nombre de usuario proporcionado no se asigna a una cuenta existente o la contraseña era incorrecta". errores
El problema afecta a las plataformas y sistemas Windows de cliente y servidor que ejecutan todas las versiones de Windows, incluidas las últimas versiones disponibles (Windows 11 y Windows Server 2022).

Microsoft dice que el problema conocido solo se activa después de instalar las actualizaciones en los servidores utilizados como controladores de dominio. Las actualizaciones no tendrán un impacto negativo cuando se implementen en dispositivos cliente de Windows y servidores de Windows que no sean controladores de dominio.

"Después de instalar las actualizaciones lanzadas el 10 de mayo de 2022 en sus controladores de dominio, es posible que vea fallas de autenticación en el servidor o el cliente para servicios como Network Policy Server (NPS) , Servicio de enrutamiento y acceso remoto (RRAS) , Radius , Protocolo de autenticación extensible ( EAP) y Protocolo de autenticación extensible protegido (PEAP) ", explica Microsoft.

"Se encontró un problema relacionado con la forma en que el controlador de dominio maneja la asignación de certificados a cuentas de máquina".

Redmond está investigando este problema recientemente reconocido y proporcionará una actualización que lo abordará en una próxima versión.

Causado por actualizaciones de seguridad, solución alternativa disponible

Microsoft explica en un documento de soporte separado que estos problemas continuos de autenticación de servicios son causados ​​por actualizaciones de seguridad que abordan CVE-2022-26931 y CVE-2022-26923, dos elevaciones de vulnerabilidades de privilegios en Windows Kerberos y Active Directory Domain Services.

El más grave, CVE-2022-26923 (descubierto por el investigador de seguridad Oliver Lyak y denominado Certifried ), puede permitir que los atacantes con acceso a una cuenta con privilegios bajos eleven los privilegios al administrador del dominio en las configuraciones predeterminadas de Active Directory.

Para abordar el problema conocido hasta que haya una actualización oficial disponible, Microsoft recomienda asignar certificados manualmente a una cuenta de máquina en Active Directory.

"Si la mitigación preferida no funciona en su entorno, consulte ' KB5014754 — Cambios en la autenticación basada en certificados en los controladores de dominio de Windows' para conocer otras posibles mitigaciones en la sección de claves de registro de SChannel ", agregó la compañía .

" Cualquier otra mitigación, excepto las mitigaciones preferidas, podría reducir o deshabilitar el fortalecimiento de la seguridad".

Microsoft dice que las actualizaciones de mayo de 2022 configuran automáticamente la clave de registro StrongCertificateBindingEnforcement, que cambia el modo de aplicación del Centro de distribución de Kerberos (KDC) al modo de compatibilidad (y esto debería permitir todos los intentos de autenticación a menos que el certificado sea más antiguo que el usuario).

Sin embargo, un administrador de Windows le dijo a BleepingComputer que la única forma de lograr que algunos de sus usuarios iniciaran sesión con esta actualización era deshabilitar la clave StrongCertificateBindingEnforcement configurándola en 0.

Si no encuentra la clave en el registro, créela desde cero usando un tipo de datos REG_DWORD y configúrelo en 0 para deshabilitar la verificación de asignación de certificados seguros (aunque Microsoft no lo recomienda, es la única forma de permitir que todos los usuarios inicien sesión). en).

En noviembre, Microsoft también abordó las fallas de autenticación de Windows Server relacionadas con los escenarios de delegación de Kerberos que afectan a los controladores de dominio (DC) a través de actualizaciones fuera de banda .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OpenMediaVault 6 es la nueva versión del sistema para NAS basada en Debian 11 que ha venido con una nueva interfaz de usuario escrita desde cero. Además OMV permitirá disponer de todas las funciones para almacenamiento en red que puedas imaginar. También incluye soporte para protocolos SSH para conexión remota segura para su administración, SFTP y FTP para subir o descargar archivos, RSync para sincronización de archivos, cliente BitTorrent, etc. Y eso no es casi nada, ya que tiene un diseño modular para que puedas agregar aún más funciones gracias a sus complementos.

Por otro lado, cabe destacar que OpenMediaVault tiene un historial comprobado como solución NAS sólida, y al saber que Debian está detrás, eso significa solidez, seguridad y estabilidad. OpenMediaVault surgió en 2009, como un sucesor para el conocido FreeNAS (ahora llamado TrueNAS) que se basaba en FreeBSD. Además, no solo es un sucesor sin más, sino que tiene a uno de los desarrolladores originales de FreeNAS trabajando en OMV, pero ahora empleando un sistema diferente.

El proyecto se ha diseñado especialmente para el uso en entornos domésticos debido a su sencillez de gestión, o para PYMEs, aunque no está limitado a esos segmentos y puede dar mucho más des sí. Con su interfaz web fácil tendrás una buena solución NAS lista para usar y sin necesidad de conocimientos adicionales de informática. Y ahora podrás disfrutar de todas las novedades que se han incluido en OpenMediaVault 6, la última versión estable de este proyecto:

- Basada en Debian 11 en vez de Debian 10 como la serie 5.x
- Nueva interfaz gráfica totalmente diseñada desde cero para ser más limpia, moderna, fácil de usar y con las últimas tendencias
- Complementos basados en contenedores (S3, OwnTone, PhotonPrism, WeTTY, FileBrowser, Ondrive, monitorización SMART,...)
- Soporte para papelera de reciclaje para SMB
- Otras muchas mejoras, entre las que se encuentran gran cantidad de corrección de bugs

Si ya tienes OpenMediaVault 5.x y quieres actualizar a OMV 6, debes tener precaución y asegurarte de que tu hardware no usa controladores JMicron USB, ya que puede dar problemas como han detectado algunos usuarios. En el resto de los casos puedes actualizar sin miedo. Y, recuerda, OMV 5 llega a su fin a finales del mes de junio de 2022, momento en el que cesa el soporte y ya no habrá actualizaciones de correcciones y parches de seguridad para tapar vulnerabilidades. Por eso, es importante pasarse a la versión 6.x proton...

Recuerda que la ISO de OpenMediaVault 6 la puedes encontrar también para arquitectura ARM, para usar un NAS basado en la Raspberry Pi.

Más información de OpenMediaVault – Sitio web oficial

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No es la primera, la segunda, la tercera, la cuarta, ni siquiera la quinta vez que en los últimos años tenemos noticias de China en relación a Linux por uno u otro motivo, normalmente con intenciones de adopción y, por lo tanto, abandono de Windows. Pues he aquí una más en el mismo sentido.

Según recogíamos en MC, China «habría dado la orden para que las oficinas gubernamentales y las empresas respaldadas por el estado reemplacen los equipos informáticos de marcas extranjeras por otros que puedan ser mantenidos totalmente dentro de sus fronteras» con «la intención de llevar el plan a cabo en los próximos dos años y solo en las agencias del gobierno central se podrían reemplazar 50 millones de ordenadores.»

Así, marcas como Dell, HP u otras de origen estadounidense serán las primeras perjudicadas de una nueva política que tampoco es ajena en su territorio, en el que en nombre no tanto de la independencia tecnológica, como se arguye ser el caso de China, como de la seguridad nacional, se ha hecho el vacío a marcas chinas para con su contratación y uso en instituciones oficiales, especialmente de carácter gubernamental.

