Proton asomó la cabeza hace tres años como un huracán. La capa de compatibilidad basada en Wine e impulsada por Valve empezó muy fuerte y mejorando rápidamente sus prestaciones, pero desde hace unos meses parece que su progresión se ha frenado un poco, algo lógico si tenemos en cuenta que a estas alturas se le resisten principalmente juegos específicos que dan problemas en Wine y aquellos que usan un anti-cheat.

Si en marzo dimos la noticia de que el 70% de los 50 juegos más populares de Steam eran capaces de funcionar en Linux gracias Proton, ese porcentaje, según datos que se pueden extraer de ProtonDB, ha subido en estos momentos hasta el 79% contando los 100 títulos más populares de la plataforma de Valve. Esto supone, haciendo cálculos imprecisos, un aumento de 9 puntos porcentuales, lo que no está nada mal. Incluso hace unos días el porcentaje llegaba al 80.

Si ampliamos el espectro a los mil juegos más populares de Steam, el porcentaje baja al 76%, quedándose cerca del obtenido por el top 100. Dicho con otras palabras, y sobre todo si uno se centra en los títulos monojugador, uno puede tener en la actualidad una muy buena experiencia en Steam empleando Linux como sistema operativo, ya que a lo aportado por Proton hay que sumar los juegos nativos.


En lo que respecta a los títulos multijugador para Windows o que tienen modo multijugador, habrá que ver si los desarrolladores que emplean Easy Anti-Cheat o Battleye se animan a dar soporte a través de Proton, algo de lo que dependerá el éxito y la acogida que tenga la Steam Deck, la consola híbrida/mini-PC de Valve que usará Linux como sistema operativo.

Como vemos, y a pesar de que su mejora ya no es tan explosiva, Proton sigue ganando terreno, y si los desarrolladores se lo proponen, podría incluso ir corrigiendo rápidamente los problemas que tiene con muchos juegos con multijugador online u orientados al online.

Hace un par de días arrancaron las ofertas de invierno de Steam, con muchos títulos que se pueden encontrar a precios muy rebajados. Si uno tiene dudas sobre si un juego funciona correctamente o no en Linux, sería recomendable consultar la nota que le han otorgado los usuarios en ProtonDB, donde también se pueden encontrar trucos que por lo general consisten en recurrir a algún parámetro de lanzamiento o a Proton Glorious Eggroll, una bifurcación comunitaria de la capa de compatibilidad que por lo general ofrece mejores resultados con título triple A recientes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

systemd 250 ya está entre nosotros como la nueva versión del init, framework de sistema o gestor de sistema que se ha consolidado como uno de los componentes más esenciales del ecosistema de Linux, empezando por la mayoría de las distribuciones más populares. Una vez más, nos encontramos con una grandísima cantidad de cambios y novedades, los cuales, aparte de complejos, abarcan muchas áreas.

systemd 250 ha añadido soporte para credenciales cifradas y autenticadas. Esto puede tratarse de una clave almacenada en '/var' o un chip TPM2 en el sistema mediante el cual las credenciales se descifrarán automáticamente cuando se inicie el correspondiente servicio. Por otro lado, se ha incorporado una herramienta llamada 'systemd-creds' para manejar credenciales y que se puede utilizar para certificados SSL, contraseñas y datos similares.

La especificación de detección de particiones GPT ha sido ampliada con soporte para las particiones raíz (/) y '/usr' en la mayoría de arquitecturas compatibles con systemd, mientras que 'systemd-logind' tiene una nueva configuración para las pulsaciones prolongadas de los botones de inicio, reiniciar y suspensión del sistema. A partir de ahora, si el usuario lo desea, las pulsaciones prolongadas de más de 5 segundos pueden ser configuradas para logind.

Otra nueva configuración de systemd 250 es 'RestrictFileSystems=', que permite restringir los sistemas de ficheros a los que un servicio puede acceder según su tipo. El administrador de servicios por usuario ahora soporta la comunicación con 'systemd-oomd' para aprender la información de eliminación de memoria insuficiente y se han incorporado varias mejoras al soporte del módulo de la plataforma TPM 2.0.

Continuando con más novedades de systemd 250, tenemos la incorporación de nuevas bases de datos de hardware para analizadores de señales y cámaras. Una nueva unidad de 'systemd-boot-update.service' ha sido añadida al usar el cargador 'sd-boot' para asegurar que el cargador de arranque permanezca actualizado y se propague automáticamente a partir de la información del árbol del sistema operativo en '/usr'.

Una de las novedades más importantes de systemd 250 es el soporte para facilitar la migración de directorios de usuario entre sistemas cuando se emplea 'systemd-homed', un componente que ahora usa montajes mapeados de UID sobre kernels o sistemas de ficheros en los que los ficheros están en propiedad de "nobody" para luego mapear al UID usado localmente en el sistema. Esto facilita la migración de los directorios de usuario entre sistemas al no tener que cambiar el propietario de forma recursiva (chown -R /home/directoriousuario).

Siguiendo una decisión tomada por los responsables de Fedora, 'systemd-homed' ahora emplea por defecto la compresión Zstd sobre Btrfs para las áreas del usuario. También se ha incluido soporte inicial para LoongArch y 'systemd-journald' vuelve a habilitar la copia en escritura para los ficheros de journal en los sistemas de ficheros soportados.

El framework de sistema puede a partir de este lanzamiento cargar credenciales desde '/loader/credentials/*.cred' para cosas como claves de SSH, claves de cifrado de rootfs, claves de integridad de dm (dm-integrity), etc. Al no estar diseñadas para ser específicas del kernel o de initrd, deberían de cargarse con cualquier imagen del kernel.

systemd 250 ha incorporado un analizador de BCD (Datos de Configuración de Arranque) para los datos de arranque empleados por Windows desde la versión Vista. Por otro lado, el generador de red de systemd soporta configuración de red link6 para tener conectividad mediante vínculo local por IPv6.

Desde este lanzamiento se permite compilaciones vinculadas estáticamente para 'bootctl' y 'systemd-bless-boot' usando la nueva opción '-Dlink-boot-shared=false'. La adición de este soporte ha sido impulsada por los desarrolladores de CentOS/RHEL 9, sistemas que tienen una pila de systemd completa con excepción de 'bootctl' y 'systemd-bless-boot'. Por último, 'systemd-network-generator' está ahora habilitado por defecto.

systemd 250 puede ser obtenido si uno está dispuesto a pasar por el tortuoso proceso de compilación del código fuente. Como vía alternativa más fácil, se puede recurrir a alguna distribución rolling release y bleeding edge como Arch Linux, al que debería de llegar en cuestión de tiempo si no lo ha hecho ya. A pesar de todo, raras veces la actualización de este componente suele ser crítico, sobre todo en sistemas de escritorio en los que el usuario raras veces interacciona directamente con él. Los que quieran conocer todos los detalles pueden consultar la lista de cambios publicada en los lanzamientos de GitHub.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una de las cosas más interesantes de Nitrux como proyecto es Maui, un framework construido con la tecnología de KDE y Kirigami que pone las bases para facilitar la creación de aplicaciones convergentes para Linux, Windows, macOS, Android e iOS. Más recientemente, los responsables de Nitrux han querido ir un paso más allá con Maui Shell, una shell de escritorio convergente capaz de adaptarse a móviles y escritorios.

Los responsables han explicado que "el objetivo de Maui Shell es implementar una shell de escritorio convergente con diferentes factores de forma, desde teléfonos móviles y tabletas hasta computadoras de escritorio. Maui Shell se adaptará a varios factores de forma y no es necesario que varias versiones apunten a diferentes factores de forma". A nivel básico se compone de dos partes:

- Cask, que es el contenedor de la shell para las plantillas de elementos como paneles, ventanas emergentes, tarjetas, etc. El panel superior está dividido en dos secciones, una izquierda que soporta las notificaciones y el calendario y una derecha en la que se ubican las propiedades del sistema que dan acceso al volumen, el apagado, etc. Cada sección tiene subelementos llamados PanelItem que tienen una serie de tarjetas (Cards) asociadas a ellas.

