Google ha lanzado la segunda parte del parche de seguridad de mayo para Android, que incluye una solución para una vulnerabilidad del kernel de Linux explotada activamente.

La falla, rastreada como CVE-2021-22600, es un error de escalada de privilegios en el kernel de Linux que los actores de amenazas pueden explotar a través del acceso local. Como Android usa un kernel de Linux modificado, la vulnerabilidad también afecta al sistema operativo.

Los investigadores de Google  revelaron la vulnerabilidad de Linux  en enero y también introdujeron  una solución  que se reveló responsablemente a los proveedores de Linux. Sin embargo, se ha tardado unos meses en solucionar esta vulnerabilidad en el propio sistema operativo Android de Google.

En abril, CISA reveló que esta vulnerabilidad estaba siendo explotada activamente en ataques y la agregó a su ' Catálogo de vulnerabilidades explotadas conocidas '. En el  boletín de seguridad de Android de mayo , Google confirma que "CVE-2021-22600 puede estar bajo explotación limitada y dirigida".

No está claro cómo se usa la vulnerabilidad en los ataques, pero es probable que se use para ejecutar comandos privilegiados y se propague lateralmente a través de sistemas Linux en redes corporativas.

Las versiones recientes de Android (10, 11, 12) han incorporado permisos cada vez más estrictos, lo que dificulta que el malware adquiera los permisos necesarios para funciones avanzadas. Como tal, no es improbable recurrir a la explotación de fallas posteriores a la infección para obtener privilegios elevados.

Un segundo uso potencial de esta vulnerabilidad es para las herramientas de rooteo de dispositivos que los usuarios instalan y activan para obtener privilegios de rooteo en el dispositivo.

Aquí hay un resumen de lo que más se ha corregido este mes:

- Cuatro fallas de escalada de privilegios (EoP) y una de divulgación de información (ID) en Android Framework
- Tres fallos de EoP, dos de ID y dos de denegación de servicio (DoS) en el sistema Android
- Tres EoP y una falla de ID en los componentes del Kernel
- Tres vulnerabilidades de alta gravedad en los componentes de MediaTek
- 15 defectos de gravedad alta y uno de gravedad crítica en los componentes de Qualcomm

Tenga en cuenta que la solución para CVE-2021-22600 y todas las que provienen de proveedores externos están disponibles en el nivel de parche de seguridad 2022-05-05, no en el primer nivel de parche de seguridad lanzado el 1 de mayo de 2022.

Independientemente, todas estas correcciones aún están incorporadas en el primer nivel de parche de seguridad del próximo mes, que se lanzará el 1 de junio de 2022.

Si está utilizando Android 9 o anterior, este parche de seguridad no se aplica a su dispositivo y debe actualizar a una versión más reciente del sistema operativo Android por razones de seguridad.

Aquellos que usan dispositivos Google Pixel recibieron  correcciones adicionales  este mes, y una de ellas afecta solo a la gama Pixel 6 Pro más reciente que usa el chip Titan-M.

Los dos más interesantes son CVE-2022-20120, una vulnerabilidad crítica de ejecución remota que afecta al cargador de arranque, y CVE-2022-20117, un error crítico de divulgación de información en Titan-M.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hoy, Microsoft, Apple y Google anunciaron planes para admitir un estándar común de inicio de sesión sin contraseña (conocido como contraseña) desarrollado por World Wide Web Consortium (W3C) y FIDO Alliance.

Una vez implementadas, estas nuevas credenciales de autenticación web (WebAuthn) (también conocidas como credenciales FIDO) permitirán a los usuarios de los tres gigantes tecnológicos iniciar sesión en sus cuentas sin usar una contraseña.

En lugar de usar contraseñas, tendrán la opción de optar por verificar su identidad mediante PIN o autenticación biométrica (huella digital o rostro).

"Para iniciar sesión en un sitio web en su computadora, solo necesitará su teléfono cerca y simplemente se le pedirá que lo desbloquee para acceder", dijo Sampath Srinivas, director de autenticación segura de Google PM.

"Incluso si pierde su teléfono, sus claves de acceso se sincronizarán de forma segura con su nuevo teléfono desde la copia de seguridad en la nube, lo que le permitirá continuar justo donde lo dejó su dispositivo anterior".

Las nuevas capacidades deberían estar disponibles en las principales plataformas, dispositivos, sitios web y aplicaciones operados por las plataformas de Microsoft, Apple y Google durante el próximo año.


"Estas credenciales FIDO multidispositivo, a veces denominadas claves de acceso, representan un paso monumental hacia un mundo sin contraseñas", agregó el vicepresidente de la división de identidad de Microsoft, Alex Simons.

Cuando estén disponibles, las claves de paso eliminarán el requisito de tener que iniciar sesión en cada aplicación o sitio web en cada dispositivo, agregando capacidades adicionales para inicios de sesión sin contraseña más fluidos:

1. Los usuarios pueden acceder automáticamente a sus claves de acceso en muchos de sus dispositivos sin tener que volver a inscribirse para cada cuenta.
2. Con claves de acceso en su dispositivo móvil, puede iniciar sesión en una aplicación o servicio en casi cualquier dispositivo, independientemente de la plataforma o el navegador que esté ejecutando el dispositivo.

Dejar de usar contraseñas para iniciar sesión en las cuentas hará que la web sea más segura, ya que son el punto de entrada más común utilizado por los atacantes para secuestrar identidades en línea.

Como reveló hoy Vasu Jakkal, vicepresidente corporativo de Seguridad, Cumplimiento, Identidad y Administración de Microsoft , "hay 921 ataques de contraseña cada segundo, casi el doble de frecuencia en los últimos 12 meses".

Empuje de inicio de sesión sin contraseña

De las tres empresas, Microsoft ha estado impulsando los inicios de sesión sin contraseña en muchas de sus plataformas y servicios desde hace varios años.

En diciembre de 2020, Microsoft informó que más de 150 millones de usuarios iniciaron sesión en sus cuentas de Azure Active Directory y Microsoft sin usar contraseñas.

La compañía comenzó a implementar soporte de inicio de sesión sin contraseña para todas las cuentas de Microsoft en septiembre, lo que permitió a sus clientes iniciar sesión en sus cuentas de Microsoft sin usar una contraseña.

En octubre, el Equipo de Detección y Respuesta de Microsoft (DART) dijo que detectó un aumento en los ataques de rociado de contraseñas dirigidos a cuentas privilegiadas en la nube e identidades de alto perfil.

Un año antes, Simons reveló que los ataques de rociado de contraseñas se encontraban entre los ataques de autenticación más populares, ya que estaban detrás de más de un tercio de los compromisos de cuentas empresariales .

"Aplaudo el compromiso de nuestros socios del sector privado con los estándares abiertos que añaden flexibilidad a los proveedores de servicios y una mejor experiencia de usuario para los clientes", dijo Jen Easterly, directora de CISA.

"Hoy es un hito importante en el viaje de la seguridad para fomentar las mejores prácticas de seguridad integradas y ayudarnos a ir más allá de las contraseñas".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Europol se reforma. Y tendrá nuevas competencias que amplían su capacidad más allá de lo que nunca había gozado la Agencia Policial Europea. Una ampliación de sus poderes aprobada ahora por el Parlamento Europeo que ha provocado que las organizaciones en defensa de los derechos digitales hayan puesto el grito en el cielo.

Big Data: la nueva arma de la Policía europea. Con la idea de modernizar el organismo y "poder llevar a cabo proyectos de investigación e innovación", Europol contará con la capacidad de procesar grandes series de datos y recibir datos de empresas privadas cuando se trate de perseguir asuntos sensibles como el terrorismo o el abuso sexual infantil.