Y al revés: donde unas marcas se van a ver afectadas, otras van a aprovechar la oportunidad para colocarse mejor de lo que están en uno de los mercados más importantes del mundo, no solo a nivel doméstico, sino estatal. Se trata de marcas chinas, sobra decirlo, y son unas cuantas más aparte de Lenovo, Huawei, Xiaomi y otras, que también están bien situadas en el nuevo marco.

Por supuesto, aunque esta nueva orden se refiere solo al hardware, también implica de manera intrínseca al software y ya sabemos cuál es el sistema de reemplazo de Windows mejor posicionado para un proyecto como el chino, de independencia tecnológica, de control y desarrollo propios. Ahí están distribuciones como Deepin o Ubuntu Kylin... u otras más desconocidas, pero con mucho más potencial, véase a modo de ejemplo Inspur K-UX, derivada de Red hat Enterprise Linux y una de los pocas distribuciones Linux con certificación Unix.

Con todo, ahora toca ver hasta dónde se llega con la medida, porque si bien es cierto que los chinos han avanzado mucho en la adopción de Linux, no lo es menos que se han servido de estos movimientos para sacarle a Microsoft lo que no está escrito, de expansiones del soporte de sistemas muertos en el resto del mundo como Windows XP, a muchas otras ofertas en la forma generalizada de licencias de software casi regaladas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva campaña de distribución de malware RedLine promueve bots de caja misteriosa NFT de Binance falsos en YouTube para atraer a las personas a infectarse con el malware que roba información de los repositorios de GitHub.

Las cajas misteriosas de Binance son conjuntos de elementos aleatorios de fichas no fungibles (NFT) que las personas compran con la esperanza de recibir un elemento único o raro a un precio de ganga. Algunos de los NFT que se encuentran en estas cajas se pueden usar para agregar cosméticos o personajes raros dentro de los juegos de cadena de bloques en línea.

Las cajas misteriosas están de moda en el mercado de NFT porque brindan a las personas la alegría de lo desconocido y el potencial de un gran día de pago si obtienen un NFT raro. Sin embargo, los mercados como Binance los ofrecen en cantidades limitadas, lo que hace que algunas cajas sean difíciles de conseguir antes de que se agoten.

Esta es la razón por la cual los compradores interesados ​​a menudo implementan "bots" para adquirirlos, y es precisamente esta tendencia candente la que los actores de amenazas están tratando de aprovechar.

Abuso de YouTube y GitHub

Según un nuevo informe de Netskope , los actores de amenazas están creando videos de YouTube para atraer a las víctimas potenciales a descargar e instalar el malware en su computadora, pensando que están obteniendo un bot de reventa de caja misteriosa gratis.


BleepingComputer confirmó que los videos enumerados en los  indicadores de compromiso  todavía están disponibles en YouTube, aunque tienen un bajo número de visitas.

Es probable que haya muchos más que los detectados por Netskope, y también es posible que los moderadores de YouTube hayan denunciado y eliminado videos fraudulentos anteriores con una mayor cantidad de visitas.

Los actores de amenazas subieron los videos entre marzo y abril de 2022 y todos incluyen un enlace a un repositorio de GitHub que supuestamente aloja el bot pero, en realidad, distribuye RedLine.


El nombre del archivo soltado es "BinanceNFT.bot_v1.3.zip", que contiene un ejecutable con un nombre similar, que es la carga útil, un instalador de Visual C++ y un archivo README.txt.


RedLine requiere que se ejecute el instalador redistribuible de VC, ya que el programa está desarrollado en .NET, mientras que el archivo de texto contiene las instrucciones de instalación para la víctima.


En esta campaña, RedLine se configuró para salir si el malware detectaba que el país en la computadora host era Rusia, Ucrania, Bielorrusia, Armenia, Azerbaiyán, Kazajstán, Moldavia, Uzbekistán, Tayikistán o Kirguistán.

Además de la campaña RedLine vista por Netskope, BleepingComputer notó nuevas campañas de YouTube que promocionaban un 'Binance NFT Bot' gratuito.


Sin embargo, estas campañas utilizan URL de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que redirigen a descargas alojadas en MediaFire. Según VirusTotal , esta campaña también está distribuyendo troyanos que roban contraseñas.

La amenaza RedLine continúa
RedLine es una amenaza muy popular y potente en el espacio del malware que roba información, siendo distribuida por múltiples actores de amenazas y en  una amplia variedad de formas .

Actualmente se vende a operadores independientes bajo un modelo de suscripción por $ 100 por mes y admite el robo de contraseñas de inicio de sesión y cookies de  navegadores web , datos de aplicaciones de chat, credenciales de VPN y billeteras de criptomonedas.

En campañas con temas de criptomonedas, como esta, las víctimas suelen poseer activos digitales y criptomonedas, lo que hace que el daño financiero sea aún más significativo.

Una cosa que siempre se debe tener en cuenta es que la legitimidad de plataformas como YouTube y GitHub no equivale automáticamente a la confiabilidad del contenido, ya que faltan controles de carga y procedimientos de moderación en estos sitios.

Nunca es una buena idea hacer clic en los enlaces proporcionados debajo o en videos subidos por pequeños y  oscuros canales de YouTube , descargar archivos ejecutables y ejecutarlos en su sistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El mercado de las criptodivisas está desplomándose. La situación económica, la inflación y la reciente subida de tipos de interés en EEUU ha provocado caídas generalizadas no solo en la bolsa, sino también en unas criptodivisas que están viendo caídas del 80-90% respecto a los valores máximos que cosecharon hace tan solo unos meses. Las caídas se han precipitado, y los analistas apuntan a gran culpable: las criptomonedas UST y LUNA del ecosistema Terra, que algunos ya han apodado como las responsables del 'momento Lehman Brothers' de las cripto. Veamos qué es todo esto.

Qué es Terra. Se trata de un ecosistema con una cadena de bloques, como también lo son bitcoin (con su token BTC) o Ethereum (con los ETH). En este caso Terra está diseñada para emitir stablecoins algorítmicas. Hay varias asociadas a la plataforma, aunque la más conocida es Terra USD (UST).

Estas stablecoins algorítmicas están respaldadas por el token nativo de este ecosistema, que se llama LUNA y no es estable, como veremos más adelante. La red Terra se basa en un algoritmo de consenso PoS, y los inversores pueden hacer stacking  a través de una aplicación descentralizada llamada Terra Station.

Las stablecoin tienen un propósito. Esas stablecoins algorítmicas del ecosistema Terra están vinculadas ('pegged') a monedas fiat tradicionales, especialmente al dólar, y los algoritmos prometen mantener esa paridad 1:1 que hace que en esencia durante la inmensa mayoría de su existencia, 1 UST = 1 dólar. Las variaciones han sido mínimas, y con ello los inversores tenían un recurso para no salir del segmento de las criptomonedas y cambiar desde cualquier criptomonedas a UST y luego usar esos UST para comprar otras criptomonedas como si estuvieran usando dólares.

Para qué servía LUNA. Al contrario que las stablecoins emitidas en la plataforma Terra, LUNA no es una stablecoin, es un token convencional, pero importante porque sirve para respaldar y estabilizar ese vínculo o 'peg' de UST y el resto de stablecoins emitidas por Terra.

Como explicaba Fernando Gutiérrez en un hilo en Twitter, LUNA es el mecanismo que facilitaba respaldar y operar con UST. La demanda y la oferta de UST se regulaba mediante el precio de LUNA, que subía si se reducía la oferta de UST y bajaba si ocurría lo contrario y la demanda bajaba. Teóricamente si había una desviación del vínculo, se podía arbitrar en el proceso comprando o vendiendo LUNA.