- Por su parte, Zpace es el compositor. Además del diseño, se encarga de colocar las ventanas o superficies en el contenedor Cask. Emplea la API de composición de Wayland de Qt e incluye soporte inicial para los espacios de trabajo.

Dicho con otras palabras, Nitrux se adentra en el terreno de los entornos de escritorio con Maui Shell. Para exponer un poco más los elementos más superficiales, vamos a explicar brevemente qué pone Cask a disposición:

- Un panel en la parte superior que se encarga de mostrar las notificaciones a la izquierda y los accesos rápidos a la configuración de la red, el brillo, el audio y otras cosas en la parte derecha (esto ya lo hemos explicado).
- Un dock con aplicaciones ancladas ubicado en la parte inferior de la pantalla.
- Un lanzador que se puede abrir desde el dock para obtener la lista completa de aplicaciones.

Maui Shell cuenta con sesiones sobre X11 y Wayland, pero desde el proyecto Nitrux avisan que todavía se encuentra en una fase temprana de su desarrollo y que le queda mucho trabajo por delante para ser usable, sobre todo sobre Wayland, donde un simple "ctrl+C" (u otro atajo de teclado) puede hacer que se cierre la sesión.

A nivel de características, los desarrolladores se encuentran ahora trabajando en el soporte de PulseAudio, Bluetooth vía Bluedevil, arrastrar y soltar, interruptores de red, espacios de trabajo, control de MPRIs, el lanzador, el dock, los paneles y la extensión XDG-shell, mientras que todavía están ausentes el soporte multitáctil, el gestor de sesiones, el panel de configuración y la extensión de XWayland. En la galería colocada justo debajo se muestra, en este orden, cómo queda Cask sobre un escritorio, una tablet y un smartphone.

Maui Shell ya puede ser usado en Nitrux 1.8

Maui Shell no es solo un brindis al sol, sino que ya está disponible en Nitrux 1.8, la última versión de la distribución basada en Debian y sin systemd que destaca por incorporar Nomad Desktop, un KDE Plasma modificado y con un atractivo acabado estético.

Como novedades, nos encontramos con la incorporación de Maui Shell (las sesiones son nombradas como Cask), que puede ser seleccionado a través del gestor gráfico de sesiones SDDM para iniciar tanto la sesión de Wayland como la de Xorg. Como kernel está Linux 5.15 LTS y también está presente el conjunto de aplicaciones de Maui.

La base tecnológica del escritorio y algunas de las aplicaciones preinstaladas está compuesta por KDE Plasma 5.23.4, KDE Frameworks 5.89 y KDE Gear 21.12. Al escritorio se le ha añadido de manera predeterminada Latte Dock, un componente muy utilizado entre los usuarios de KDE que este año ha dado el salto al soporte multiescritorio.

Centrándonos en elementos que no están muy a la vista del usuario, Nitrux 1.8 ha pasado a emplear XFS como sistema de ficheros predeterminado en lugar de Btrfs y ha añadido 113 perfiles a AppArmor, el módulo de seguridad para el kernel Linux cuyo desarrollado está liderado desde hace muchos años por Canonical y que compite con SELinux, desarrollado por Red Hat.

El monitor de sistema de KDE ha sido personalizado con dos páginas personalizadas para rastrear las tasas de entrada-salida, el almacenamiento disponible y estadísticas de la GPU como el uso de VRAM, de la GPU, las frecuencias y la temperatura.


Todos los detalles de Nitrux 1.8 están disponibles en el anuncio oficial, mientras que el sistema puede ser descargado desde el sitio web de la distribución. Más facilidades no se pueden poner para usar Maui Shell, aunque, como ya hemos dicho, es importante tener en cuenta que está en una fase temprana de su desarrollo, así que en estos momentos la experiencia que ofrece podría no ser satisfactoria.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WhatsApp es una de las aplicaciones de mensajería menos seguras que hay en el mercado. Esto lo confirmó el propio FBI en un documento que se filtró hace unas semanas, donde un juez puede obligar a WhatsApp a que dé información al FBI sobre los usuarios, incluyendo con quién hablan. El cifrado de extremo a extremo, por suerte, no puede romperse, así como tampoco ya el de las copias de seguridad si las ciframos. Ahora, una de las apps que aparecía en el listado el FBI carga contra otra de ellas.

Hablamos de Signal. La aplicación es, sin duda, la más segura dentro de todas las opciones de mensajería instantánea del mercado, aunque a cambio de tener pocas funciones. El FBI sólo puede conocer la fecha y hora a la que se registró un usuario, y la última fecha de conexión. Toda la demás información, incluyendo con quién se habla o el contenido de los mensajes, es imposible de espiar.

Telegram no ha tenido ni una brecha de seguridad

En otras apps como Telegram, el contenido de los mensajes tampoco puede espiarse en chats y grupos privados. El FBI detalló que lo único accesible es la dirección IP y el número de teléfono de una cuenta, pero Telegram sólo cede esa información si se demuestra que es un caso confirmado de terrorismo. Si no, Telegram no da ningún tipo de dato.


A pesar de que no ha habido nunca un caso de fuga de datos o espionaje en Telegram, el creador de Signal, Moxie Marlinspike, ha cargado duramente contra la aplicación, donde afirma que no ofrece cifrado de extremo a extremo. Según afirma, los mensajes enviados a través de Telegram se almacenan en los servidores de la compañía en texto plano.

It's amazing to me that after all this time, almost all media coverage of Telegram still refers to it as an "encrypted messenger."

Telegram has a lot of compelling features, but in terms of privacy and data collection, there is no worse choice. Here's how it actually works:

1/

— Moxie Marlinspike (@moxie) December 23, 2021

Pavel Durov ha elogiado en multitud de ocasiones la protección que Telegram ofrece a quienes lo usan. Las acusaciones de Marlinspike tienen parte de verdad, ya que los chats de Telegram no tienen cifrado de extremo a extremo por defecto. Para disfrutar de esa función hay que hacer uso de los chats secretos, cuyos mensajes no se sincronizan entre dispositivos, y permite a efectos prácticos tener la misma protección que usar Signal.

En su lugar, para facilitar el envío de archivos de hasta 2 GB, y la sincronización rápida entre dispositivos, Telegram utiliza un algoritmo de cifrado propio basado en MTProto 2.0 con SHA256. Los mensajes se envían por canales cifrados a los servidores de la app, donde se cifran, y de ahí se envían al destinatario.

No es posible leer los mensajes en la nube de Telegram

A pesar de ello, no ha habido ninguna filtración de datos en Telegram, mientras que, con WhatsApp, que sí usa cifrado de extremo a extremo, sí que ha tenido varios problemas al respecto. Además, Telegram utiliza cifrado simétrico, donde sólo el usuario tiene la «clave» para acceder a los mensajes que se almacenan en sus servidores. Con ello, se evita que haya terceros que puedan acceder a esos mensajes, por lo que a efectos prácticos el cifrado es irrompible.

Marlinspike, por tanto, ha de actualizar sus acusaciones, ya que muchas de ellas se basan en cómo era Telegram en 2016 cuando usaba todavía MTProto 1.0. Actualmente la app es igual o más segura que WhatsApp, ya que por ejemplo no hay forma de acceder al historial de chats almacenado en la nube, algo que con WhatsApp si es posible si, por ejemplo, lo almacenas en Google Drive y no lo tienes cifrado.