Es decir, la Policía europea podrá aprovecharse de una ingente cantidad de datos para los casos más graves. El Parlamento ha aprobado por 480 votos a favor, 143 en contra y 20 abstenciones, que Europol contará con nuevas competencias y podrá pedir a empresas datos privados de los usuarios, por ejemplo servicios de comunicación.

Un acceso casi ilimitado... bajo Protección de Datos. El texto aprobado da unos poderes enormes a Europol. Para establecer un límite, se contempla la creación de un nuevo puesto, el de responsable de derecho fundamentales. También estará el Supervisor Europeo de Protección de Datos que "vigilará las operaciones de datos personales". Europol contará con la capacidad para acceder a esos datos privados, pero una agencia se ocupará de evitar que haya excesos y que se puedan llegar a vulnerar derechos como la privacidad.

Los ciudadanos podremos consultar nuestro datos personales poniéndose en contacto con las autoridades de cada país o con la Europol. Si bien, es algo que previsiblemente muchos ciudadanos desconozcan y nunca se llegue a realizar.

Una expansión del sistema de vigilancia policial... contrario a la propia postura europea sobre IA. Estos nuevos poderes para Europol han llamado la atención porque amplían la capacidad de vigilancia en unos niveles que van más allá de las propias recomendaciones del Parlamento Europeo sobre Inteligencia Artificial. En vez de establecer limitaciones y añadir transparencia, se han otorgado poderes a Europol y únicamente se ha "contrarrestado" con la creación de un supervisor.


Organizaciones en defensa de los derechos digitales como Fair Trials, EDRi y otras 16 sociedades han emitido un comunicado donde alertan que "la Unión Europea está transformando la agencia policial en un agujero negro de datos. Europol podrá acceder a datos sin restricción ni control".

Europol podrá vigilarnos y luego ya si eso se le ordenará que borre nuestros datos. En enero de este año vimos un caso que es muy representativo de cómo funcionará Europol a partir de ahora. El Supervisor Europeo de Protección de Datos ordenó eliminar hasta 4 petabytes de datos que habían sido obtenidos y que vulneraban el RGPD por haber sido recopilados ilegalmente.

Esta manera de proceder puede "provocar que las vulneraciones de nuestros derechos queden sin salir a la luz durante años", apunta Chloé Berthélémy, consultor de European Digital Rights. Europa ha decidido aumentar los poderes de la gran Agencia Policial, a costa de colocar la revisión de la privacidad en un segundo plano.

Imagen | Europol
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se están utilizando actualizaciones falsas de Windows 10 para distribuir el ransomware Magniber en una campaña masiva que comenzó a principios de este mes.

En los últimos días, BleepingComputer recibió una oleada de solicitudes de ayuda con respecto a una infección de ransomware dirigida a usuarios de todo el mundo.

Mientras investigamos la campaña, descubrimos un  tema en nuestros foros  donde los lectores informan que se infectaron con el ransomware Magniber después de instalar lo que se cree que es una actualización de seguridad o acumulativa de Windows 10.

Estas actualizaciones se distribuyen con varios nombres, siendo Win10.0_System_Upgrade_Software.msi [ VirusTotal ] y Security_Upgrade_Software_Win10.0.msi las más comunes.

Otras descargas pretenden ser actualizaciones acumulativas de Windows 10 y utilizan artículos falsos de la base de conocimientos, como se muestra a continuación.

System.Upgrade.Win10.0-KB47287134.msi
System.Upgrade.Win10.0-KB82260712.msi
System.Upgrade.Win10.0-KB18062410.msi
System.Upgrade.Win10.0-KB66846525.msi

Según los envíos a VirusTotal, esta campaña parece haber comenzado el 8 de abril de 2022 y ha tenido una distribución masiva en todo el mundo desde entonces.

Si bien no está 100% claro cómo se promocionan las actualizaciones falsas de Windows 10, las descargas se distribuyen desde sitios falsos de warez y crack.


Una vez instalado, el ransomware eliminará las instantáneas de volumen y luego cifrará los archivos. Al cifrar archivos, el ransomware agregará una extensión aleatoria de 8 caracteres, como .gtearevf, como se muestra a continuación.


El ransomware también crea notas de rescate llamadas README.html en cada carpeta que contiene instrucciones sobre cómo acceder al sitio de pago Magniber Tor para pagar un rescate.


El sitio de pago de Magniber se titula 'My Decryptor' y permitirá a la víctima descifrar un archivo de forma gratuita, ponerse en contacto con el 'soporte' o determinar el monto del rescate y la dirección de bitcoin que las víctimas deben realizar.


Según las páginas de pago vistas por BleepingComputer, la mayoría de las demandas de rescate han sido de aproximadamente $2500 o 0,068 bitcoins.

Magniber se considera seguro, lo que significa que no contiene ninguna debilidad que pueda explotarse para recuperar archivos de forma gratuita.

Desafortunadamente, esta campaña se dirige principalmente a estudiantes y consumidores en lugar de víctimas empresariales, lo que hace que la demanda de rescate sea demasiado costosa para muchas víctimas.

Fuente:  You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los correos electrónicos de phishing se dirigen cada vez más a cuentas verificadas de Twitter con correos electrónicos diseñados para robar sus credenciales de cuenta, como lo demuestran numerosas campañas en curso realizadas por actores de amenazas.

Las cuentas verificadas en Twitter se designan con una marca azul junto a su nombre, lo que indica que los titulares de las cuentas son personas influyentes notables, celebridades, políticos, periodistas, activistas y organizaciones gubernamentales y privadas.

Para recibir esta 'insignia azul', los usuarios de Twitter deben  solicitar la verificación , lo que implica enviar información adicional, incluidas tarjetas de identificación, referencias a sitios web y otras razones que hacen que su cuenta sea 'notable'.

Estas cuentas suelen tener muchos seguidores o se consideran "autorizadas" en algunos círculos y, por lo tanto, los actores de amenazas las buscan mucho para promover campañas de estafa y actividades maliciosas.

Al mismo tiempo, como no es fácil obtener una insignia azul, los correos electrónicos que advierten que Twitter la quitará tienden a hacer que las personas reaccionen rápidamente sin analizar el mensaje adecuadamente en busca de signos de comportamiento sospechoso rápidamente.

Dirigirse a usuarios verificados de Twitter
Durante la semana pasada, numerosos reporteros de BleepingComputer fueron atacados con correos electrónicos de phishing que pretendían ser de Twitter Verified, la plataforma de cuentas verificadas de Twitter.

Estos correos electrónicos dicen que hay un problema con la cuenta verificada del destinatario y que deben hacer clic en 'Comprobar notificaciones' para obtener más información sobre el problema.

Los correos electrónicos de phishing advierten que ignorar este mensaje podría provocar la suspensión de la cuenta.


Al hacer clic en el botón 'Comprobar notificaciones', el destinatario accede a una página que le solicita que ingrese sus credenciales de inicio de sesión. Además, la página pedirá a los usuarios que ingresen sus credenciales dos veces, que los actores de amenazas usan para verificar que la información incorrecta no se haya ingresado por error.

Después de ingresar las credenciales, el kit de phishing restablecerá la contraseña de su cuenta utilizando la dirección de correo electrónico ingresada. La página de phishing solicitará a los objetivos que ingresen un código de verificación de inicio de sesión, que los atacantes utilizarán para finalizar el proceso de restablecimiento de contraseña.


Si bien las páginas de phishing claramente no pertenecen a Twitter, los errores ocurren en nuestras vidas, a menudo agitadas, y las víctimas suelen enviar sus credenciales por accidente.

Justo ayer, el periodista verificado  Wudan Yan  admitió haber caído en una estafa de phishing similar dirigida a usuarios verificados de Twitter promocionados a través de mensajes directos en el sitio social.