La cosa se lía. Unos cambios en la emisión de UST hacían que cuando alguien pagaba con LUNA para comprar UST, no se "quemaran/destruyesen" esos tokens: se guardaba una parte y esos fondos servían para comprar bitcoin. La reserva de bitcoins la gestionaba la Luna Foundation Guard (LFG), una ONG dedicada a garantizar el vínculo de UST y la correspondencia 1 UST = 1 dólar.

Un protocolo llamado Anchor ofrecía casi un 20% si depositábas UST: era una inversión compleja que generó una demanda altísima y que favoreció que LUNA subiese mucho de valor: a principios de mayo superó los 116 dólares. Los responsables del protocolo anunciaron que para garantizar sus sostenbilidad reducían el interés a cerca de un 15%, lo que hizo que se redujese la demanda de UST. Consecuencia: presión sobre el precio de LUNA.


LUNA pierde el 99% de su valor. A todo ello se unió la situación económica y la caída de las criptomonedas, que afectaron también a LUNA y a UST, cuyo vínculo se rompió ('depeg'). Hay quien argumenta que esto se debe a un ataque de un gran inversor, pero no está confirmado. Lo cierto es que un dólar ya no era un UST: el valor cayó ya la gente empezó a vender de forma masiva. La LFG usó su reserva de bitcoin para comprar UST en el mercado y reducir la presión: vendió 1.500 millones de dólares en bitcoin y eso agravó aún más la caída de esta y el resto de criptomonedas.

UST recuperó un poco de terreno para luego volver a perderlo, y a estas horas está a 0,48 dólares cuando, repetimos, jamás se había movido del rango de los 0,99-1,01 dólares. El futuro no pinta bien aunque parece haber intentos de rescatar a UST y LUNA, que de valer casi 118 dólares hace un mes ha pasado a valer apenas 5 centavos (en nuestro anterior artículo, hace unas horas, eran 26 centavos). Mientras, en el subreddit de LUNA han dejado fijados en la parte superior los números de teléfono de atención al suicidio por las enormes pérdidas que esto está generando para muchas personas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Gracias You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login !! Uso con frecuencia LinkedIn!

@ANTRAX un gusto, hay que estar pendientes pues últimamente LinkedIn ha tenido demasiados fallos, caídas, entre otros problemas que están siendo aprovechadas por terceros y de que manera...

¡Saludos!

Microsoft dio a conocer recientemente la liberación de la primera actualización estable de la nueva rama de su distribución de Linux «CBL-Mariner 2.0» (Common Base Linux Mariner), que se está desarrollando como una plataforma base universal para entornos Linux utilizados en infraestructura en la nube, sistemas de borde y varios servicios de Microsoft.

El proyecto tiene como objetivo unificar las soluciones Linux utilizadas en Microsoft y simplificar el mantenimiento de los sistemas Linux para diversos fines hasta la fecha. Los desarrollos del proyecto se distribuyen bajo la licencia MIT.

Sobre CBL-Mariner

Para quienes desconocen de CBL-Mariner, deben saber que esta distribucion se caracteriza por proporcionar un pequeño conjunto estándar de paquetes básicos que sirven como base universal para crear contenedores, entornos de host y servicios que se ejecutan en infraestructuras de nube y dispositivos en el borde.

Se pueden crear soluciones más complejas y especializadas agregando paquetes adicionales al CBL-Mariner, pero la base para todos estos sistemas sigue siendo la misma, lo que facilita el mantenimiento y la preparación de actualizaciones. Por ejemplo, CBL-Mariner se utiliza como base de la mini distribución WSLg, que proporciona componentes de la pila de gráficos para iniciar aplicaciones GUI de Linux en entornos basados ​​en el subsistema WSL2 (Subsistema de Windows para Linux). La funcionalidad extendida en WSLg se realiza mediante la inclusión de paquetes adicionales con Weston Composite Server, XWayland, PulseAudio y FreeRDP.

El sistema de compilación CBL-Mariner permite generar paquetes RPM independientes basados ​​en fuentes y archivos SPEC, así como imágenes monolíticas del sistema generadas con el kit de herramientas rpm-ostree y actualizadas atómicamente sin dividirse en paquetes separados. En consecuencia, se admiten dos modelos de entrega de actualizaciones: mediante la actualización de paquetes individuales y mediante la reconstrucción y actualización de la imagen completa del sistema. Un repositorio está disponible con alrededor de 3000 RPM ya construidos que puede usar para construir sus propias imágenes basadas en el archivo de configuración.

La distribución incluye solo los componentes más necesarios y está optimizada para un consumo mínimo de memoria y espacio en disco, así como para altas velocidades de descarga. La distribución también destaca por incluir varios mecanismos de seguridad adicionales.

El proyecto utiliza un enfoque de «máxima seguridad por defecto». Brinda la capacidad de filtrar llamadas al sistema mediante el mecanismo seccomp, cifrar particiones de disco y verificar paquetes mediante firma digital.

Se activan los modos de aleatorización del espacio de direcciones soportados en el kernel de Linux, así como los mecanismos de protección contra ataques relacionados con enlaces simbólicos, mmap, /dev/mem y /dev/kmem. Para las áreas de memoria que contienen segmentos con datos del kernel y del módulo, el modo se establece en solo lectura y la ejecución del código está prohibida.

Opcionalmente está disponible la capacidad de deshabilitar la carga de módulos del kernel después de la inicialización del sistema. El kit de herramientas de iptables se utiliza para filtrar paquetes de red. De forma predeterminada, el paso de compilación habilita los modos de protección contra desbordamientos de pila, desbordamientos de búfer y problemas de formato de cadenas (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).

El administrador del sistema systemd se utiliza para administrar los servicios y el arranque. Los administradores de paquetes RPM y DNF se proporcionan para la administración de paquetes.

Novedades de CBL-Mariner 2.0

La nueva versión se destaca por una importante actualización de las versiones de software, esto incluye versiones actualizadas del kernel de Linux 5.15, systemd 250, glibc 2.35, GCC 11.2, clang 12, Python 3.9, ruby ​​3.1.2, rpm 4.17, qemu 6.1, perl 5.34, ostree 2022.1.

Ademas de ello, se destaca que el repositorio base incluye componentes para crear una interfaz gráfica, como Wayland 1.20, Mesa 21.0, GTK 3.24 y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Server 1.20.10, que se enviaron anteriormente en un repositorio coreui separado.

Tambien se destaca que se agregaron compilaciones de kernel con parches PREEMPT_RT para usar en sistemas en tiempo real.

Finalmente para los interesados, deben saber que las compilaciones de paquetes se generan para las arquitecturas aarch64 y x86_64.

El servidor SSH no está habilitado de forma predeterminada. Para instalar la distribución, se proporciona un instalador que puede funcionar tanto en modo de texto como gráfico.