La acusación de Marlinspike yerra también en decir que Telegram es menos seguro que Facebook Messenger, cuando esta app, al igual que Direct, no tiene ningún tipo de cifrado, por lo que los mensajes pueden ser espiados por Facebook o por agencias como el FBI.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El viernes pasado fue Nochebuena, y el sábado el día de Navidad. WineHQ suele lanzar las nuevas versiones de su software para ejecutar aplicaciones de Windows en otros sistemas operativo los viernes, pero el pasado no nos entregaron nada. Podíamos pensar que iban a cogerse vacaciones y no haber Release Candidate esta semana, pero ayer domingo día 26 lanzaron WINE 7.0-rc3, la tercera candidata de la próxima versión de esto que se traduce como «Vino» pero que en realidad son las siglas de «WINE is not an emulator».

En esta fase del desarrollo, WineHQ ya no introduce tantas modificaciones como en cuando se lanza una versión Staging o Developer cada dos semanas, pero sí se han corregido 23 bugs e introducido 62 cambios. En cuanto a lo que se ha destacado, y así será hasta que se lance la versión estable de WINE 7.0, el proyecto sólo menciona «corrección de errores» ya que se ha entrado en la congelación de código.

WINE 7.0-rc3 corrige algunos problemas en juegos que usan DirectX 11

Ya está disponible la versión de desarrollo Wine 7.0-rc2.

Las novedades de esta versión (véase más abajo para más detalles):
– Sólo correcciones de errores, estamos en la congelación del código.

WINE 7.0-rc3 es Release Candidate que sucede a la segunda de la v7.0 de WINE, la próxima actualización mayor que llegará a principios de 2022. En esta fase del desarrollo, WineHQ lanza una RC cada siete días y, como se lee en la lista de novedades, ya no destacan nada. Para saber los cambios que han introducido, entre los que recordamos que no habrá nuevas funciones, hay que leer la lista que facilitan en la nota del lanzamiento.

WINE 7.0-rc3 ya está disponible, el próximo viernes día 31 debería llegar la cuarta RC, pero es probable que vuelva a retrasarse al domingo día 2 o incluso lunes, ya que se celebrará la entrada a 2022.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha abordado una vulnerabilidad de macOS que las aplicaciones basadas en scripts no firmadas y no anotadas podrían explotar para eludir todos los mecanismos de protección de seguridad de macOS incluso en sistemas con parches completos.

Si eluden las comprobaciones de seguridad de notarización automatizadas (que escanean en busca de componentes maliciosos y problemas de firma de códigos), Gatekeeper permite que las aplicaciones se inicien , una función de seguridad de macOS diseñada para verificar si las aplicaciones descargadas están certificadas por notario y firmadas por el desarrollador.

Una vez que se lanzan aplicaciones maliciosas basadas en scripts que apuntan a la falla de derivación ( CVE-2021-30853 ) en el sistema de un objetivo, los atacantes pueden usarlas para descargar e implementar cargas útiles maliciosas de segunda etapa.

Apple ha abordado esta vulnerabilidad en macOS 11.6 a través de una actualización de seguridad lanzada en septiembre de 2021 que agrega controles mejorados.

Bypass del portero con un shebang

El ingeniero de seguridad de Box Offensive, Gordon Long, descubrió el error de derivación de Gatekeeper CVE-2021-30853 y lo informó a Apple .

Descubrió que las aplicaciones basadas en secuencias de comandos especialmente diseñadas descargadas de Internet se iniciarían sin mostrar una alerta, aunque se pusieran en cuarentena automáticamente.

La parte "especialmente diseñada" requiere la creación de una aplicación que use un script que comience con un carácter shebang (! #) Pero deje el resto de la línea vacía, lo que le dice al shell de Unix que ejecute el script sin especificar un intérprete de comandos de shell.

Esto conduce a una omisión de Gatekeeper porque el daemon syspolicyd comúnmente invocado automáticamente por la extensión del kernel AppleSystemPolicy para realizar verificaciones de seguridad (firma y notarización) ya no se activa para inspección cuando se inicia un script sin especificar un intérprete.

Básicamente, si el script usaba un shebang (! #) Pero no especificaba explícitamente un intérprete, omitiría las comprobaciones de seguridad de Gatekeeper.


"El demonio syspolicyd realizará varias comprobaciones de políticas y, en última instancia, evitará la ejecución de aplicaciones que no sean de confianza, como las que no están firmadas o no anotadas", explicó. investigador de seguridad Patrick Wardle.

"Pero, ¿qué pasa si el kext de AppleSystemPolicy decide que el demonio syspolicyd no necesita ser invocado? Bueno, entonces, ¡el proceso está permitido! Y si esta decisión se toma incorrectamente, entonces, tiene una excelente cuarentena de archivos, guardián y certificación notarial. derivación."

Como reveló Wardle, los actores de amenazas pueden explotar esta falla engañando a sus objetivos para que abran una aplicación maliciosa que también se puede camuflar como un documento PDF de apariencia benigna.

Estas cargas útiles maliciosas se pueden entregar en los sistemas de los objetivos a través de muchos métodos, incluidos resultados de búsqueda envenenados, actualizaciones falsas y aplicaciones troyanas descargadas de sitios que enlazan con software pirateado.


Errores similares explotados por malware

Este no es el primer error de macOS corregido por Apple que permitiría a los actores de amenazas eludir por completo los mecanismos de seguridad del sistema operativo como Gatekeeper y File Quarantine en Mac con parches completos.

En abril, Apple parcheó una vulnerabilidad de día cero explotada en la naturaleza por los operadores de malware Shlayer para eludir los controles de seguridad automatizados de macOS e implementar cargas útiles adicionales en Mac comprometidas.

Los actores de amenazas de Shlayer comenzaron a apuntar a los usuarios de macOS con malware sin firmar y no anotado que explotaba el error de día cero ( registrado como CVE-2021-30657 ) a partir de enero de 2021, como descubrió el equipo de detección de Jamf Protect .

Microsoft también descubrió una vulnerabilidad de macOS en octubre, denominada Shrootless y rastreada como CVE-2021-30892 ), que podría usarse para eludir la Protección de Integridad del Sistema (SIP) y realizar operaciones arbitrarias, elevar los privilegios a root e instalar rootkits en dispositivos comprometidos.

"Una aplicación maliciosa puede modificar partes protegidas del sistema de archivos", dijo Apple en un aviso de seguridad emitido después de corregir el error de Shrootless.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Blackmagic Software ha abordado recientemente dos vulnerabilidades de seguridad en el muy popular software DaVinci Resolve que permitiría a los atacantes obtener la ejecución de código en sistemas sin parches.

DaVinci Resolve  es una plataforma de software gratuito que combina la edición de video y la corrección de color, efectos visuales, gráficos en movimiento y herramientas de posproducción de audio en una sola solución.

Como afirma su desarrollador Blackmagic, DaVinci Resolve es "la solución de edición más popular de Hollywood" para Mac, Windows y Linux.

Defectos críticos de ejecución de código remoto

Las dos fallas de seguridad de ejecución remota de código (RCE), rastreadas como  CVE-2021-40417 y  CVE-2021-40418 , fueron descubiertas por investigadores de seguridad de Cisco Talos y están calificadas con una puntuación de gravedad CVSSv3 de 9.8 / 10 .

Ambos son causados ​​por debilidades encontradas en el servicio DPDecoder de DaVinci Resolve y se activan por un desbordamiento de búfer basado en el montón al decodificar un archivo de video o un UUID incorrecto al analizar archivos de video.

"[CVE-2021-40417] es una vulnerabilidad de desbordamiento de búfer basada en el montón que ocurre cuando la aplicación enfrenta una condición de desbordamiento de enteros que conduce a una extensión de signo al intentar decodificar un archivo de video", explicó Cisco Talos .

"Alternativamente, [CVE-2021-40418] también podría conducir a la ejecución de código, pero en su lugar se activa como resultado de un miembro de objeto no inicializado como resultado de un UUID incorrecto".