En un hilo en Twitter, Yan comparte su experiencia y cómo los actores de amenazas cambiaron su imagen, biografía y nombre de cuenta para que pareciera ser Twitter y comenzaron a enviar más mensajes directos para promover la estafa a otros usuarios.


Afortunadamente, Yan pudo recuperar su cuenta rápidamente, pero otros no siempre tienen tanta suerte o no saben que sus cuentas fueron pirateadas.

En estos casos, las cuentas se usan comúnmente para promover una variedad de estafas entre sus seguidores, generalmente estafas de criptomonedas.

En 2021, los actores de amenazas realizaron una violación a gran escala de numerosas cuentas verificadas de Twitter para promover una estafa falsa de obsequio de criptomonedas de Elon Must.

Si bien puede pensar que esto es ridículo y que nadie caería en una estafa como esta, los  actores de amenazas ganaron más de $ 580,000 en solo una semana .

Como siempre, al recibir correos electrónicos que conducen a formularios de inicio de sesión, asegúrese de examinar la URL de la página de destino y asegúrese de que corresponda a la empresa que supuestamente le envió el correo electrónico.

Si tiene alguna duda, deseche el correo electrónico y comuníquese directamente con la empresa para verificar si el correo electrónico fue una estafa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

​​Esta semana se compartió en línea un consejo útil que muestra cómo puede usar PowerShell para monitorear los cambios en el Registro de Windows a lo largo del tiempo.

Como las actualizaciones de Windows, las instalaciones de aplicaciones, los cambios de configuración y el malware constantemente realizan cambios en el registro de Windows, este modo le permitiría detectar rápidamente qué se modificó, permitiéndole diagnosticar problemas, eliminar entradas maliciosas y ver qué configuraciones se han cambiado.

Esta semana, la popular cuenta de seguridad y tecnología de Twitter SwiftOnSecurity tuiteó que les encantaría ver un modo de Editor del Registro de Windows que mostraría todas las entradas del registro que no se crearon de forma predeterminada.

En respuesta al tuit de Swift, el principal arquitecto de seguridad de Microsoft en Azure Security, Lee Holmes, tuiteó un ejemplo de cómo podría hacer algo similar en PowerShell.


El ejemplo de Holmes muestra cómo puede usar PowerShell para enumerar todas las claves del Registro de Windows existentes y almacenarlas en una variable $snapshot. Luego, en un momento posterior, crea una instantánea de las claves de registro actuales y las almacena en la variable $current.

Luego, el ejemplo compara el contenido de estas variables para determinar qué claves de registro se agregaron desde que tomó la primera instantánea.

Si bien esto no es precisamente lo que estaba buscando Swift, nos indica la dirección correcta sobre cómo puede monitorear los cambios en el Registro a partir de una nueva instalación de Windows, o al menos un momento en su instalación de Windows existente.

Además, dado que el ejemplo de Holmes utiliza variables que se eliminarán cuando se reinicie un dispositivo, es mejor almacenar las instantáneas del Registro en archivos para compararlas más adelante, lo cual describimos cómo hacer a continuación.

Comparación de instantáneas del Registro mediante PowerShell

Usando el ejemplo de Holmes, BleepingComputer jugó con otras formas de guardar instantáneas del Registro de Windows y descubrió que modificar el ejemplo de Holmes para guardar instantáneas en un archivo proporciona la mayor versatilidad.

Mediante el uso de archivos, puede crear instantáneas en varios puntos en el tiempo para compararlas con instantáneas posteriores. Con los archivos, también puede compararlos con las instantáneas del Registro creadas en otros dispositivos.

Para comenzar, debe crear una instantánea base de las claves de registro actuales de HKLM y HKCU que comparará con futuras instantáneas. Idealmente, pero no es necesario, generaría estas instantáneas base justo después de instalar Windows.

Para crear las instantáneas básicas del Registro de Windows, debe ejecutar los siguientes comandos de PowerShell en un indicador de Windows PowerShell (administrador) para asegurarse de que puede acceder a todas las claves del registro:


Estos comandos crearán los archivos de instantánea Base-HKLM.txt y Base-HKCU.txt en la carpeta actual.

En las pruebas de BleepingComputer en versiones recién instaladas de Windows 11 y Windows 10, estas instantáneas tienen los siguientes tamaños:

Instantáneas del registro de Windows 11:

HKEY_LOCAL_MACHINE (HKLM):   82 MB
HKEY_CURRENT_USER (HKCU):   2,4 MB

Instantáneas del registro de Windows 10:

HKEY_LOCAL_MACHINE (HKLM):   81 MB
HKEY_CURRENT_USER (HKCU):   1,45 MB
Una vez que haya creado sus instantáneas base, ahora puede instalar programas o usar su computadora como de costumbre.

Después de un tiempo, si desea comparar el registro actual de Windows con sus instantáneas base, puede crear nuevas instantáneas usando estos comandos en un indicador de PowerShell del administrador:


Nota: los comandos anteriores insertarán la fecha en los nombres de archivo de la instantánea actual para que pueda determinar cuándo se creó la instantánea.

Ahora que ha creado tanto las instantáneas base como las instantáneas actuales, puede compararlas con el siguiente comando de PowerShell:


El comando Compare-Object comparará la instantánea base con la instantánea actual y mostrará lo que se ha cambiado, como se puede ver a continuación. La columna SideIndicator indica qué archivo contiene el cambio.


Cabe señalar que este método solo compara las claves del Registro de Windows y no compara sus valores, que comúnmente se modifican por la configuración de Windows y el malware.

Exportar valores también aumentaría drásticamente el tamaño de sus instantáneas y requeriría un script más complicado para compararlos correctamente. Por ejemplo, la instantánea base de HKCU con los valores del Registro en una nueva instalación de Windows 10 aumenta de 1,45 MB a 11,6 MB, un cambio multiplicado por 8.

Sin embargo, comparar las claves del Registro sigue siendo una herramienta útil que los administradores pueden automatizar para solucionar mejor los problemas en los dispositivos que administran.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad cibernética han revelado una nueva variante del ransomware AvosLocker que desactiva las soluciones antivirus para evadir la detección después de violar las redes de destino aprovechando las fallas de seguridad sin parches.

"Esta es la primera muestra que observamos de los EE. UU. con la capacidad de desactivar una solución de defensa usando un archivo legítimo del controlador Avast Anti-Rootkit (asWarPot.sys)", dijeron los investigadores de Trend Micro, Christoper Ordonez y Alvin Nieto, en un análisis el lunes. .

"Además, el ransomware también es capaz de escanear múltiples puntos finales en busca de la vulnerabilidad Log4j (Log4shell) usando el script Nmap NSE ".

AvosLocker , una de las familias de ransomware más nuevas para llenar el vacío dejado por REvil , se ha relacionado con una serie de ataques dirigidos a infraestructura crítica en los EE. UU., incluidos los servicios financieros y las instalaciones gubernamentales.

Un grupo basado en afiliados de ransomware como servicio (RaaS) descubierto por primera vez en julio de 2021, AvosLocker va más allá de la doble extorsión al subastar los datos robados a las víctimas en caso de que las entidades objetivo se nieguen a pagar el rescate.

Se dice que otras víctimas objetivo reclamadas por el cartel de ransomware se encuentran en Siria, Arabia Saudita, Alemania, España, Bélgica, Turquía, los Emiratos Árabes Unidos, el Reino Unido, Canadá, China y Taiwán, según un aviso publicado por la Oficina Federal de EE . UU. de Investigación (FBI) en marzo de 2022.