El instalador brinda la capacidad de instalar con un conjunto completo o básico de paquetes, ofrece una interfaz para seleccionar una partición de disco, elegir un nombre de host y crear usuarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aunque puede haber unos días de diferencia, tras una nueva versión del navegador web de Google, la compañía lanza una nueva entrega de su sistema operativo de escritorio con la misma numeración. Así, tras Chrome 101 la compañía famosa por el buscador y que ahora forma parte de Alphabet lanzó chromeOS 101. Llegó el pasado 9 de mayo, y lo hizo con cambios como una nueva pantalla de carga, es decir, lo que se muestra mientras se está iniciando el sistema operativo (y echamos de menos algunos usuarios de KDE...).

chromeOS 101 estaba programado para un par de semanas antes de lo que finalmente llegó, y se desconocen los motivos del retraso, pero nunca es tarde si la dicha es buena. Entre dicha dicha, valga la redundancia, también tenemos mejoras en las actualizaciones del firmware, algo que nunca está de más ya que es parte fundamental en cualquier sistema operativo y sus periféricos.

Novedades más destacadas de chromeOS 101:

- Nueva pantalla de inicio del sistema operativo. Ahora el fondo es negro y el logotipo y texto de «chromeOS» aparecen en el centro. Con respecto a cómo se escribe el nombre, es la primera vez que lo veo así, e incluso buscando en la web de desarrolladores he comprobado que es nuevo. Antes lo escribían Chrome OS; ahora se escribe chromeOS (lo que recuerda un poco a macOS).
- A partir de ahora habrá herramientas de diagnóstico para ayudarnos a probar hardware propio y de terceros como paneles táctiles y teclados. Ahora hay una opción en el menú de ajustes/Sobre chromeOS con la que podemos buscar si hay actualizaciones del firmware para los periféricos.
- Posibilidad de iniciar una recuperación en línea.
- Corrección de errores y parches de seguridad.

chromeOS 101, del que parece que tendremos que acostumbrarnos a escribirlo de la nueva manera, está disponible desde el pasado lunes, por lo que la actualización ya debería estar esperando en cualquier equipo compatible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

KDE Connect, uno de los mejores inventos procedentes del proyecto responsable del archiconocido y potente entorno de escritorio. Lejos de haberse estancado, ha ido expandiendo sus dominios para llegar recientemente a iOS y iPadOS (iPhone, iPad y iPod Touch) y consolidarse, de manera definitiva, como una auténtica solución de control remoto multiplataforma.

Aunque es una buena noticia que KDE Connect llegue a iOS, parece que la aplicación presenta algunas limitaciones en comparación con la versión para Android, y lo peor es que probablemente dichas limitaciones no puedan ser resueltas. No hace falta ser un lince para imaginarse que la razón de ese posible escenario es el férreo control que ejerce Apple sobre su propio ecosistema y por ende sus sistemas operativos, ya que el gigante Cupertino no es precisamente un amante de la libertad.

Lo restrictivo que es Apple con su ecosistema ha obligado a los desarrolladores a introducir ciertos matices en la licencia de KDE Connect para iOS. En un principio se emplea la GPLv3 estándar, pero los términos de servicio de la App Store han forzado a los responsables de la aplicación a añadir algunos términos adicionales para poder cumplir con las normas de la plataforma. Ya se sabe, Apple siendo Apple.

KDE Connect para iOS (y iPadOS) ofrece las siguiente posibilidades según su ficha en la App Store:

- Portapapeles compartido para copiar y pegar entre los dispositivos.
- Compartir archivos y URL con la computadora desde cualquier aplicación.
- Panel táctil virtual que convierte el dispositivo móvil en un touchpad remoto para el ordenador.
- Control remoto de presentaciones.
- Comandos remotos que se pueden ejecutar en la computadora desde el teléfono o dispositivo táctil.
- Cifrado TLS de extremo a extremo.


Más allá de las limitaciones derivadas de las imposiciones de Apple, la llegada de KDE Connect a iOS y iPadOS es una muy buena noticia para los usuarios. Lo que empezó siendo un desarrollo para KDE Plasma y Android se ha ido extendiendo para abarcar macOS y Windows a través de aplicaciones oficiales y extraoficialmente GNOME a través de la extensión GSConnect.

Que una herramienta como esta esté publicada como software libre es un gran valor para los usuarios por la transparencia que ofrece. Eso sí, es importante fijarse en la calidad de la señal del Wi-Fi tanto en el dispositivo móvil como el equipo de escritorio (sobremesa y portátil) para tener una buena experiencia con este software de control remoto.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A través de las redes sociales podemos sufrir ataques informáticos muy variados. Los ciberdelincuentes suelen poner sus miras en aquello que es más utilizado o cuenta con más usuarios y este tipo de servicios cumple con esos requisitos. En este artículo vamos a hablar de cómo pueden atacarte si utilizas LinkedIn. También daremos algunos consejos para que estés protegido en todo momento y no tengas problemas.

Ataques a través de LinkedIn

LinkedIn es una más de las muchas redes sociales que hay disponibles en Internet. Es un servicio que sirve para establecer contacto entre empresas y trabajadores. Es muy popular y eso hace también que los piratas informáticos pongan aquí sus miras y puedan lanzar ataques constantemente.

Un ejemplo muy claro es el uso de notificaciones falsas. Los atacantes envían un correo electrónico a la víctima actuando de forma similar a como lo hace la propia red social. Seguro que alguna vez has visto un correo donde te indican que has aparecido en X búsquedas esa semana o que un contacto tuyo tiene un nuevo empleo y puedes felicitarle.

Los ciberdelincuentes aprovechan justo eso para mandar correos que simulan ser legítimos de LinkedIn, con el objetivo de que caigamos en la trampa e iniciemos sesión. Pero claro, al poner los datos realmente estamos enviándolos a un servidor controlado por los atacantes y no por la red social.

Estos correos falsos también pueden contener archivos maliciosos. Por ejemplo un supuesto documento para encontrar información sobre un puesto de trabajo. Al descargarlo, realmente estamos metiendo malware en el sistema y eso va a hacer que puedan tomar el control del equipo y dañar la privacidad.

Otro método de ataque muy común es a través de ofertas de empleo falsas. Normalmente envían un mensaje diciendo que una empresa determinada tiene interés en contratar a una persona de ese perfil, pero que necesitan cierta información o que se ponga en contacto con ellos. La víctima envía un mensaje interesándose y generalmente le responden que necesita pagar un dinero por tasas o para realizar algún trámite. Lógicamente se trata de una estafa más.


Consejos para evitar ataques

¿Qué podemos hacer para evitar ataques al utilizar LinkedIn? Puedes tener en cuenta ciertos consejos que vamos a dar para estar protegido en todo momento y no caer en la trampa de los piratas informáticos que buscan la manera de robar tus contraseñas o datos personales sin que te des cuenta.

Algo fundamental es el sentido común. La mayoría de ataques por LinkedIn van a necesitar que cometas algún error. Por ejemplo que hagas clic en un enlace que te llega por correo o que inicies sesión fuera de la plataforma oficial. Si evitas esto estarás preservando tu seguridad y reducirás el riesgo de sufrir ataques.

También es importante que utilices la red social con cautela. Siempre que te pongas en contacto con otra persona o que alguien te envíe un mensaje, debes pensar quién es realmente y cómo ha podido encontrarte. Tal vez se trate de una trampa y conviene evitar riesgos.

Respecto a la seguridad propiamente de la cuenta. Es fundamental que utilices contraseñas fuertes y complejas. Debes usar una clave que sea única, que tenga una longitud adecuada y que contenga letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales. Además, activar la autenticación en dos pasos en LinkedIn es una buena opción para potenciar la seguridad.

Igualmente debes asegurarte de contar siempre con un buen antivirus que evite la entrada de amenazas, así como tener el sistema actualizado correctamente para corregir vulnerabilidades que puedan ser explotadas. Es esencial proteger la seguridad y para ello es importante detectar perfiles falsos en redes sociales.

Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu 21.10 (Impish Indri) fue lanzado el pasado año, y tras unos meses de servicio a todos los usuarios que optaron por esta distro, ahora llegará al fin de su vida útil. Podrás seguir usándolo más allá de ese límite, pero implicará riesgos importantes para tu seguridad. Y es que el día 14 de julio de 2022 se tiene programado abandonar este sistema, momento en el que llega el fin del soporte, por lo que no recibirá más actualizaciones para corregir bugs ni tampoco parches para tapar vulnerabilidades. Por tanto, deberías instalar Ubuntu 22.04 LTS si quieres seguir gozando de un soporte duradero.

Apúntate esa fecha, y procura cambiar la versión antes de ese día para poder estar siempre a la última en las actualizaciones. Y esto es más importante de lo que algunos piensan, ya que no solo se trata de nuevas mejoras que se puedan recibir, sino que los bugs no corregidos pueden afectar a tu productividad e incluso implicar pérdida de datos importantes personales o de tu negocio, y las vulnerabilidades suponen agujeros de seguridad que pueden facilitar ataques cibernéticos y robo de información, pudiendo tener un coste muy elevado para las empresas.

Así que, el 14 de julio de 2022, en un par de meses, Ubuntu 21.10 llegará a su EOL, mientras que Ubuntu 22.04 LTS (Jammy Jellyfish) no solo sigue recibiendo actualizaciones, sino que lo seguirá haciendo durante los próximos 5 años, hasta abril de 2027 concretamente. Eso supone contar con lo último en parches por una larga temporada, significa estabilidad, seguridad, robustez. ¡Momento para cambiar! Y si prefieres las versiones provisionales, debes saber que Canonical ya inició el desarrollo de Ubuntu 22.10 (Kinetic Kudu), pero no llegará hasta finales de octubre, concretamente el 20 de octubre de este año. Por tanto, si decides esperar a esa, hazlo bajo tu propia responsabilidad, ya que tendrás algunos meses sin soporte...

El futuro LTS, Ubuntu 22.04.2 LTS a principios de febrero de 2023.

Por cierto, esto también vale para el resto de sabores de Ubuntu. Así que si cuentas con cualquier distro de estas, sabes que debes cambiar a la versión LTS cuanto antes: Kubuntu, Lubuntu, ...

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A partir de hoy, Qt 5.15.4 LTS también ha pasado a ser open source, por lo que cualquiera puede usar su código para añadirlo a su software, bien sea en su estado original o modificarlo para adaptarlo a sus necesidades. Como en al tercera actualización de punto, la versión de código abierto de Qt 5.15.4 LTS también ha llegado cerca de un año después de la versión no open source.

Qt 5.15.4 LTS open source llega un año después de la original

Ya en su día, en las You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login podíamos leer que 5.15.4 era un lanzamiento «tipo parche» construido sobre 5.15.3. Como un lanzamiento de tipo parche, esta versión no añade ninguna nueva función, pero proporciona corrección de errores y otras mejoras.

El mes pasado se lanzó Qt 5.15.9 LTS, lo que es el último lanzamiento LTS de 5.15 y que veremos como se convierte en open source el año que viene. La versión más actualizada es Qt 6.3, es de código abierto y llegó en abril.

Ahora mismo sólo las distribuciones con repositorios especiales como KDE neon o las Rolling Release están usando 5.15.3, pero se espera que en estos casos se pase a usar 5.15.4 LTS en las próximas semanas. La adopción de Qt6 aún tardará más tiempo en convertirse en tendencia o «mainstream», y probablemente sean las distribuciones Rolling Release las primeras en atreverse a usarlo, bien sea tras una actualización o tras una instalación de cero.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha lanzado la actualización acumulativa de Windows 11 KB5013943 con actualizaciones de seguridad, mejoras y correcciones para parpadeos de pantalla en modo seguro y un error que hace que algunas aplicaciones NET 3.5 no se abran.

KB5013943 es una actualización acumulativa obligatoria, ya que contiene las  actualizaciones de seguridad del martes de parches de mayo de 2022  para las vulnerabilidades descubiertas en meses anteriores.


Los usuarios de Windows 11 pueden instalar la actualización de hoy yendo a  Inicio  >  Configuración  >  Actualización de Windows  y haciendo clic en  "Buscar actualizaciones ".

Los usuarios de Windows 11 también pueden descargar e instalar manualmente la actualización de vista previa KB5013943 del Catálogo de actualizaciones de  Microsoft .

Novedades en la actualización de Windows 11 KB5013943

Después de instalar la actualización que no es de seguridad de hoy, se cambiará el número de compilación de Windows 11 a  22000.675 .

La actualización acumulativa de Windows 11  KB5013943  incluye aproximadamente 27 mejoras y correcciones, con cinco correcciones o cambios resaltados que se enumeran a continuación:

-Microsoft corrigió un error que  causaba que las aplicaciones .NET Framework 3.5 no se abrieran . Solo las aplicaciones que usaban componentes de Windows Communication Foundation (WCF) y Windows Workflow (WWF) tenían este problema.
-Microsoft solucionó un problema conocido que hacía que  su pantalla parpadeara  si iniciaba Windows 11 en modo seguro.
- Microsoft solucionó un problema con los subtítulos de video que se cortaban parcialmente o no se alineaban correctamente.
- Si alinea su barra de tareas a la izquierda, Windows 11 ahora mostrará la temperatura en la parte superior del ícono del clima.
- Los botones de minimizar, maximizar y cerrar ahora funcionan como se espera cuando se usan las ventanas de la aplicación.

Como Microsoft ya no proporciona notas de la versión completas en sus boletines de actualización acumulativa, puede revisar la lista de cambios en la versión preliminar de abril  para ver qué se solucionó.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ayer, GitHub ha lanzado una nueva versión beta pública para mejorar notablemente la experiencia de autenticación de dos factores (2FA) para todas las cuentas de usuario de npm.

Myles Borins, gerente de productos de código abierto en GitHub, dijo que la plataforma de alojamiento de código ahora permite que las cuentas npm registren "factores de varios segundos, como claves de seguridad, dispositivos biométricos y aplicaciones de autenticación".

También ha introducido un nuevo menú de configuración 2FA que permite a los usuarios gestionar claves registradas y códigos de recuperación.

Las características adicionales disponibles a partir de hoy incluyen la capacidad de ver y regenerar códigos de recuperación y soporte completo de interfaz de línea de comandos (CLI).

Aquellos inscritos en esta versión beta pública podrán iniciar sesión y publicar a través de la CLI utilizando claves de seguridad físicas y dispositivos biométricos.

Estos cambios se producen después de la implementación en diciembre  de una verificación de inicio de sesión mejorada  para todos los editores de npm en respuesta a una serie masiva de adquisiciones de cuentas.

Dos meses después, GitHub aplicó 2FA para  todos los editores de los 100 paquetes principales por dependiente , con todos los editores de los 500 paquetes principales y de alto impacto inscritos a principios de 2022.

Implementación de 2FA en toda la plataforma

GitHub también  reveló la semana pasada  que todos los contribuyentes de código activos (un total estimado de 83 millones de desarrolladores) deberán habilitar la autenticación de dos factores (2FA) en sus cuentas hasta fines del próximo año.