Los actores de amenazas remotos pueden explotar los errores en ataques de baja complejidad, y la explotación exitosa no requiere autenticación o interacción del usuario.

Parches disponibles

Cisco Talos descubrió las dos vulnerabilidades de ejecución de código al analizar DaVinci Resolve, versión 17.3.1.0005.

Desde entonces, Blackmagic ha corregido ambos errores, y se recomienda a los usuarios que actualicen a DaVinci Resolve 17.4.3, la  última versión lanzada  para su plataforma, lo antes posible.

"Cisco Talos trabajó con Blackmagic para garantizar que estos problemas se resuelvan y que haya una actualización disponible para los clientes afectados", dijo el equipo de Cisco Talos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Blizzard Entertainment ha activado una prueba gratuita de su 'hero shooter' en todas las plataformas excepto Switch con motivo del festival de Invernalia.

Overwatch se puede jugar gratis hasta el 2 de enero en PlayStation 4, Xbox One y PC (a través de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login). Por supuesto, el título tiene retrocompatibilidad con PS5 y Xbox Series X/S. Blizzard Entertainment ha activado la promoción de su hero shooter con motivo del evento navideño que tiene lugar en el juego: Invernalia 2021. Además, el título está de oferta en todas las plataformas a excepción de Nintendo Switch. A continuación les dejamos los enlaces para descargarlo.

PlayStation 4: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Xbox One: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
PC Windows: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los héroes de Overwatch celebran Invernalia una vez más

Hasta el 6 de enero tiene lugar el evento Invernalia 2021. Los jugadores podrán conseguir objetos cosméticos (aspectos, gestos y jugadas destacadas) nuevos y de las anteriores ediciones de la festividad completando desafíos semanales. También se podrá participar en los modos de juego Congelación fatal, Mei: Operación bola de nieve, Pelea de bolas de nieve a muerte y Caza del yeti. Además, los mapas estarán engalanados para las fiestas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Dos vulnerabilidades de seguridad críticas y de alta gravedad en el muy popular plugin de WordPress SEO "Todo en Uno" expusieron a más de 3 millones de sitios web a ataques de adquisición.

Las fallas de seguridad descubiertas e informadas por el investigador de seguridad de Automattic Marc Montpas son un error crítico de Escalada de privilegios autenticados (CVE-2021-25036) y una Inyección de SQL autenticado de alta gravedad (CVE-2021-25037).

Más de 800.000 sitios de WordPress vulnerables

El desarrollador del complemento lanzó una actualización de seguridad para abordar ambos   errores de All in One el 7 de diciembre de 2021.

Sin embargo, más de 820,000 sitios que usan el complemento aún no han actualizado su instalación, según las  estadísticas de descarga  de las últimas dos semanas desde que se lanzó el parche, y aún están expuestos a ataques.

Lo que hace que estas fallas sean altamente peligrosas es que, aunque explotar con éxito las dos vulnerabilidades requiere que los actores de amenazas estén autenticados, solo necesitan permisos de bajo nivel, como Subscriber, para abusar de ellos en los ataques.

El suscriptor es un rol de usuario predeterminado de WordPress (como Colaborador, Autor, Editor y Administrador), comúnmente habilitado para permitir que los usuarios registrados comenten los artículos publicados en los sitios de WordPress.

Aunque los suscriptores generalmente solo pueden editar su propio perfil además de publicar comentarios, en este caso, pueden explotar CVE-2021-25036 para elevar sus privilegios y obtener la ejecución remota de código en sitios vulnerables y, probablemente, tomar el control por completo.


Se insta a los administradores de WordPress a actualizar lo antes posible

Como reveló Montpas, aumentar los privilegios al abusar de CVE-2021-25036 es una tarea fácil en los sitios que ejecutan una versión de SEO todo en uno sin parches al "cambiar un solo carácter a mayúsculas" para omitir todas las comprobaciones de privilegios implementadas.

"Esto es particularmente preocupante porque algunos de los puntos finales del complemento son bastante sensibles. Por ejemplo, el punto final aioseo / v1 / htaccess puede reescribir el .htaccess de un sitio con contenido arbitrario", explicó Montpas.

"Un atacante podría abusar de esta función para ocultar puertas traseras .htaccess y ejecutar código malicioso en el servidor".

Se recomienda a los administradores de WordPress que aún utilicen las versiones All In One SEO afectadas por estas vulnerabilidades graves (entre 4.0.0 y 4.1.5.2) que aún no hayan instalado el parche 4.1.5.3 que lo hagan de inmediato.

"Te recomendamos que compruebes qué versión del plugin All In One SEO está usando tu sitio, y si está dentro del rango afectado, actualízala lo antes posible", advirtió el investigador hace una semana.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un mercado de la web oscura llamado '2easy' se está convirtiendo en un actor importante en la venta de "Registros" de datos robados recolectados de aproximadamente 600.000 dispositivos infectados con malware que roba información.

Los "registros" son archivos de datos robados de navegadores web comprometidos o sistemas que usan malware, y su aspecto más importante es que comúnmente incluyen credenciales de cuenta, cookies y tarjetas de crédito guardadas.

2easy se lanzó en 2018 y ha experimentado un rápido crecimiento desde el año pasado, cuando solo vendió datos de 28,000 dispositivos infectados y se consideró un jugador menor.

Según un análisis realizado por investigadores de la firma israelí de inteligencia de la web oscura KELA, el crecimiento repentino se atribuye al desarrollo de la plataforma del mercado y a la calidad constante de las ofertas que han dado lugar a críticas favorables en la comunidad de delitos cibernéticos.

Registros baratos y válidos

El mercado está completamente automatizado, lo que significa que alguien puede crear una cuenta, agregar dinero a sus billeteras y realizar compras sin interactuar directamente con los vendedores.

Los registros están disponibles para su compra por tan solo $ 5 por artículo, aproximadamente cinco veces menos que los  precios promedio de Genesis  y tres veces menos que el costo promedio de los registros de bots en el mercado ruso.

Además, según el análisis de los comentarios de los actores de varios foros de la web oscura, los registros de 2easy ofrecen constantemente credenciales válidas que brindan acceso a la red a muchas organizaciones.


Además del costo y la validez, la GUI de 2easy es fácil de usar y poderosa al mismo tiempo, lo que permite a los actores realizar las siguientes funciones en el sitio:

- ver todas las URL en las que iniciaron sesión las máquinas infectadas
- buscar URL de interés
- navegue a través de una lista de máquinas infectadas de las que se robaron las credenciales de dicho sitio web.
- comprobar la calificación del vendedor
- Revise las etiquetas asignadas por los vendedores, que la mayoría de las veces incluyen la fecha en que se infectó la máquina y, a veces, notas adicionales del vendedor.
- adquirir credenciales para objetivos seleccionados

El único inconveniente en comparación con otras plataformas es que 2easy no ofrece a los posibles compradores una vista previa de un artículo vendido, como la dirección IP censurada o la versión del sistema operativo del dispositivo donde se robaron los datos.

La plaga de RedLine

Cada artículo comprado en 2easy viene en un archivo que contiene los registros robados del bot seleccionado.

El tipo de contenido depende del malware de robo de información utilizado para el trabajo y sus capacidades, ya que cada cepa tiene un conjunto de enfoques diferente.

Sin embargo, en el 50% de los casos, los vendedores usan  RedLine  como su malware preferido, que puede robar contraseñas, cookies, tarjetas de crédito almacenadas en navegadores web, credenciales de FTP y más, como se muestra a continuación.


Cinco de los 18 vendedores activos en 2easy usan RedLine exclusivamente, mientras que otros cuatro lo usan junto con otras cepas de malware como Raccoon Stealer , Vidar y AZORult .



Por que esto es importante

Los registros que contienen credenciales son esencialmente llaves de puertas, ya sea que esas puertas conduzcan a sus cuentas en línea, información financiera o incluso acceso a redes corporativas.