Los datos de telemetría recopilados por Trend Micro muestran que el sector de alimentos y bebidas fue la industria más afectada entre el 1 de julio de 2021 y el 28 de febrero de 2022, seguido de las verticales de tecnología, finanzas, telecomunicaciones y medios.

Se cree que el punto de entrada para el ataque se facilitó al aprovechar un exploit para una falla de ejecución remota de código en el software ManageEngine ADSelfService Plus de Zoho ( CVE-2021-40539 ) para ejecutar una aplicación HTML ( HTA ) alojada en un servidor remoto.

"La HTA ejecutó un script de PowerShell ofuscado que contiene un código shell, capaz de volver a conectarse al servidor [de comando y control] para ejecutar comandos arbitrarios", explicaron los investigadores.

Esto incluye recuperar un shell web ASPX del servidor, así como un instalador para el software de escritorio remoto AnyDesk , el último de los cuales se usa para implementar herramientas adicionales para escanear la red local, finalizar el software de seguridad y eliminar la carga útil del ransomware.

Algunos de los componentes copiados en el punto final infectado son un script Nmap para escanear la red en busca de la falla de ejecución remota de código de Log4Shell ( CVE-2021-44228 ) y una herramienta de implementación masiva llamada PDQ para entregar un script por lotes malicioso a múltiples puntos finales.

El script por lotes, por su parte, está equipado con una amplia gama de capacidades que le permiten deshabilitar Windows Update, Windows Defender y Windows Error Recovery, además de evitar la ejecución de arranque seguro de productos de seguridad, crear una nueva cuenta de administrador y lanzando el binario ransomware.

También se utiliza aswArPot.sys, un controlador legítimo anti-rootkit de Avast, para eliminar procesos asociados con diferentes soluciones de seguridad al convertir en arma una vulnerabilidad ahora corregida en el controlador que la empresa checa resolvió en junio de 2021 .

"La decisión de elegir el archivo del controlador de rootkit específico es por su capacidad para ejecutarse en modo kernel (por lo tanto, opera con un alto privilegio)", señalaron los investigadores. "Esta variante también es capaz de modificar otros detalles de las soluciones de seguridad instaladas, como por ejemplo deshabilitar el aviso legal".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad cibernética han detallado hasta cinco fallas de seguridad graves en la implementación del protocolo TLS en varios modelos de conmutadores de red de Aruba y Avaya que podrían utilizarse para obtener acceso remoto a redes empresariales y robar información valiosa.

Los hallazgos siguen a la divulgación de marzo de TLStorm , un conjunto de tres fallas críticas en los dispositivos Smart-UPS de APC que podrían permitir que un atacante tome el control y, lo que es peor, dañe físicamente los dispositivos.

La firma de seguridad de IoT Armis, que descubrió las deficiencias, señaló que las fallas de diseño se remontan a una fuente común: un mal uso de NanoSSL , una suite de desarrollo SSL basada en estándares de Mocana, una subsidiaria de DigiCert.

El nuevo conjunto de fallas, denominado TLStorm 2.0 , hace que los conmutadores de red de Aruba y Avaya sean vulnerables a las vulnerabilidades de ejecución remota de código, lo que permite que un adversario controle los dispositivos, se mueva lateralmente a través de la red y exfiltre datos confidenciales.

Los dispositivos afectados incluyen Avaya ERS3500 Series, ERS3600 Series, ERS4900 Series y ERS5900 Series, así como Aruba 5400R Series, 3810 Series, 2920 Series, 2930F Series, 2930M Series, 2530 Series y 2540 Series.

Armis atribuyó las fallas a un "caso límite", la falta de cumplimiento de las pautas relacionadas con la biblioteca NanoSSL que podría resultar en la ejecución remota de código. La lista de errores de ejecución remota de código es la siguiente:

- CVE-2022-23676 (puntuación CVSS: 9,1): dos vulnerabilidades de corrupción de memoria en la implementación del cliente RADIUS de los conmutadores Aruba
- CVE-2022-23677 (puntuación CVSS: 9,0): uso indebido de NanoSSL en múltiples interfaces en conmutadores Aruba
- CVE-2022-29860 (puntuación CVSS: 9,8 ): vulnerabilidad de desbordamiento del montón de reensamblaje de TLS en los conmutadores de Avaya
- CVE-2022-29861 (puntaje CVSS: 9.8 ): vulnerabilidad de desbordamiento de pila de análisis de encabezado HTTP en conmutadores de Avaya
- Vulnerabilidad de desbordamiento de montón en el manejo de solicitudes HTTP POST en una línea de productos Avaya descontinuada (sin CVE)

"Estos resultados de la investigación son significativos, ya que destacan que la infraestructura de la red en sí está en riesgo y es explotable por los atacantes, lo que significa que la segmentación de la red por sí sola ya no es suficiente como medida de seguridad", dijo Barak Hadad, jefe de investigación en ingeniería de Armis.

Se recomienda encarecidamente a las organizaciones que implementen dispositivos Avaya y Aruba afectados que apliquen los parches para mitigar cualquier posible intento de explotación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft reveló el jueves que abordó un par de problemas con Azure Database for PostgreSQL Flexible Server que podrían resultar en el acceso no autorizado a la base de datos entre cuentas en una región.

"Al explotar un error de permisos elevados en el proceso de autenticación del servidor flexible para un usuario de replicación, un usuario malicioso podría aprovechar una expresión regular anclada incorrectamente para evitar la autenticación y obtener acceso a las bases de datos de otros clientes", dijo Microsoft Security Response Center (MSRC ) .

La empresa de seguridad en la nube Wiz, con sede en la ciudad de Nueva York, que descubrió las fallas, denominó a la cadena de exploits " ExtraReplica ". Microsoft dijo que mitigó el error dentro de las 48 horas posteriores a la divulgación el 13 de enero de 2022.

Específicamente, se relaciona con un caso de escalada de privilegios en el motor de Azure PostgreSQL para obtener la ejecución de código y una omisión de autenticación entre cuentas mediante un certificado falsificado, lo que permite a un atacante crear una base de datos en la región de Azure del objetivo y filtrar información confidencial.

En otras palabras, la explotación exitosa de las fallas críticas podría haber permitido que un adversario obtuviera acceso de lectura no autorizado a las bases de datos PostgreSQL de otros clientes, eludiendo efectivamente el aislamiento de inquilinos.

Wiz rastreó la escalada de privilegios a un error derivado de las modificaciones introducidas en el motor PostgreSQL para fortalecer su modelo de privilegios y agregar nuevas funciones. El nombre ExtraReplica proviene del hecho de que el exploit aprovecha una característica de PostgreSQL que permite copiar datos de la base de datos de un servidor a otro, es decir, "replicar" la base de datos.

El fabricante de Windows describió que la vulnerabilidad de seguridad afectaba a las instancias de PostgreSQL Flexible Server implementadas mediante la opción de red de acceso público , pero enfatizó que no encontró evidencia de que la falla se explotara activamente y que no se accedió a los datos del cliente.

"No se requiere ninguna acción por parte de los clientes", dijo MSRC. "Para minimizar aún más la exposición, recomendamos que los clientes habiliten el acceso a la red privada al configurar sus instancias de servidor flexible".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google dio a conocer hace poco mediante una publicación de blog la liberación de la primera versión beta de Android 13, la cual incluye algunos nuevos cambios y adiciones desde las versiones preview 1 y preview 2.

De los cambios que hasta ahorita se conocen de lo que será la próxima versión de Android, se destacan por ejemplo cambios en el diseño, la posibilidad de elección del idioma para cada aplicación, nuevo mecanismo de conexión a dispositivos cercano, asi como tambien una interfaz de usuario de Android 12L.