Los desarrolladores pueden usar varias opciones de 2FA para proteger sus cuentas, incluidas claves de seguridad físicas, claves de seguridad virtuales integradas en dispositivos como teléfonos o computadoras portátiles, y aplicaciones de autenticación de contraseñas de un solo uso basadas en el tiempo (TOTP).

Aunque la 2FA basada en SMS también es una opción (solo  en algunos países ), GitHub instó a los usuarios a cambiar a claves de seguridad o TOTP, dado que los actores de amenazas pueden eludir la 2FA por SMS o robar tokens de autenticación enviados por SMS.

GitHub también mejoró la seguridad de la cuenta a lo largo de los años al agregar  alertas de inicio de sesión ,  autenticación de dos factores y  compatibilidad con WebAuthn .

El impulso beta público de hoy hacia una mayor seguridad de la cuenta npm es el último paso de GitHub para proteger la cadena de suministro de software de los ataques al alejarse de la autenticación básica basada en contraseña.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento del Tesoro de EE. UU. se movió el viernes para sancionar al mezclador de moneda virtual You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, marcando la primera vez que un servicio de mezcla ha sido sujeto a bloqueos económicos.

La medida indica los esfuerzos continuos por parte del gobierno para evitar que el Grupo Lazarus de Corea del Norte lave los fondos robados del hackeo sin precedentes del Puente Ronin a fines de marzo.

Las sanciones recientemente impuestas, emitidas por la Oficina de Control de Activos Extranjeros (OFAC) de EE. UU., apuntan a 45 direcciones de Bitcoin vinculadas a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y cuatro nuevas billeteras vinculadas a Lazarus Group, un grupo persistente avanzado con vínculos con la República Popular Democrática de Corea (RPDC). ).

"Blender se utilizó para procesar más de 20,5 millones de dólares de ganancias ilícitas", dijo el Tesoro , y agregó que la RPDC lo utilizó para "apoyar sus actividades cibernéticas maliciosas y el lavado de dinero de moneda virtual robada".

Los mezcladores de criptomonedas, también llamados tumblers , son servicios centrados en la privacidad que permiten a los usuarios mover activos de criptomonedas entre cuentas sin dejar un rastro de transacciones ofuscando sus orígenes.

Se sabe que los mezcladores como Blender cobran una tarifa de servicio "dinámica" que oscila entre el 0,6% y el 2,5% cada vez que se transfiere dinero a una dirección de billetera bajo su control. Desde su lanzamiento en 2017, se estima que Blender ha transferido más de $500 millones en Bitcoin.

"A través de estos servicios, los actores de amenazas pueden lograr su objetivo final de cobrar y mantener la liquidez clandestina criminal a través del comercio de bienes y servicios ilícitos", señaló Intel 471 en un informe publicado en noviembre de 2021.

El hack de Ronin Bridge vio al grupo de piratería cibernética patrocinado por el estado robar $ 540 millones de un protocolo descentralizado que permite a los usuarios transferir su criptografía entre Ethereum y el popular juego de cadena de bloques Axie Infinity.


El 16 de abril, el Departamento del Tesoro bloqueó la dirección de la billetera Ethereum que recibió la moneda digital robada, aunque para entonces Lazarus Group había logrado lavar el 18 % de los fondos desviados (alrededor de USD 97 millones) a través de intercambios centralizados y un servicio de mezcla de Ethereum llamado Tornado. Dinero en efectivo.

En las últimas dos semanas, se enviaron alrededor de $273,9 millones de Ether a cuatro de las direcciones recientemente sancionadas, según la firma de análisis de blockchain Elliptic, y una de esas direcciones ya movió $37 millones a través de Tornado Cash, dejando atrás $236 millones.

"Las transacciones involucraron montos significativamente mayores que sus esfuerzos de lavado anteriores", dijo la compañía . "El aumento de los esfuerzos de lavado de esta manera refleja potencialmente una creciente desesperación por parte de los piratas informáticos".


Además, la sanción de Blender es evidencia de que "Lazarus Group había movido algunos de los fondos robados a Bitcoin", señaló Elliptic.

Además de eso, también se dice que Blender ayudó a varias pandillas de ransomware alineadas con Rusia a lavar su dinero, incluidas TrickBot , Conti (anteriormente Ryuk), Sodinokibi (también conocido como REvil) y Gandcrab .

El último movimiento del gobierno de EE. UU. sigue a la divulgación del intercambio de criptomonedas Binance el 22 de abril de que logró recuperar $ 5,8 millones de los fondos robados de Axie Infinity que se distribuyeron en 86 cuentas.

El desarrollo también se produce un mes después de que el Tesoro sancionara a la casa de cambio de moneda virtual Garantex por ayudar a los delincuentes a lavar más de 100 millones de dólares en fondos mal habidos.

El año pasado, el departamento sancionó a dos intercambios de criptomonedas, SUEX y CHATEX, por facilitar las transacciones financieras para los actores de ransomware y cobrar el dinero extorsionado a las víctimas.

Corea del Norte, en los últimos años, se ha visto involucrada en una serie de atracos cibernéticos de intercambios de criptomonedas y entidades financieras como una forma de eludir las sanciones internacionales y generar ingresos para su programa de armas nucleares.

Destacando las tácticas del actor del estado-nación, las agencias de ciberseguridad e inteligencia de EE. UU. advirtieron recientemente sobre los continuos ataques cibernéticos llevados a cabo por Lazarus Group dirigidos a empresas de blockchain con aplicaciones de criptomonedas deshonestas para desviar fondos de criptomonedas.

"Los mezcladores de divisas virtuales que ayudan a las transacciones ilícitas representan una amenaza para los intereses de seguridad nacional de Estados Unidos", dijo Brian E. Nelson, subsecretario del Tesoro para Terrorismo e Inteligencia Financiera.

"Estamos tomando medidas contra la actividad financiera ilícita de la RPDC y no permitiremos que el robo patrocinado por el estado y sus facilitadores de lavado de dinero queden sin respuesta".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado un nuevo conjunto de aplicaciones troyanizadas que se difunden a través de Google Play Store y distribuyen el notorio malware Joker en dispositivos Android comprometidos.

Joker, un delincuente reincidente , se refiere a una clase de aplicaciones dañinas que se utilizan para la facturación y el fraude de SMS, al mismo tiempo que realizan una serie de acciones elegidas por un pirata informático malintencionado, como robar mensajes de texto, listas de contactos e información del dispositivo.

A pesar de los continuos intentos por parte de Google de ampliar sus defensas, las aplicaciones se han iterado continuamente para buscar brechas y pasar desapercibidas a la tienda de aplicaciones.

"Por lo general, se difunden en Google Play, donde los estafadores descargan aplicaciones legítimas de la tienda, les agregan un código malicioso y las vuelven a cargar en la tienda con un nombre diferente", dijo el investigador de Kaspersky Igor Golovin en un informe publicado la semana pasada.

Las aplicaciones troyanizadas, que reemplazan a sus contrapartes eliminadas, a menudo aparecen como aplicaciones de mensajería, seguimiento de salud y escáner de PDF que, una vez instaladas, solicitan permisos para acceder a mensajes de texto y notificaciones, abusando de ellos para suscribir a los usuarios a servicios premium.

Un truco disimulado utilizado por Joker para eludir el proceso de investigación de Google Play es hacer que su carga útil maliciosa esté "inactiva" y solo active sus funciones después de que las aplicaciones se hayan activado en Play Store.