Los actores de amenazas venden esta información por tan solo $ 5 por pieza, pero el daño incurrido a las entidades comprometidas podría contarse en millones.

"Un ejemplo así se puede observar a través del ataque de Electronic Arts que se reveló en junio de 2021", explica el informe de KELA.

"Según los informes, el ataque comenzó con los piratas informáticos que compraron cookies robadas que se vendieron en línea por solo $ 10 y continuó con los piratas informáticos que usaban esas credenciales para obtener acceso a un canal de Slack utilizado por EA".

"Una vez en el canal de Slack, esos piratas informáticos engañaron con éxito a uno de los empleados de EA para que proporcionara un token de autenticación multifactor, lo que les permitió robar varios códigos fuente para los juegos de EA".


El mercado de corredores de acceso inicial está en aumento y está directamente relacionado con infecciones catastróficas de ransomware, mientras que los mercados de registros como 2easy son parte del mismo ecosistema.

Se ofrecen millones de credenciales de cuentas para su compra en la web oscura, por lo que se necesitan medidas de seguridad adecuadas que traten las cuentas como potencialmente comprometidas.

Ejemplos de esas medidas incluyen pasos de autenticación de múltiples factores, rotación frecuente de contraseñas y aplicación del principio de privilegio mínimo para todos los usuarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tesla ha actualizado su software con potentes añadidos en entretenimiento. La versión de finales de año (2021.44.25) introduce cambios en la interfaz, modo oscuro y varias novedades como la presencia de integración con TikTok. Sabemos desde hace tiempo que Tesla está potenciando que los conductores puedan jugar desde su coche cuando están parados y cada vez tienen más razones para hacerlo.

Estas son las novedades de la última actualización de Tesla, que ya está empezando a distribuirse a los distintos vehículos de Tesla.

Ya podemos jugar al Sonic o echar unos sudokus desde el Tesla


El primer añadido está basado en un huevo de pascua que la compañía mostró en 2015 en el Model X. Se trata de 'Light Show' y permite tener un juego de luces danzantes.

A nivel de diseño, la interfaz de las aplicaciones ha cambiado, con algunos ajustes que han ido bajo el apartado de controles, como los ajustes de la presión de los neumáticos o los controles de carga. La pantalla de aplicaciones de inicio ahora permite arrastrar y soltar para reordenarlas y podremos deslizar en el icono del termómetro para subir o bajar la temperatura de los asientos o el climatizador.

También desde el apartado de controles podremos activar manualmente el modo oscuro. Otras novedades son la posibilidad de editar los 'Waypoints' y la función de que se active automáticamente la cámara de punto ciego cuando giramos.

Desde el punto de vista del entretenimiento tenemos actualizaciones en Tesla Arcade. En esta ocasión se añade el 'Sonic the Hedgehog' original, se añade modo multijugador al 'Battle of Polytopia' y se ha añadido un juego de sudokus a Arcade, con cinco niveles de dificultad.

Tras Netflix, Disney+ o Youtube, también se incorpora por primera vez la posibilidad de ver vídeos de TikTok desde la pantalla del Tesla. Deberemos abrir el modo Teatro y seleccionar TikTok.

Pese a todas las promesas de Elon Musk, todavía parece que estamos muy lejos de poder llegar a dormir en el Tesla mientras este conduce autónomamente. Mientras tanto, los Tesla siguen actualizándose centrándose en un apartado que el resto de fabricantes tiene muy descuidado: el entretenimiento.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A pesar de los parches lanzados recientemente, la vulnerabilidad Log4Shell parece estar lejos de dejar de ser un dolor de cabeza para gran parte de las plataformas de Internet. Grupos de ciberdelincuentes intentan explotarla miles de veces por segundo y, en ocasiones, consiguen lo que buscan. El Ministerio de Defensa de Bélgica se ha convertido en el primer país de la OTAN en ser victima de este fallo de seguridad.

Según explica The Register, el organismo de seguridad belga detectó el pasado jueves un ciberataque a su red informática con acceso a Internet. Este evento les obligó a "tomar medidas de cuarentena para aislar las partes afectadas" y así mantener operativa la red de defensa del país europeo. No obstante, "algunas actividades del ministerio se vieron paralizadas durante varios días".

El portavoz belga del Ministerio de Defensa, Olivier Severin, señaló que los atacantes se aprovecharon de la vulnerabilidad Log4Shell. No obstante, no especificó si sus sistemas fueron afectados por un ransomware o algún otro tipo de programa dañino. Tampoco brindó detalles sobre los cuáles fueron las actividades que se vieron afectadas por la medidas de aislamiento de su red.

Un problema de seguridad que va para largo


Como explicábamos hace un días, Log4Shell ha sido calificada por algunos expertos en ciberseguridad como la peor vulnerabilidad de la historia. Esto se debe que la misma radica en una librería de registro de Java utilizada ampliamente por sistemas en todo el mundo. Y si bien se han lanzado parches para mitigarla, poco podemos hacer los usuarios, está en las empresas aplicarlos lo más rápido posible.

Pero la posibilidad de proteger los sistemas mediante los parches no será para todos igual. Algunas empresas, por su tamaño y recursos, podrán aplicar los parches velozmente, consiguiendo un nivel de protección mejorado. Empresas más pequeñas o sistemas obsoletos, podrían verse más perjudicados por parches que tardan en en llegar o nunca llegan a los sistemas que usan sus clientes. Sin embargo, que un ministerio de defensa se haya visto afectado habla de la elevada peligrosidad de Log4Shell.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imagen: Ministerio de Defensa de Bélgica

Kali Linux es una distribución de Linux muy utilizada para llevar a cabo auditorías de seguridad informática y poner a prueba los equipos. Cuenta con una gran cantidad de herramientas instaladas, como por ejemplo Wireshark, Nmap o Aircrack-ng. Acaba de lanzar su última versión, Kali Linux 2021.4, y en este artículo vamos a mostrar cuáles son las principales novedades que incorpora y qué hacer para instalarla.

Novedades de Kali Linux 2021.4

Como suele ser habitual, cada vez que Kali Linux lanza una nueva versión incorporan algunas mejoras y corrigen ciertos problemas que han detectado en la anterior. La versión 2021.4 es la cuarta y última de este año. Lanzan una cada trimestre y los profesionales de ciberseguridad y entusiastas que quieran poner a prueba sus sistemas.

Dentro de las novedades podemos destacar el soporte mejorado para Apple Silicon (M1), compatibilidad ampliada para el cliente Samba y poder admitir así todos los servidores Samba que existen, además de añadir soporte para Raspberry Pi Zero 2 W.

También hay que mencionar que el entorno de escritorio predeterminado de Kali Linux, Xfce, ha recibido importantes mejoras en esta nueva versión. Kali Linux 2021.4 incluye las últimas versiones de GNOME 41 y KDA Plasma 5.23. Estos tres principales escritorios cuentan con las últimas versiones disponibles.

Otra mejora es que las imágenes de Raspberry Pi ahora admiten el arranque USB e incluyen el firmware Nexmon versionado. Con Kali Linux podemos hacer un ataque ARP Poisoning, por ejemplo.

Nuevas herramientas en Kali Linux 2021.4

Hay que indicar que también incluye nuevas herramientas en su nueva distribución. Una de ellas es Dufflebag, que sirve para buscar posibles volúmenes EBS expuestos. Otra herramienta es S3Scanner, que se encarga de rastrear posibles servidores S3 que estén expuestos en la red.

Spraykatz es otra de las aplicaciones que vienen incluidas con Kali Linux 2021.4 y su función es recopilar las credenciales para automatizar el procesamiento remoto y el análisis del proceso Isass. Otras herramientas que también incluyen como novedad son las siguientes:

- Maryam
- Name-That-Hash
- Proxmark3
- Reverse Proxy Grapher

Pero más allá de actualizaciones de versiones y nuevas herramientas, como suele ocurrir con cada versión nueva de Kali Linux se solucionan también algunos problemas. Estos errores pueden afectar al rendimiento del propio sistema, pero también a algunos programas específicos.