Ya es abril y hemos logrado un progreso constante en el perfeccionamiento de las funciones y la estabilidad de Android 13, en torno a nuestros temas principales de privacidad y seguridad, productividad de los desarrolladores, así como compatibilidad con tabletas y pantallas grandes. Hoy pasamos a la siguiente fase de nuestro ciclo y lanzamos la primera versión beta de Android 13.

Para los desarrolladores, hay mucho que explorar en Android 13, desde características de privacidad como el nuevo permiso de notificación y el selector de fotos, hasta las API que lo ayudan a crear excelentes experiencias, como íconos de aplicaciones temáticas, ubicación rápida de mosaicos de configuración y soporte de idioma por aplicación. así como capacidades como audio Bluetooth LE y MIDI 2.0 a través de USB. En Beta 1, agregamos nuevos permisos para un acceso más granular a los archivos multimedia, API de enrutamiento de audio mejoradas y más.

Cabe señalar que hasta el momento de las versiones preview presentadas, estas se han enfocado en mejorar la experiencia en dispositivos con pantallas grandes, como tabletas, Chromebooks y teléfonos inteligentes con pantallas plegables

Ya que por ejemplo para pantallas grandes, el diseño del menú desplegable de notificaciones, la pantalla de inicio y la pantalla de bloqueo del sistema se ha optimizado para utilizar todo el espacio de pantalla disponible, ademas de que tambien se agregó soporte para un modo de dos paneles en el configurador, en el que las secciones de configuración ahora están constantemente visibles en pantallas grandes.

Ademas de que se han mejorado los modos de compatibilidad para las aplicaciones, pues se propone la implementación de la barra de tareas, que muestra los íconos de las aplicaciones en ejecución en la parte inferior de la pantalla, lo que permite cambiar rápidamente entre programas y admite la transferencia de aplicaciones a través de la interfaz de arrastrar y soltar a varias áreas del modo multiventana (pantalla dividida), dividiendo la pantalla en partes para trabajar con varias aplicaciones simultáneamente.

Por la parte de los cambios en Android 13-beta1 desde Preview 2 podremos enocntrar que se proporciona la concesión selectiva de permisos para el acceso a archivos multimedia. Anteriormente, si se necesitaba leer archivos multimedia del almacenamiento local, se tenía que otorgar el derecho READ_EXTERNAL_STORAGE, que abre el acceso a todos los archivos, ahora puede otorgar acceso por separado a imágenes (READ_MEDIA_IMAGES), archivos de sonido (READ_MEDIA_AUDIO) o video (READ_MEDIA_VIDEO) .

Para las aplicaciones de generación de claves, las API Keystore y KeyMint ahora se brindan indicadores de error más detallados y precisos y permiten el uso de excepciones java.security.ProviderException para detectar errores

Otro de los cambios que se destacan en esta versión Beta de Android 13, es en AudioManager ha agregado una API para el enrutamiento de audio, que le permite determinar cómo se procesará la transmisión de audio. Se ha agregado el método getAudioDevicesForAttributes() para obtener una lista de dispositivos a través de los cuales es posible la salida de sonido, así como el método getDirectProfilesForAttributes() para determinar la posibilidad de reproducción directa de transmisiones de audio.

Finalmente cabe mencionar que se espera que Android 13 se lance en el tercer trimestre de 2022 y para aquellos interesados en evaluar las nuevas características de la plataforma, se ha propuesto un programa de prueba preliminar.

Las compilaciones del firmware están reparadas para dispositivos Pixel 6/6 Pro, Pixel 5/5a 5G, Pixel 4/4 XL/4a/4a (5G). Se ha proporcionado una actualización OTA para aquellos que instalaron la primera versión de prueba.

Más información en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hay muchas cosas que en Windows y macOS son más sencillas, en parte porque no existe esa «fragmentación» que hay en Linux en la que cada maestrillo tiene su librillo, y cada desarrollador su manera de hacer las cosas. Cuando queremos actualizar el firmware en uno de esos sistemas operativos que vienen instalados por defecto en la mayoría de ordenadores solemos tirar de una herramienta que está bien a la vista, y lo más parecido a eso que hay en Linux es lo que se ha actualizado hace unas horas a fwupd 1.8.

Esta versión sucede a la v1.7 que se lanzó a mediados del octubre pasado, y llegó con soporte para hardware de Logitech, entre otros. fwupd 1.8 ha llegado con nuevas posibilidades, pero también ampliando el soporte para más hardware, entre lo que se incluye el Google Servo Dock.

Qué trae fwupd 1.8

Añadido soporte a hardware como:

- CH341A SPI.
- Corsair Sabre RGB PRO y Slipstream USB.
- Google Servo Dock.
- Logitech M550, M650 y K650.
- Se ha añadido soporte para más lectores de huellas de la marca ELAM.
- Soporte para más paneles integrados Wacom.
- Se ha añadido soporte para más equipos StarLabs StarLite.
- Soporte para más portátiles Tuxedo.
- Quectel EM05.
- Aparatos FlatFrog.
- System76 launch_lite_1.

Y la lista de nuevas funciones (corrección de errores aparte):

- Se ha añadido un nuevo atributo para las CPUs soportadas por HSI.
- Añadidos analizadores coSWID y uSWID a libfwupdplugin para el soporte inicial de SBoM.
- Se han añadido nuevos atributos HSI para la PSP de AMD y varias otras protecciones del sistema.
- Añadida la versión de fwupd-efi en tiempo de ejecución como un requisito del firmware.
- Permite que 'fwupdmgr install' instale una versión de firmware específica.
- Permite anular el tipo de máquina detectado para la depuración y el desarrollo.
- Reinicia el BMC después de instalar las actualizaciones del BCM.
- Muestra el número de serie del dispositivo y los ID de instancia por defecto.
- Soportad el volcado de la imagen MTD a un blob de firmware.
- Toma una inhibición de dispositivo al actualizar un dispositivo.
- Utiliza el ID del fabricante del CFI para establecer el proveedor.
- Utiliza el icono correcto automáticamente para más hardware

Para más información puedes visitar su pagina oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google es una herramienta de gran ayuda para encontrar mucha de la información que necesitamos en nuestro día a día, pero sus capacidades no siempre son utilizadas para fines lícitos, y los ciberdelincuentes son la principal amenaza. La mejor alternativa que tenemos para proteger nuestra información personal, es evitar que caiga en manos ajenas. Ante este escenario, la compañía del buscador ha ampliado su política de eliminación de datos confidenciales.

El gigante de Mountain View ha permitido durante mucho tiempo se envíen solicitudes de eliminación de cierto contenido de sus resultados de búsqueda, como imágenes personales explícitas, números de tarjetas de crédito, números de cuentas bancarias o identificaciones personales. Ahora, ha anunciado que incluirá números de teléfonos, direcciones de correo electrónico, direcciones físicas e "información adicional que pueda representar un riesgo de robo de identidad".

Google retirará más contenido de sus resultados de búsqueda

Bajo la nueva política de eliminación de Google, que ya ha entrado en vigor, podemos solicitar que se eliminen los datos anteriormente mencionados. Si queremos iniciar el proceso, simplemente tenemos que completar You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login en el que se nos harán una serie de preguntas, como si hemos contactado con el propietario del sitio web que ha publicado la información, qué tipo de contenido queremos eliminar y nuestros datos personales.


Cabe señalar que la solicitud de eliminación requiere la revisión por parte de la compañía para "no limitar la disponibilidad de otra información que sea ampliamente útil", por ejemplo, artículos de noticias. Google dice que también revisará si el contenido que se quiere eliminar aparece en sitios de gobierno u otras fuentes públicas. En caso de ser así, no se rechazará la solicitud de eliminación.