Tres de las aplicaciones infectadas con Joker detectadas por Kaspersky hasta finales de febrero de 2022 se enumeran a continuación. Aunque se han eliminado de Google Play, siguen estando disponibles a través de proveedores de aplicaciones de terceros.

- Mensaje de estilo (com.stylelacat.messagearound),
- Aplicación de presión arterial (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health), y
- Escáner PDF de la cámara (com.jiao.hdcam.docscanner)

Esta no es la primera vez que se descubren troyanos de suscripción en los mercados de aplicaciones. El año pasado, las aplicaciones para la tienda de aplicaciones APKPure y un mod de WhatsApp ampliamente utilizado se encontraron comprometidos con el malware llamado Triada.

Luego, en septiembre de 2021, Zimperium reveló un plan agresivo para ganar dinero llamado GriftHorse , y lo siguió con otro caso de abuso de servicio premium llamado Dark Herring a principios de enero.

"Los troyanos de suscripción pueden eludir la detección de bots en sitios web de servicios pagos y, a veces, suscriben a los usuarios a los servicios inexistentes de los estafadores", dijo Golovin.

"Para evitar suscripciones no deseadas, evite instalar aplicaciones de fuentes no oficiales, que es la fuente más frecuente de malware".

Incluso cuando descargan aplicaciones de las tiendas de aplicaciones oficiales, se recomienda a los usuarios que lean las reseñas, verifiquen la legitimidad de los desarrolladores, los términos de uso y solo otorguen los permisos que sean esenciales para realizar las funciones previstas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de amenazas han comenzado a explotar masivamente la vulnerabilidad crítica rastreada como CVE-2022-1388 , que afecta a múltiples versiones de todos los módulos F5 BIG-IP, para lanzar cargas maliciosas.

La semana pasada, F5 lanzó parches para el problema de seguridad (clasificación de gravedad 9., que afecta el componente de autenticación BIG-IP iControl REST.

La compañía advirtió que la vulnerabilidad permite que un atacante no autenticado en el sistema BIG-IP ejecute "comandos arbitrarios del sistema, cree o elimine archivos o deshabilite servicios".

En este momento, hay miles de sistemas BIG-IP expuestos en Internet, por lo que los atacantes pueden aprovechar el exploit de forma remota para violar la red corporativa.


Varios investigadores de seguridad anunciaron que habían creado exploits funcionales y advirtieron a los administradores que instalaran las últimas actualizaciones de inmediato.

La burbuja estalló y los exploits estuvieron disponibles públicamente ya que los ataques requieren solo dos comandos y algunos encabezados enviados a un punto final 'bash' sin parchear expuesto a Internet.

Por el momento, Twitter está lleno del código de prueba de explotación para CVE-2022-1388 e informa que se aprovecha en la naturaleza para lanzar webshells para acceso prolongado de puerta trasera.

Explotado activamente para soltar proyectiles
El investigador de seguridad de Cronup, Germán Fernández, observó que los actores de amenazas colocaban webshells de PHP en "/tmp/f5.sh" y los instalaban en "/usr/local/www/xui/common/css/".

Después de la instalación, la carga útil se ejecuta y luego se elimina del sistema:


Kevin Beaumont también ha observado intentos de explotación en ataques que no tenían como objetivo la interfaz de administración. Señala que si el sistema F5 se ha configurado "como un equilibrador de carga y un cortafuegos a través de una IP propia, también es vulnerable, por lo que esto puede complicarse".

Sin embargo, otros investigadores han visto CVE-2022-11388 aprovechado masivamente contra la interfaz de administración.

Sospechosamente fácil de explotar

La vulnerabilidad es tan fácil de explotar que algunos investigadores de seguridad creen que no terminó en los productos por accidente, especialmente considerando que el punto final vulnerable se llama 'bash', un popular shell de Linux.

Jake Williams , director ejecutivo de inteligencia de amenazas cibernéticas en Scythe , dice que la falla podría ser el resultado de un error de un desarrollador.

Will Dormann , analista de vulnerabilidades del CERT/CC, comparte el mismo sentimiento y teme que, de lo contrario, podría ser un problema mucho mayor.


Dado que el exploit ya se comparte ampliamente públicamente, se recomienda encarecidamente a los administradores que instalen los parches disponibles de inmediato, eliminen el acceso a la interfaz de administración a través de Internet pública o apliquen las mitigaciones proporcionadas por F5 hasta que se puedan instalar las actualizaciones:

- Bloquee el acceso REST de iControl a través de la propia dirección IP
- Bloquee el acceso REST de iControl a través de la interfaz de administración
- Modificar la configuración httpd de BIG-IP

El aviso de F5 para esta vulnerabilidad, que incluye información detallada sobre todas las actualizaciones y mitigaciones de seguridad, se puede encontrar aquí .

Para ayudar a los administradores de BIG-IP, los investigadores de la empresa de administración de superficie de ataque Randori publicaron un código bash que determina si CVE-2022-1388 es explotable en sus instancias o no.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha publicado actualizaciones de seguridad para abordar una falla de seguridad que afecta a las canalizaciones de Azure Synapse y Azure Data Factory y que podría permitir a los atacantes ejecutar comandos remotos en la infraestructura de Integration Runtime.

La  infraestructura informática de Integration Runtime (IR)  es utilizada por las canalizaciones de Azure Synapse y Azure Data Factory para proporcionar funcionalidades de integración de datos en entornos de red (por ejemplo, flujo de datos, distribución de actividades, ejecución de paquetes de SQL Server Integration Services (SSIS)).

La vulnerabilidad (rastreada como CVE-2022-29972 y denominada SynLapse  por Orca Security Tzah Pahima) se mitigó el 15 de abril, sin evidencia de explotación antes de que se publicaran las correcciones.

Según los hallazgos de Pahima, los atacantes pueden explotar este error para acceder y controlar los espacios de trabajo de Synapse de otros clientes, lo que les permite filtrar datos confidenciales, incluidas las claves de servicio de Azure, tokens de API y contraseñas de otros servicios.


"La vulnerabilidad se encontró en el conector de datos ODBC de terceros utilizado para conectarse a Amazon Redshift, en Integration Runtime (IR) en Azure Synapse Pipelines y Azure Data Factory",  explicó Microsoft  en un aviso de seguridad publicado hoy.

"La vulnerabilidad podría haber permitido que un atacante realizara la ejecución de comandos remotos en la infraestructura IR sin limitarse a un solo inquilino", agregó la compañía en una publicación de blog del Centro de respuesta de seguridad de Microsoft (MSRC).

La explotación exitosa de este conector ODBC para la falla de Amazon Redshift podría permitir que los atacantes maliciosos ejecuten trabajos en una canalización de Synapse y ejecuten comandos remotos.

En la siguiente etapa del ataque, podrían robar el certificado de servicio de Azure Data Factory para ejecutar comandos en Azure Data Factory Integration Runtimes de otro inquilino.

"Según nuestra comprensión de la arquitectura del servicio y nuestras repetidas omisiones de correcciones, creemos que la arquitectura contiene debilidades subyacentes que deben abordarse con un mecanismo de separación de inquilinos más sólido",  dijo Avi Shua de Orca Security .

"Hasta que se implemente una mejor solución, recomendamos que todos los clientes evalúen su uso del servicio y se abstengan de almacenar datos confidenciales o claves en él".

como mitigar

Microsoft dice que los clientes que usan la nube de Azure (Azure Integration Runtime) o que alojan su propio entorno local (Self-Hosted Integration Runtime) con las actualizaciones automáticas activadas no necesitan tomar ninguna medida adicional para mitigar esta falla.