¿Cómo podemos actualizar a Kali Linux 2021.4? Este es un proceso sencillo y que además recomendamos hacer, ya que de esta forma podremos corregir esos problemas que mencionamos, además de poder contar con las últimas herramientas y mejoras disponibles.

La primera opción que tenemos es la de ir directamente al sitio oficial y descargar la nueva versión. Allí encontraremos las diferentes opciones que hay. Como siempre, aconsejamos descargar desde fuentes oficiales, ya que de esta forma nos garantizamos un buen funcionamiento y no descargar archivos que puedan estar corruptos o ser un problema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las Smart TV suelen venir con un software bastante pulido por defecto. Los sistemas operativos de las teles se prueban a fondo, y en el caso de encontrar algún fallo, lanzar una actualización de firmware es bastante sencillo. Sin embargo, un fabricante de televisores no ha pulido bien el software en una de sus mejores gamas de TV, y las ha tenido que retirar temporalmente del mercado.

Hablamos de TCL, que es una de las compañías que más televisores vende en el mundo, y cuyos paneles utilizando fabricantes como Xiaomi. La compañía utiliza Android TV en prácticamente todos los televisores que vende en España, a pesar de que en el resto del mundo utilice también otros sistemas operativos.

Las teles QLED baratas de TCL, con problemas

Uno de los últimos modelos que han lanzado al mercado son los de la serie S546. Estos televisores no sólo funcionan bajo Android TV, sino que hacen uso de Google TV, el sistema operativo que la propia Google utiliza en el Chromecast con Google TV. Este sistema cuenta con multitud de mejoras a nivel de usabilidad, incluyendo una interfaz que reúne el contenido de todas las plataformas de streaming en un mismo lugar, entre otras mejoras.

Esos televisores hacen uso de paneles con tecnología QLED, por lo que se encuentran entre los más avanzados que venden en la actualidad. Cuentan con 480 zonas de local dimming en el caso del modelo de 55 pulgadas, aunque, en todos, la tasa de refresco se queda en sólo 60 Hz. TCL vende cuatro modelos en esta serie, con tamaños de 50, 55, 65 y 75 pulgadas a precios de 600, 650, 900 y 1.300 dólares, respectivamente. El motivo para retirarlos es, al parecer, por problemas de rendimiento y software.


La compañía ha emitido un comunicado en el que afirman que han detectado algunos problemas relacionados con la estabilidad de la interfaz de usuario en los televisores con Google TV. Estos problemas afectan a todos los modelos, y TCL ha empezado a lanzar actualizaciones de software que buscan mitigar los efectos de estos problemas de rendimiento. Sin embargo, los televisores que tenían actualmente a la venta han sido retirados.

Actualizar el firmware es la solución

Por ello, si te encuentras entre los usuarios afectados por haber comprado uno de estos modelos, TCL recomienda que actualices el software a la última versión disponible. Para ello, hay que ir a Ajustes > Sistema > Acerca de > Actualización de software. Ahí aparecerá la opción de Actualización a través de Internet, y si hay alguna disponible, el televisor empezará a descargarla e instalarla. Por ello, no tienes que ir a devolver tu televisor, sino que simplemente habrá que actualizarlo a las últimas versiones hasta que pulan todos los problemas de rendimiento.

Más allá de estos problemas de rendimiento, los televisores de TCL con Google TV están recibiendo buenas opiniones por la calidad de imagen que ofrecen. Los televisores salieron a la venta hace apenas unas semanas en algunos países, y todavía no están disponibles en España. Por ello, es de esperar que, cuando lleguen a nuestro país, tengan solventados estos problemas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El registro del índice de paquetes de Python (PyPI) ha eliminado tres paquetes de Python maliciosos destinados a filtrar las variables del entorno y soltar troyanos en las máquinas infectadas.

Se estima que estos paquetes maliciosos han generado más de 10,000 descargas y espejos juntos, según el informe de los investigadores.

El análisis estático a gran escala condujo a un descubrimiento malicioso

Esta semana,  Andrew Scott , desarrollador y gerente senior de productos de Palo Alto Networks, informó haber descubierto tres paquetes de Python maliciosos en el registro de código abierto de PyPI.

Estos paquetes maliciosos, que se muestran a continuación, se han descargado y duplicado en total casi 15.000 veces.

La primera versión de dpp-client apareció en PyPI alrededor del 13 de febrero de 2021 y la de dpp-client1234 el 14. Considerando que, la primera versión de  aws-login0tool  apareció más recientemente, el 1 de diciembre.


Mientras realizaba un análisis estático a gran escala de "un gran porcentaje de los paquetes en PyPI", Scott se encontró con estos paquetes de aspecto misterioso.

"Los detecté principalmente mediante la inspección manual de los archivos You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login que coincidían con varias cadenas de sospecha y patrones de  expresiones regulares que estaba buscando", le dice Scott a BleepingComputer en una entrevista por correo electrónico.

"Por ejemplo, la mayoría de los casos de ejecutivos fueron benignos, pero es un método arriesgado de usar y comúnmente aprovechado por atacantes que crean paquetes maliciosos".

Para ayudar en su investigación, Scott hizo uso del proyecto de código abierto Bandersnatch de Python Packaging Authority .

"Una vez que descargué una gran cantidad de distribuciones de paquetes, necesitaba extraerlas para facilitar el análisis. Creé una secuencia de comandos de Python bastante simple para iterar de forma recursiva a través de la estructura de carpetas algo complicada de Bandersnatch, luego descomprimí y extraje cada sdist , egg o wheel a un directorio plano ", explica el desarrollador en su publicación de blog

Después de extraer los paquetes, el desarrollador ejecutó una serie de operaciones de búsqueda basadas en cadenas y expresiones regulares a través de la  utilidad grep y revisó manualmente los resultados.

"El resultado de este enfoque simple fue realmente impactante".

Se dirige a PC con Windows, distribuciones de Linux que ejecutan Apache Mesos

El paquete aws-login0tool se dirige a máquinas Windows y descarga un ejecutable malicioso de 64 bits,  normal.exe del  dominio tryg [.] Ga .

El ejecutable malicioso ha sido identificado como un troyano por el  38% de los motores antivirus  en VirusTotal, al momento de escribir:


Por el contrario, la DPP-cliente y DPP-client1234 sistemas Linux objetivo y mirada en las variables de entorno, listado de directorios, y exfiltrate esta información a la  pt.traktrain [.] Com dominio .

Estos paquetes intentan hacer palanca en algunos directorios seleccionados, incluido  / mnt / mesos , lo que indica que el malware está buscando específicamente archivos relacionados con Apache Mesos , un producto de administración de clústeres de código abierto.


Lo que sigue siendo un misterio es una gran cantidad de descargas y espejos para estos paquetes.

A primera vista,  aws-login0tool  parece ser un intento de erradicar errores tipográficos, como señala el desarrollador: las teclas '0 'y' - 'están presentes una al lado de la otra en la mayoría de los teclados. Sin embargo, BleepingComputer no tiene conocimiento de un paquete PyPI activo llamado 'aws-login-tool' que un atacante inteligente podría tener la tentación de suplantar. Aunque, uno puede haber existido  en el pasado.

BleepingComputer también observó que la página PyPI para  aws-login0tool , cuando estaba viva, contenía un descargo de responsabilidad explícito que indicaba al usuario que no descargara el paquete:

"Por favor, no uses esto ... Hace cosas malas ... Oh, querido "


Del mismo modo, las páginas del proyecto para los  paquetes dpp-client y  dpp-client1234 , como las vio BleepingComputer, contenían una palabra clave simple "prueba" en su descripción, lo que insinuaba que eran, muy probablemente, parte de un ejercicio de prueba de concepto.