Debemos tener en cuenta que cuando Google aprueba una solicitud de eliminación, lo que está haciendo es eliminando el contenido de sus resultados de búsqueda. Es decir, la información seguirá estando publicada en Internet, por lo que la eliminación definitiva de los datos está en manos de los administradores de las páginas web en las que están alojados, aunque, en muchos casos, es muy difícil contactar con ellos.

Michelle Chang, de políticas globales para la búsqueda de Google, dijo a Reuters que han recibido una gran cantidad de solicitudes de eliminación durante los últimos años y que han aprobado alrededor del 13%, pero espera que la tasa de aprobación crezca con el último movimiento. "La investigación nos ha dicho que hay una mayor cantidad de información de identificación personal que los usuarios consideran confidencial".

Imágenes | Unsplash
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una nueva operación de ransomware Onyx está destruyendo archivos grandes en lugar de cifrarlos, lo que impide que esos archivos se descifren incluso si se paga un rescate.

La semana pasada, el investigador de seguridad  MalwareHunterTeam descubrió  que se había lanzado una nueva operación de ransomware llamada Onyx.

Como la mayoría de las operaciones de ransomware actuales, los actores de amenazas de Onyx roban datos de una red antes de cifrar los dispositivos. Estos datos luego se utilizan en esquemas de doble extorsión en los que amenazan con divulgar públicamente los datos si no se paga un rescate.


La pandilla de ransomware ha tenido un éxito razonable hasta ahora, con seis víctimas en su página de fuga de datos.

Sin embargo, la funcionalidad técnica del ransomware no se conocía hasta hoy, cuando MalwareHunterTeam encontró una muestra del cifrador.

Lo que se encontró es preocupante, ya que el ransomware sobrescribe archivos grandes con datos basura aleatorios en lugar de cifrarlos.

Como puede ver en el código fuente a continuación, Onyx encripta archivos de menos de 200 MB de tamaño. Sin embargo, según MalwareHunterteam, Onyx sobrescribirá cualquier archivo de más de 200 MB con datos aleatorios.


Como se trata de datos creados aleatoriamente y no encriptados, no hay forma de desencriptar archivos de más de 200 MB de tamaño.

Incluso si la víctima paga, el descifrador puede recuperar solo los archivos cifrados más pequeños.

Según el código fuente, la naturaleza destructiva de la rutina de cifrado es intencional y no un error. Por lo tanto, se recomienda que las víctimas eviten pagar el rescate.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Facebook está obligado a emprender cambios de funcionamiento ante lo que la compañía describe internamente como un 'tsunami de regulaciones de privacidad': cada vez más países restringen el modo en que las compañías pueden usar y almacenar datos de sus nacionales. Y además, lo hacen utilizando criterios distintos en cada caso.

Sin embargo, para lograr eso, la compañía fundada por Mark Zuckerberg, debe solventar otro problema más acuciante: saber dónde van a parar todos los datos que extrae de los usuarios. Cosa que no hace, según You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login—elaborado en 2021 por sus ingenieros— ahora filtrado a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login:

"No tenemos un nivel adecuado de control y explicabilidad sobre cómo nuestros sistemas usan los datos. [...] No podemos asumir compromisos como 'no usaremos X datos para fines Y'. Y, sin embargo, esto es exactamente lo que los reguladores esperan que hagamos".

El documento establecía enero de este año como fecha de lanzamiento de 'Basic Ads' (la opción de recibir publicidad no personalizada en Facebook), sin embargo, cuatro meses después nada se sabe de dicho servicio.

Trazabilidad de datos

Así, según establece, por ejemplo, el Reglamento General de Protección de Datos de la UE, los datos personales deben ser recopilados para "fines específicos, explícitos y legítimos, y no deben ser procesados de maneras que sean incompatibles con dichos fines". Pero, ¿cómo es posible que Facebook no sea capaz de garantizar esto?

"Imagina que sostienes una botella de tinta en la mano, que es una mezcla de todo tipo de datos de usuario (datos de terceros, datos de categorías sensibles, datos procedentes de la UE...). Luego viertes esa tinta en un lago de agua (nuestros sistemas de datos abiertos)... y fluye... por todas partes. ¿Cómo vuelves a poner esa tinta en la botella? ¿Cómo lo organizas de nuevo, de modo que solo fluya a ciertos lugares permitidos en el lago?".

Los ingenieros de Facebook denominan a esto 'el problema del linaje de datos', que también podríamos traducir como de 'trazabilidad de datos', y la incapacidad de Facebook para garantizarla no hace más que augurar problemas para cumplir con los requisitos legales. Sin embargo, un portavoz de Facebook citado por Motherboard afirmó que esa analogía de la tinta y el lago "carece de contexto [...] es inexacto concluir que demuestra algún incumplimiento".

Por supuesto, "sistemas de datos abiertos" es el eufemismo del año: Facebook cuenta con un historial de uso poco ético y/o cuidadoso de los datos personales. Como aquella vez en que fueron sorprendidos usando los números de teléfono que los usuarios habían proporcionado con un fin muy concreto (establecer autenticación de dos factores en sus cuentas) para un fin muy distinto (alimentar la funcionalidad de 'Personas que quizás conozcas').

Imagen | Basada en original de Freepik
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub ha compartido una línea de tiempo de la brecha de seguridad de este mes cuando un actor de amenazas obtuvo acceso y robó repositorios privados pertenecientes a docenas de organizaciones.

El atacante usó tokens de la aplicación OAuth robados emitidos a Heroku y Travis-CI para violar las cuentas de los clientes de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login con integraciones autorizadas de la aplicación Heroku o Travis CI OAuth.

El director de seguridad de GitHub, Mike Hanley, dice que la compañía aún no ha encontrado evidencia de que sus sistemas hayan sido violados  desde que se descubrió el incidente por primera vez el 12 de abril de 2022 .

GitHub todavía está trabajando para alertar a todos los usuarios y organizaciones afectados, y la empresa está en proceso de enviar las notificaciones finales a los usuarios afectados de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login a partir de hoy.

Un análisis del comportamiento del atacante, mientras tenía acceso a cuentas de Github comprometidas, muestra que se llevaron a cabo las siguientes actividades en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login utilizando los tokens de la aplicación OAuth robados:

1. El atacante se autenticó en la API de GitHub utilizando los tokens de OAuth robados emitidos a Heroku y Travis CI.
2. Para la mayoría de las personas que tenían autorizadas las aplicaciones Heroku o Travis CI OAuth afectadas en sus cuentas de GitHub, el atacante enumeró todas las organizaciones del usuario.
3. Luego, el atacante eligió selectivamente los objetivos en función de las organizaciones enumeradas.
4. El atacante enumeró los repositorios privados de las cuentas de usuario de interés.
5. Luego, el atacante procedió a clonar algunos de esos repositorios privados.

"Este patrón de comportamiento sugiere que el atacante solo estaba enumerando organizaciones para identificar cuentas a las que apuntar selectivamente para enumerar y descargar repositorios privados", dijo GitHub .

"GitHub cree que estos ataques fueron altamente dirigidos según la información disponible y nuestro análisis del comportamiento del atacante utilizando los tokens OAuth comprometidos emitidos a Travis CI y Heroku".

Encontrar evidencia de actividad maliciosa

GitHub reveló la brecha en la noche del 15 de abril , tres días después de descubrir el ataque, cuando el actor malicioso accedió a la infraestructura de producción de npm de GitHub.

En la etapa inicial del ataque, el autor de la amenaza usó una clave API de AWS comprometida adquirida después de descargar varios repositorios privados de npm usando tokens de usuario de OAuth robados.