Los clientes de IR con autohospedaje que no tienen activada la actualización automática ya recibieron una notificación para proteger sus implementaciones a través de Azure Service Health Alerts (ID: MLC3-LD0).

La empresa les aconseja que actualicen sus IR autohospedados a la última versión (5.17.8154.2) disponible  en el Centro de descargas de Microsoft .

Estas actualizaciones se pueden instalar en sistemas de 64 bits con .NET Framework 4.7.2 o superior que ejecute plataformas de servidor y cliente, incluidas las versiones más recientes (Windows 11 y Windows Server 2022).

"Para una protección adicional, Microsoft recomienda configurar los espacios de trabajo de Synapse con una red virtual administrada que proporciona un mejor aislamiento informático y de red",  agregó Redmond .

"Los clientes que usan Azure Data Factory pueden habilitar los tiempos de ejecución de integración de Azure con una red virtual administrada".

Puede encontrar más información sobre cómo mitigar completamente CVE-2022-299 en la sección " Recomendaciones del cliente y soporte adicional " de la publicación de blog de MSRC.

"Desafortunadamente, nuestra investigación nos lleva a creer que la debilidad arquitectónica subyacente todavía está presente. Hay áreas en el servicio donde una gran cantidad de código de Microsoft y de terceros se ejecuta con permisos de SISTEMA, procesando la entrada controlada por el cliente", agregó Shua.

"Esto se ejecuta en máquinas compartidas con acceso a claves de servicio de Azure y datos confidenciales de otros clientes. Estas áreas del servicio solo tienen separación a nivel de aplicación y carecen de aislamiento a nivel de sandbox o hipervisor. Esta es una superficie de ataque importante y no es consistente con el nivel de seguridad que esperan los clientes de la nube pública".

Cronología de la divulgación:

4 de enero: Orca informó el problema a Microsoft
2 de marzo: Microsoft completó la implementación de la revisión inicial
11 de marzo: Microsoft identifica y notifica al cliente afectado por la actividad del investigador
30 de marzo: Orca notificó a Microsoft sobre una ruta de ataque adicional a la misma vulnerabilidad
13 de abril: Orca notificó a Microsoft sobre una segunda ruta de ataque a la misma vulnerabilidad
15 de abril: se implementaron correcciones adicionales para las dos rutas de ataque recientemente informadas, así como también se aplicaron medidas adicionales de defensa en profundidad.
En marzo, Microsoft dijo que solucionó otra vulnerabilidad de seguridad de Azure en diciembre (también informada por Orca Security) que permitía a los atacantes tomar el control total de los datos de otros clientes de Azure al abusar de un  error del servicio de Azure Automation denominado AutoWarp .

El mes pasado, la compañía abordó una cadena de errores críticos informados por la empresa de seguridad en la nube Wiz en Azure Database for PostgreSQL Flexible Server ( conocido como ExtraReplica ) que permite a los usuarios malintencionados obtener acceso a las bases de datos de otros clientes después de omitir la autenticación.

Otras fallas de Microsoft Azure corregidas por Redmond durante el último año también incluyen las que los investigadores de Wiz encontraron en  Azure Cosmos DB , el  agente de software Open Management Infrastructure (OMI) y  Azure App Service

Actualización: atribución ExtraReplica aclarada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La subsidiaria propiedad de Salesforce, Heroku, reconoció el jueves que el robo de tokens OAuth de integración de GitHub involucró además el acceso no autorizado a una base de datos interna de clientes.

La compañía, en una notificación actualizada , reveló que se abusó de un token comprometido para violar la base de datos y "exfiltrar las contraseñas cifradas y saladas de las cuentas de usuario de los clientes".

Como consecuencia, Salesforce dijo que está restableciendo todas las contraseñas de los usuarios de Heroku y asegurando que se actualicen las credenciales potencialmente afectadas. También enfatizó que las credenciales internas de Heroku se rotaron y se implementaron detecciones adicionales.

La campaña de ataque, que GitHub descubrió el 12 de abril, estaba relacionada con un actor no identificado que aprovechaba tokens de usuario de OAuth robados emitidos a dos integradores de OAuth de terceros, Heroku y Travis-CI, para descargar datos de docenas de organizaciones, incluido NPM.

La línea de tiempo de los eventos compartidos por la plataforma en la nube es la siguiente:

7 de abril de 2022 : el actor de amenazas obtiene acceso a una base de datos de Heroku y descarga los tokens de acceso de OAuth del cliente almacenados que se utilizan para la integración de GitHub.

8 de abril de 2022 : el atacante enumera los metadatos sobre los repositorios de los clientes utilizando los tokens robados.

9 de abril de 2022 : el atacante descarga un subconjunto de repositorios privados de Heroku de GitHub

GitHub, la semana pasada, caracterizó el ataque como altamente dirigido y agregó que el adversario "solo enumeraba organizaciones para identificar cuentas a las que apuntar selectivamente para enumerar y descargar repositorios privados".

Desde entonces, Heroku revocó todos los tokens de acceso y eliminó la compatibilidad con la implementación de aplicaciones de GitHub a través del Panel de Heroku para asegurarse de que "la integración sea segura antes de que volvamos a habilitar esta funcionalidad".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han descubierto dos vulnerabilidades de seguridad de alta gravedad, que pasaron desapercibidas durante varios años, en un controlador legítimo que forma parte de las soluciones antivirus de Avast y AVG.

"Estas vulnerabilidades permiten a los atacantes escalar privilegios que les permiten deshabilitar productos de seguridad, sobrescribir componentes del sistema, corromper el sistema operativo o realizar operaciones maliciosas sin obstáculos", dijo el investigador de SentinelOne, Kasif Dekel , en un informe compartido con The Hacker News.

Rastreadas como CVE-2022-26522 y CVE-2022-26523, las fallas residen en un controlador de kernel anti-rootkit legítimo llamado aswArPot.sys y se dice que se introdujeron en la versión 12.1 de Avast, que se lanzó en junio de 2016.

Específicamente, las deficiencias tienen su origen en un controlador de conexión de socket en el controlador del kernel que podría conducir a una escalada de privilegios al ejecutar código en el kernel de un usuario que no sea administrador, lo que podría causar que el sistema operativo se bloquee y muestre una pantalla azul de muerte ( BSoD ) error.


De manera preocupante, las fallas también podrían explotarse como parte de un ataque de navegador de segunda etapa o para realizar un escape de sandbox, lo que tendría consecuencias de largo alcance.

Luego de la divulgación responsable el 20 de diciembre de 2021, Avast abordó los problemas en la versión 22.1 del software lanzado el 8 de febrero de 2022. "Se arregló el controlador BSoD del rootkit", dijo la compañía en sus notas de lanzamiento.

Si bien no hay evidencia de que se haya abusado de estas fallas en la naturaleza, la revelación se produce pocos días después de que Trend Micro detallara un ataque de ransomware AvosLocker que aprovechó otro problema en el mismo controlador para finalizar las soluciones antivirus en el sistema comprometido.

Actualización: SentinelOne señala que el error se remonta a la versión 12.1, que afirma que se lanzó en enero de 2012. Sin embargo, las propias notas de la versión de Avast muestran que la versión 12.1 se envió en junio de 2016. Nos comunicamos con SentinelOne para obtener más comentarios y Actualizaré la historia una vez que tengamos noticias.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login