Este desarrollo sigue a instancias continuas de malware y contenido no deseado que apuntan a repositorios de código abierto como PyPI, npm y RubyGems.
El mes pasado, el equipo de investigación de seguridad de JFrog informó haber detectado a los ladrones de información de Discord entre otros paquetes maliciosos de PyPI que abusaron de una técnica de "exfiltración novedosa".

El mismo mes, escribí sobre un paquete PyPI malicioso que hizo un  tosco intento de erradicar  'boto3', el SDK de Amazon Web Services para Python.

En julio de este año, también se detectaron seis paquetes PyPI maliciosos extrayendo  criptomonedas en las máquinas de desarrollo.

Afortunadamente, los tres paquetes mencionados anteriormente descubiertos por Scott se informaron a los administradores de PyPI el 10 de diciembre y se eliminaron rápidamente.

Actualización 07:26 AM ET: cita agregada de Scott.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de seguridad de escalada de privilegios local podría permitir a los atacantes obtener acceso de root en los sistemas Ubuntu al explotar un error de corrupción de memoria doble libre en el componente AccountsService de GNOME.

AccountsService  es un servicio de D-Bus que ayuda a manipular y consultar información adjunta a las cuentas de usuario disponibles en un dispositivo.

La falla de seguridad (un error de administración de memoria registrado como  CVE-2021-3939 ) fue detectado accidentalmente por el investigador de seguridad de GitHub Kevin Backhouse mientras probaba una demostración de exploits para otro error de AccountsService  que también hizo posible escalar privilegios a root  en dispositivos vulnerables.

CitarSe podría hacer que AccountsService se bloquee o ejecute programas como administrador si recibe un comando especialmente diseñado
explica un aviso de seguridad de Ubuntu.

Backhouse descubrió que AccountsService manejaba la memoria de manera incorrecta durante algunas operaciones de configuración de idioma, una falla que los atacantes locales podrían abusar para escalar privilegios.

El error solo afecta a la bifurcación de AccountsService de Ubuntu. Las versiones afectadas por esta vulnerabilidad incluyen Ubuntu 21.10, Ubuntu 21.04 y Ubuntu 20.04 LTS.

Canonical solucionó esta falla de escalada de privilegios   en noviembre cuando se lanzaron las versiones 0.6.55-0ubuntu12 ~ 20.04.5, 0.6.55-0ubuntu13.3, 0.6.55-0ubuntu14.1 de AccountsService. Después de aplicar las actualizaciones, también deberá reiniciar la computadora para aplicar los cambios.

No es el más rápido, pero definitivamente confiable

Como explica, su exploit de prueba de concepto CVE-2021-3939   es lento (podría ser varias horas) y no funcionará siempre. Sin embargo, no importa, ya que se puede ejecutar hasta que tenga éxito, ya que el error de doble libre permite bloquear el servicio de cuentas tantas veces como sea necesario.

La única restricción para explotar con éxito este error es que systemd limita la velocidad de los bloqueos de AccountsService, lo que bloquea los intentos de reiniciarlo más de cinco veces cada 10 segundos.

CitarSe basa en el azar y en el hecho de que puedo seguir bloqueando el servicio de cuentas hasta que tenga éxito. Pero, ¿le importaría a un atacante? Te proporciona un shell de root, incluso si tienes que esperar unas horas
dijo Backhouse

"Para mí, parece mágico que sea posible explotar un error tan pequeño, especialmente considerando todas las mitigaciones que se han agregado para hacer que las vulnerabilidades de corrupción de memoria sean más difíciles de explotar. A veces, todo lo que se necesita para obtener root es un poco de ilusión ! "

Más detalles sobre cómo se encontró la vulnerabilidad y el exploit desarrollado están disponibles en  el informe CVE-2021-3939 de Backhouse .

A principios de este año, el investigador encontró una vulnerabilidad de omisión de autenticación en el servicio del sistema polkit Linux que  permitía a los atacantes sin privilegios obtener un shell raíz en la mayoría de las distribuciones modernas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según los informes, Apple notificó a varios empleados de la Embajada de EE. UU. Y del Departamento de Estado que sus iPhones pueden haber sido atacados por un agresor desconocido que usaba software espía patrocinado por el estado creado por la controvertida compañía israelí NSO Group, según varios informes de Reuters y The Washington Post .

Se dice que al menos 11 funcionarios de la embajada de los EE. UU. Estacionados en Uganda o que se enfocan en temas relacionados con el país han señalado el uso de iPhones registrados con sus números de teléfono en el extranjero, aunque la identidad de los actores de la amenaza detrás de las intrusiones o la naturaleza de la información buscada , sigue siendo desconocido hasta ahora.

Los ataques, que se llevaron a cabo en los últimos meses, marcan la primera vez que se sabe que el sofisticado software de vigilancia se utiliza contra empleados del gobierno de EE. UU.

NSO Group es el fabricante de Pegasus , software espía de grado militar que permite a sus clientes gubernamentales saquear archivos y fotos de manera sigilosa, escuchar conversaciones a escondidas y rastrear el paradero de sus víctimas. Pegasus utiliza exploits de cero clic enviados a través de aplicaciones de mensajería para infectar iPhones y dispositivos Android sin requerir que los objetivos hagan clic en enlaces o realizar cualquier otra acción, pero por defecto están bloqueados para que no funcionen en números de teléfono de EE. UU.

En respuesta a los informes, NSO Group dijo que investigará el asunto y emprenderá acciones legales, si es necesario, contra los clientes por usar sus herramientas ilegalmente, y agregó que había suspendido "cuentas relevantes", citando la "gravedad de las acusaciones".

Vale la pena señalar que la compañía ha mantenido durante mucho tiempo que solo vende sus productos a clientes de inteligencia y aplicación de la ley del gobierno para ayudar a monitorear las amenazas a la seguridad e investigar solo a terroristas y criminales. Pero la evidencia recopilada a lo largo de los años ha revelado un abuso sistemático de la tecnología para espiar a activistas de derechos humanos, periodistas y políticos de Arabia Saudita, Baréin, Marruecos, México y otros países.

Las acciones de NSO Group le han costado caro, aterrizando en la mira del Departamento de Comercio de EE. UU., Que colocó a la compañía en una lista de bloqueo económico el mes pasado, una decisión que puede haber sido motivada por el mencionado ataque a diplomáticos extranjeros de EE. UU.

Para aumentar la presión, los gigantes tecnológicos Apple y Meta han librado un ataque legal contra la compañía por piratear ilegalmente a sus usuarios mediante la explotación de fallas de seguridad previamente desconocidas en iOS y el servicio de mensajería encriptada de extremo a extremo de WhatsApp. Apple, además, también dijo que comenzó a enviar notificaciones de amenazas para alertar a los usuarios que cree que han sido atacados por atacantes patrocinados por el estado el 23 de noviembre.

Con ese fin, las notificaciones se envían a los usuarios afectados por correo electrónico e iMessage a las direcciones y números de teléfono asociados con los ID de Apple de los usuarios, además de mostrar un banner destacado de "Notificación de amenazas" en la parte superior de la página cuando los usuarios afectados inician sesión. sus cuentas en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login [.] com.

"Los actores patrocinados por el estado como el Grupo NSO gastan millones de dólares en tecnologías de vigilancia sofisticadas sin una responsabilidad efectiva", dijo anteriormente el jefe de ingeniería de software de Apple, Craig Federighi . "Eso necesita cambiar".

Las revelaciones también coinciden con un informe de The Wall Street Journal que detalla los planes del gobierno de los EE. UU. Para trabajar con más de 100 países para limitar la exportación de software de vigilancia a gobiernos autoritarios que usan las tecnologías para suprimir los derechos humanos. No se espera que China y Rusia sean parte de la nueva iniciativa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los usuarios que buscan activar Windows sin usar una licencia digital o una clave de producto están siendo atacados por instaladores contaminados para implementar malware diseñado para saquear credenciales y otra información en billeteras de criptomonedas.