Si bien  GitHub ,  Travis CI y  Heroku  revocaron todos los tokens de OAuth para bloquear el acceso adicional después de descubrir el ataque, se recomienda a las organizaciones afectadas que sigan monitoreando sus  registros de auditoría  y  los registros de seguridad de la cuenta de usuario en  busca de actividad potencialmente maliciosa relacionada con este incidente.

GitHub compartió la siguiente guía con los clientes potencialmente afectados para ayudarlos a investigar los registros en busca de evidencia de exfiltración de datos o actividad maliciosa:

- Revise todos sus repositorios privados en busca de secretos o credenciales almacenados en ellos. Hay varias herramientas que pueden ayudar con esta tarea, como  el escaneo secreto de GitHub  y  trufflehog .
- Revise las aplicaciones de OAuth que ha autorizado para su  cuenta personal  o que están autorizadas para acceder a su  organización  y elimine todo lo que ya no necesite.
- Siga las  pautas de GitHub  para fortalecer la postura de seguridad de su organización de GitHub.
- Revise  la actividad de su cuenta, los tokens de acceso personal, las aplicaciones de OAuth y las claves SSH para detectar cualquier actividad o cambio que pueda provenir del atacante.
- Las preguntas adicionales deben dirigirse al  Soporte de GitHub .

Puede encontrar más información sobre cómo respondió GitHub para proteger a sus clientes y qué necesitan saber las organizaciones  en la alerta de seguridad inicial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft reveló el martes un conjunto de dos vulnerabilidades de escalada de privilegios en el sistema operativo Linux que podrían permitir a los actores de amenazas llevar a cabo una serie de actividades nefastas.

Llamadas colectivamente " Nimbuspwn ", las fallas "pueden encadenarse para obtener privilegios de raíz en los sistemas Linux, lo que permite a los atacantes implementar cargas útiles, como una puerta trasera raíz, y realizar otras acciones maliciosas a través de la ejecución arbitraria de código raíz", dijo Jonathan Bar Or de Microsoft. 365 Defender Research Team dijo en un informe.

Además de eso, los defectos, rastreados como CVE-2022-29799 y CVE-2022-29800 , también podrían armarse como un vector para el acceso raíz para implementar amenazas más sofisticadas como el ransomware.

Las vulnerabilidades tienen sus raíces en un componente de systemd llamado networkd-dispatcher , un programa daemon para el servicio del sistema del administrador de red que está diseñado para enviar cambios de estado de la red.


Específicamente, se relacionan con una combinación de fallas de recorrido de directorio (CVE-2022-29799), carrera de enlace simbólico (también conocido como enlace simbólico) y fallas de tiempo de verificación a tiempo de uso (CVE-2022-29800), lo que lleva a un Escenario en el que un adversario que tiene el control de un servicio D-Bus no autorizado puede plantar y ejecutar puertas traseras maliciosas en los puntos finales comprometidos.

Se recomienda encarecidamente a los usuarios de networkd-dispatcher que actualicen sus instancias a la última versión para mitigar el potencial que surge de la explotación de las fallas.

"El creciente número de vulnerabilidades en los entornos Linux enfatiza la necesidad de un fuerte monitoreo del sistema operativo de la plataforma y sus componentes", dijo Bar Or.

"Este bombardeo constante de ataques que abarcan una amplia gama de plataformas, dispositivos y otros dominios enfatiza la necesidad de un enfoque de gestión de vulnerabilidades integral y proactivo que pueda identificar y mitigar aún más los exploits y problemas previamente desconocidos".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google está implementando una nueva sección de Seguridad de datos en Play Store, el repositorio oficial de aplicaciones de Android, donde los desarrolladores deben declarar qué datos recopila su software de los usuarios de sus aplicaciones.

Esto será como una etiqueta de privacidad que brinda a los usuarios información crucial de un vistazo, lo que debería ser suficiente para ayudarlos a decidir si desean continuar con la instalación.


Los desarrolladores no solo declararán qué datos recopilan, sino también qué datos comparten con terceros, esencialmente revelando el propósito detrás de la recopilación.

Si el usuario desea obtener más información sobre una entrada en particular, tocar el elemento correspondiente colapsará el menú para revelar más información sobre lo que se recopila o comparte.


El tercer pilar de la sección Seguridad de datos serán las prácticas de seguridad de la aplicación, que describen los mecanismos de seguridad empleados para proteger los datos recopilados, como el  estándar MASVS .

Este tercer apartado también aclara si los usuarios tienen la opción de solicitar la eliminación de sus datos en cualquier momento.

Finalmente, Seguridad de datos especificará si la aplicación sigue la Política de familias de Google Play, que está orientada a la protección de los niños.

Google está implementando la nueva sección Seguridad de datos gradualmente para que los usuarios de Android no vean esta nueva sección de inmediato, sino durante las próximas dos semanas.

Los desarrolladores pueden comenzar a declarar cómo se utilizan los datos recopilados a partir de hoy, y la fecha límite para completar sus envíos es el 20 de julio de 2022.

Google le dijo a BleepingComputer que los desarrolladores proporcionarían esta información ellos mismos, lo que Google no confirmará. Sin embargo, si se descubre que un desarrollador ha tergiversado sus divulgaciones de uso de datos, se le pedirá que corrija la información proporcionada.

De lo contrario, se infringirían las políticas, lo que provocaría la suspensión de la aplicación en Google Play Store.

Para obtener más información sobre el nuevo sistema, qué incluye y cómo funciona, consulte la página de soporte de Google.

Reemplazo de un mal sistema

Hasta ahora, las aplicaciones de Android en Play Store tenían que incluir un enlace a su Política de privacidad en la sección "Información adicional" y proporcionar un correo electrónico de contacto.

Dado que esta política de privacidad está alojada en una ubicación externa, está sujeta a modificaciones, puede ser vaga, puede que no revele todos los detalles cruciales sobre la recopilación y protección de datos, e incluso puede dar lugar a un enlace roto.


Además, dado que leer textos extensos de jerga legal no es exactamente lo que los usuarios buscan cuando buscan nuevas aplicaciones en Google Play Store, casi nadie las revisa.

Finalmente, debido a las dificultades prácticas derivadas de lo anterior, ha sido imposible para Google validar que las aplicaciones respeten los términos presentados en sus políticas de privacidad.

La seguridad de datos brinda a los usuarios una comprensión clara de lo que sucede con sus datos sin necesidad de que dediquen tiempo a profundizar en las secciones, mientras que también permite a Google aplicar la ley.

Alcanzando

Si bien el movimiento de Google es beneficioso para los usuarios de Android, Apple ya introdujo una función similar llamada " Etiquetas de nutrición de privacidad " en 2020.


Este es otro caso en el que la competencia en el espacio de los sistemas operativos móviles ha traído desarrollos positivos, brindando a los usuarios más información y control sobre cómo los diversos software que se ejecutan en sus teléfonos inteligentes manejan sus datos.

Con la gran cantidad de aplicaciones fraudulentas, malware y aplicaciones de usura que se encuentran en Google Play, esta nueva sección de Seguridad de datos no solo será útil para los usuarios de Android, sino que también permitirá a Google encontrar infractores de políticas más rápidamente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La botnet Emotet ahora usa archivos de acceso directo de Windows (.LNK) que contienen comandos de PowerShell para infectar las computadoras de las víctimas, alejándose de las macros de Microsoft Office que ahora están deshabilitadas de manera predeterminada.

El uso de archivos .LNK no es nuevo, ya que la pandilla de Emotet los usó anteriormente en combinación con el código Visual Basic Script (VBS) para crear un comando que descarga la carga útil. Sin embargo, esta es la primera vez que utilizan los accesos directos de Windows para ejecutar directamente los comandos de PowerShell.