El malware, denominado " CryptBot " , es un ladrón de información capaz de obtener credenciales para navegadores, billeteras de criptomonedas, cookies de navegador, tarjetas de crédito y capturar capturas de pantalla de los sistemas infectados. Implementado a través de software descifrado, el último ataque involucra al malware disfrazado de KMSPico.

KMSPico es una herramienta no oficial que se utiliza para activar ilícitamente todas las funciones de las copias pirateadas de software como Microsoft Windows y la suite Office sin tener realmente una clave de licencia.


"El usuario se infecta haciendo clic en uno de los enlaces maliciosos y descargar cualquiera KMSPico, Cryptbot, u otro software malicioso sin KMSPico", el investigador Canario Rojo Tony Lambert dijo en un informe publicado la semana pasada. "Los adversarios también instalan KMSPico, porque eso es lo que la víctima espera que suceda, mientras que simultáneamente implementan Cryptbot detrás de escena".

La firma estadounidense de ciberseguridad dijo que también observó que varios departamentos de TI usaban software ilegítimo en lugar de licencias válidas de Microsoft para activar sistemas, y agregó que los instaladores KMSpico alterados se distribuyen a través de varios sitios web que afirman ofrecer la versión "oficial" del activador.

Esto está lejos de ser la primera vez que surge un software crackeado como un conducto para implementar malware. En junio de 2021, la compañía checa de software de ciberseguridad Avast reveló una campaña denominada " Crackonosh " que involucraba la distribución de copias ilegales de software popular para ingresar y abusar de las máquinas comprometidas para extraer criptomonedas, lo que le reportó al atacante más de $ 2 millones en ganancias.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft Defender for Business, una nueva solución de seguridad de punto final especialmente diseñada para pequeñas y medianas empresas (PYMES), ahora se está implementando en versión preliminar en todo el mundo.

Ayuda a las empresas con hasta 300 empleados a defenderse de las amenazas de ciberseguridad, incluidos ransomware, malware y phishing, en dispositivos Windows, macOS, iOS y Android.

Tiene una configuración de cliente simplificada a través de una configuración guiada por un asistente, y viene con todas las políticas de seguridad recomendadas habilitadas desde el primer momento, lo que hace que sea fácil de usar incluso por organizaciones sin un equipo de seguridad dedicado.

Microsoft anunció Defender for Business por primera vez el mes pasado y lo lanzó en respuesta al aumento del 300% en los ataques de ransomware en el año anterior, y más del 50% de ellos afectaron directamente a las pymes , según el secretario de Seguridad Nacional de EE. UU., Alejandro Mayorkas.

Microsoft dice que la nueva solución de seguridad de punto final de nivel empresarial para pymes se está implementando en todo el mundo para clientes y socios de TI que solicitan acceso registrándose aquí .

Una vez que alcance la disponibilidad general, Defender for Business estará disponible directamente en los canales de Microsoft y Microsoft Partner Cloud Solution Provider (CSP) a $ 3 por usuario por mes, a través de una licencia independiente o incluida dentro de Microsoft 365 Business Premium.


"Una vez que haya completado el proceso de registro, nuestro equipo evaluará su solicitud y responderá utilizando los detalles que proporcionó en el formulario de solicitud. La implementación de la vista previa es gradual para los clientes y socios que solicitan la vista previa", dijo Jon Maunder, senior Gerente de Marketing de Producto en Microsoft.

"Incorporaremos un conjunto inicial de clientes y socios en las próximas semanas y ampliaremos la vista previa hasta la disponibilidad general.

"Cuando tenga una licencia de prueba de vista previa, visite la documentación de Microsoft Defender for Business para obtener información sobre cómo incorporar dispositivos, configurar los ajustes y la administración de seguridad continua en función de los escenarios de vista previa".

Las características clave incluidas con Microsoft Defender for Business incluyen:

- Implementación y administración simplificadas para administradores de TI que pueden no tener la experiencia para abordar el panorama de amenazas en evolución actual.
- Protección antivirus de próxima generación y detección y respuesta de endpoints para detectar y responder a ataques sofisticados con monitoreo de comportamiento.
- Investigación y reparación automatizadas para ayudar a los clientes a reaccionar rápidamente a las amenazas.
- La gestión de amenazas y vulnerabilidades alerta de forma proactiva a los usuarios sobre debilidades y configuraciones incorrectas del software.
- Integración de Microsoft 365 Lighthouse con Microsoft Defender for Business para proveedores de servicios de TI para ver los eventos de seguridad entre los clientes, con capacidades adicionales en camino.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El sofisticado grupo de piratería conocido como StrongPity está circulando instaladores de Notepad ++ atados que infectan a los objetivos con malware.

Este grupo de piratería, también conocido como APT-C-41 y Promethium, se vio anteriormente distribuyendo  instaladores de WinRAR troyanizados  en campañas altamente específicas entre 2016 y 2018, por lo que esta técnica no es nueva.

El atractivo reciente involucra Notepad ++, un editor de texto y código fuente gratuito muy popular para Windows utilizado en una amplia gama de organizaciones.

El descubrimiento del instalador manipulado proviene de un analista de amenazas conocido como analistas 'blackorbird', mientras que  Minerva Labs  informa sobre el malware.


Al ejecutar el instalador de Notepad ++, el archivo crea una carpeta llamada "Datos de Windows" en C: \ ProgramData \ Microsoft y suelta los siguientes tres archivos:

- npp.8.1.7.Installer.x64.exe: el archivo de instalación original de Notepad ++ en la carpeta C: \ Users \ Username \ AppData \ Local \ Temp \.
- winpickr.exe: un archivo malicioso en la carpeta C: \ Windows \ System32.
- ntuis32.exe: registrador de teclas malicioso en la carpeta C: \ ProgramData \ Microsoft \ WindowsData

La instalación del editor de código continúa como se esperaba, y la víctima no verá nada fuera de lo común que pueda levantar sospechas.

Cuando finaliza la instalación, se crea un nuevo servicio llamado "PickerSrv", que establece la persistencia del malware a través de la ejecución de inicio.


Este servicio ejecuta 'ntuis32.exe', que es el componente keylogger del malware, como una ventana superpuesta (usando el estilo WS_MINIMIZEBOX).

El registrador de teclas registra todas las pulsaciones de teclas del usuario y las guarda en archivos de sistema ocultos que se crearon en la carpeta 'C: \ ProgramData \ Microsoft \ WindowsData'. El malware también tiene la capacidad de robar archivos y otros datos del sistema.

Esta carpeta es revisada continuamente por 'winpickr.exe', y cuando se detecta un nuevo archivo de registro, el componente establece una conexión C2 para cargar los datos robados a los atacantes.

Una vez que se ha completado la transferencia, el registro original se elimina para borrar los rastros de actividad maliciosa.

Mantenerse a salvo

Si necesita usar Notepad ++, asegúrese de obtener un instalador del sitio web del proyecto .

El software está disponible en muchos otros sitios web, algunos de los cuales afirman ser los portales oficiales de Notepad ++, pero pueden incluir adware u otro software no deseado.

La URL que distribuía el instalador enlazado se eliminó después de que los analistas la identificaron, pero los actores pudieron registrar rápidamente una nueva.

Siga las mismas precauciones con todas las herramientas de software que esté utilizando, sin importar cuán nicho sean, ya que los actores sofisticados están particularmente interesados ​​en casos de software especializados que son ideales para ataques de abrevadero.

En este caso, las posibilidades de detección de una herramienta AV en el sistema serían aproximadamente del 50%, por lo que el uso de herramientas de seguridad actualizadas también es esencial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login