Nueva técnica tras campaña fallida

El viernes pasado, los operadores de Emotet  desconectaron una campaña de phishing  porque fallaron en su instalador después de usar un nombre de archivo estático para hacer referencia al acceso directo malicioso .LNK.

Lanzar el acceso directo activaría un comando que extraería una cadena de código VBS y la agregaría a un archivo VBS para ejecutarlo.

Sin embargo, como los archivos de acceso directo distribuidos tenían un nombre diferente al estático que estaban buscando, no se podía crear el archivo VBS correctamente. La pandilla solucionó el problema ayer.

Hoy, los investigadores de seguridad notaron que Emotet cambió a una nueva técnica que usa comandos de PowerShell adjuntos al archivo LNK para descargar y ejecutar un script en la computadora infectada.

La cadena maliciosa añadida al archivo .LNK está ofuscada y rellenada con nulos (espacios en blanco) para que no se muestre en el campo de destino (el archivo al que apunta el acceso directo) del cuadro de diálogo de propiedades del archivo.


El archivo .LNK malicioso de Emotet incluye direcciones URL de varios sitios web comprometidos que se utilizan para almacenar la carga útil del script de PowerShell. Si el script está presente en una de las ubicaciones definidas, se descarga en la carpeta temporal del sistema como un script de PowerShell con un nombre aleatorio.

A continuación se muestra la versión desofuscada de la cadena maliciosa Emotet adjunta a la carga útil .LNK:


Este script genera y ejecuta otro script de PowerShell que descarga el malware Emotet de una lista de sitios comprometidos y lo guarda en la carpeta %Temp%. Luego, la DLL descargada se ejecuta con el comando regsvr32.exe.

La ejecución del script de PowerShell se realiza mediante la utilidad de línea de comandos Regsvr32.exe y finaliza con la descarga y ejecución del malware Emotet.

El investigador de seguridad  Max Malyutin  dice que junto con el uso de PowerShell en archivos LNK, este flujo de ejecución es nuevo para la implementación de malware de Emotet.

Nueva técnica en ascenso

El grupo de investigadores de Cryptolaemus, que está monitoreando de cerca la actividad de Emotet, señala que la nueva técnica es un claro intento del actor de amenazas de eludir las defensas y la detección automática.

Los investigadores de seguridad de la empresa de ciberseguridad ESET también notaron que el uso de la nueva técnica Emotet ha aumentado en las últimas 24 horas.


Los datos de telemetría de ESET muestran que los países más afectados por Emotet a través de la nueva técnica son México, Italia, Japón, Turquía y Canadá.

Además de cambiar a PowerShell en archivos .LNK, los operadores de botnets de Emotet han realizado algunos otros cambios desde que reanudaron la actividad a niveles más estables en noviembre, como  pasar a módulos de 64 bits .

El malware generalmente se usa como puerta de entrada para otro malware, en particular amenazas de ransomware como Conti.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ha surgido una nueva variante de una botnet de IoT llamada BotenaGo, específicamente señalando los dispositivos DVR con cámara de seguridad Lilin para infectarlos con el malware Mirai.

Apodado " Lilin Scanner " por Nozomi Networks, la última versión está diseñada para explotar una vulnerabilidad de inyección de comando crítica de dos años en el firmware del DVR que fue reparada por la compañía taiwanesa en febrero de 2020.

BotenaGo , documentado por primera vez en noviembre de 2021 por AT&T Alien Labs, está escrito en Golang y presenta más de 30 exploits para vulnerabilidades conocidas en servidores web, enrutadores y otros tipos de dispositivos IoT.

Desde entonces, el código fuente de la red de bots se ha subido a GitHub, por lo que está listo para el abuso por parte de otros actores criminales. "Con solo 2891 líneas de código, BotenaGo tiene el potencial de ser el punto de partida para muchas nuevas variantes y nuevas familias de malware que utilizan su código fuente", dijeron los investigadores este año.

El nuevo malware BotenaGo es el último en explotar vulnerabilidades en los dispositivos Lilin DVR después de Chalubo, Fbot y Moobot. A principios de este mes, el Laboratorio de Investigación de Seguridad de Redes de Qihoo 360 (360 Netlab) detalló una botnet DDoS de rápida expansión llamada Fodcha que se propaga a través de varias fallas N-Day, incluida la de Lilin, y contraseñas Telnet/SSH débiles.


Un aspecto crucial que distingue a Lillin Scanner de BotenaGo es su dependencia de un programa externo para crear una lista de direcciones IP de dispositivos Lilin vulnerables, y luego explotar la falla antes mencionada para ejecutar código arbitrario de forma remota en el objetivo e implementar cargas útiles de Mirai.

Vale la pena señalar que el malware no puede propagarse como un gusano y solo puede usarse para atacar las direcciones IP proporcionadas como entrada con los binarios de Mirai.

"Otro comportamiento asociado con la botnet Mirai es la exclusión de rangos de IP pertenecientes a las redes internas del Departamento de Defensa de EE. UU. (DoD), el Servicio Postal de EE. UU. (USPS), General Electric (GE), Hewlett-Packard (HP) y otros", dijeron los investigadores.

Al igual que Mirai, la aparición de Lilin Scanner apunta a la reutilización del código fuente fácilmente disponible para generar nuevas ramificaciones de malware.

"Sus autores eliminaron casi todos los más de 30 exploits presentes en el código fuente original de BotenaGo", dijeron los investigadores, y agregaron que "parece que esta herramienta se ha creado rápidamente utilizando el código base del malware BotenaGo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha revelado una vulnerabilidad de seguridad en la versión web de la billetera Ever Surf que, si se arma con éxito, podría permitir que un atacante obtenga el control total de la billetera de la víctima.

"Al explotar la vulnerabilidad, es posible descifrar las claves privadas y las frases iniciales que se almacenan en el almacenamiento local del navegador", dijo la empresa de ciberseguridad israelí Check Point en un informe compartido con The Hacker News. "En otras palabras, los atacantes podrían obtener el control total de las billeteras de la víctima".

Ever Surf es una billetera de criptomonedas para la cadena de bloques Everscale (anteriormente FreeTON) que también funciona como mensajero multiplataforma y permite a los usuarios acceder a aplicaciones descentralizadas, así como enviar y recibir tokens no fungibles (NFT). Se dice que tiene un estimado de 669,700 cuentas en todo el mundo.



Por medio de diferentes vectores de ataque, como extensiones de navegador maliciosas o enlaces de phishing, la falla hace posible obtener las claves cifradas de una billetera y las frases iniciales que se almacenan en el almacenamiento local del navegador, que luego pueden ser trivialmente forzadas para desviar fondos.

Dado que la información en el almacenamiento local no está cifrada, se podría acceder a ella mediante complementos de navegador no autorizados o malware que roba información que es capaz de recopilar dichos datos de diferentes navegadores web.

Luego de la divulgación responsable, se lanzó una nueva aplicación de escritorio para reemplazar la versión web vulnerable, y esta última ahora está marcada como obsoleta y se usa solo con fines de desarrollo.

"Tener las llaves significa control total sobre la billetera de la víctima y, por lo tanto, sobre los fondos", dijo Alexander Chailytko de Check Point. "Cuando trabaje con criptomonedas, siempre debe tener cuidado, asegurarse de que su dispositivo esté libre de malware, no abrir enlaces sospechosos, mantener actualizado el sistema operativo y el software antivirus".

"A pesar de que la vulnerabilidad que encontramos se corrigió en la nueva versión de escritorio de la billetera Ever Surf, los usuarios pueden encontrar otras amenazas, como vulnerabilidades en aplicaciones descentralizadas o amenazas generales como fraude [y] phishing".

Fuete: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login