Microsoft ha resuelto un problema conocido que impide que los dispositivos administrados reciban las actualizaciones de seguridad de Windows del martes de parches de mayo de 2021.

"Al buscar actualizaciones dentro de Windows Server Update Services (WSUS) o Microsoft Endpoint Configuration Manager y dispositivos administrados que se conectan a estos servidores," las actualizaciones de seguridad de este mes "podrían no estar disponibles u ofrecidas", como explicó Microsoft en el Panel de estado de Windows.

"Esto también podría afectar a los paquetes acumulativos solo de seguridad e Internet Explorer, en plataformas que reciben este tipo de actualizaciones".

El problema conocido afectó a las plataformas cliente y servidor, desde Windows 7 SP1 y Windows Server 2008 SP2 hasta las últimas versiones, Windows 10 20H2 y Windows Server 20H2.

La lista de actualizaciones acumulativas de Windows bloqueadas por este problema conocido incluye:

KB5003173 (Windows 10 / Server, versión 20H2 / 2004)
KB5003169 (Windows 10 / Server, versión 1909)
KB5003171 (Windows 10, versión 1809 y Windows Server 2019)
KB5003174 (Windows 10, versión 1803)
KB5003197 (Windows 10, versión 1607 y Windows Server 2016)
KB5003172 (Windows 10, versión 1507)
KB5003209 (Windows 8.1 y Windows Server 2012 R2)
KB5003208 (Windows Server 2012)
KB5003233  (Windows 7 y Windows Server 2008 R2 SP1)
KB5003210 (Windows Server 2008 SP2)

Las actualizaciones de seguridad pueden retrasarse en algunas regiones

Microsoft ha resuelto el problema conocido en el lado del servicio y las actualizaciones deberían comenzar a implementarse en los dispositivos afectados en entornos administrados.

"Si inicia un ciclo de sincronización y aún no se le ofrecen las actualizaciones, verifique nuevamente pronto", agregó Microsoft. "Puede haber un ligero retraso a medida que se propaga a todos los servidores de todas las regiones".

Durante el martes de parches de este mes, Microsoft solucionó 55 vulnerabilidades , cuatro clasificadas como críticas, 50 como importantes y una como moderada, así como tres vulnerabilidades de día cero reveladas públicamente pero que no se sabe que se utilicen en ataques.

Estas son las tres vulnerabilidades que Microsoft dijo que se divulgaron públicamente pero que no se explotaron en la naturaleza antes de que se publicaran las actualizaciones de seguridad de mayo de 2021:

CVE-2021-31204  - vulnerabilidad de elevación de privilegios de .NET y Visual Studio
CVE-2021-31207 - Vulnerabilidad de omisión de la característica de seguridad de Microsoft Exchange Server
CVE-2021-31200 - Vulnerabilidad de ejecución remota de código de utilidades comunes


Junto con las actualizaciones acumulativas con correcciones de seguridad para Windows 10 2004 y 20H2, Microsoft también comenzó a implementar nuevas actualizaciones acumulativas para todas las versiones compatibles de Windows .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los usuarios de Trust Wallet y MetaMask wallet están siendo blanco de ataques de phishing de Twitter agresivos y en curso para robar fondos de criptomonedas.

MetaMask y Trust Wallet son aplicaciones móviles que le permiten crear carteras para almacenar, comprar, enviar y recibir criptomonedas y NFT.

Cuando los usuarios inician las aplicaciones MetaMask o Trust Wallet por primera vez, la aplicación les solicita que creen una nueva billetera. Como parte de este proceso, la aplicación mostrará una frase de recuperación que consta de 12 palabras y solicita a los usuarios que las guarden en un lugar seguro.

Las aplicaciones usan esta frase de recuperación para crear las claves privadas necesarias para acceder a su billetera. Cualquiera que tenga esta frase de recuperación puede importar su billetera y usar los fondos de criptomonedas almacenados en ella.


Los lectores deben tener en cuenta que, si bien hemos compartido una captura de pantalla de una frase de recuperación de Trust Wallet anterior, nunca creamos la billetera anterior. Nunca debe compartir su frase de recuperación con nadie.

Los estafadores intentan robar su criptomoneda

Durante aproximadamente dos semanas, BleepingComputer ha estado rastreando una estafa de phishing en Twitter dirigida a usuarios de Trust Wallet y MetaMask que roba carteras de criptomonedas mediante la promoción de formularios de soporte técnico falsos.

La estafa de phishing comienza con usuarios legítimos de MetaMask o Trust Wallet que tuitean sobre un problema que tienen con sus billeteras. Estos problemas van desde fondos robados, problemas para acceder a sus billeteras o problemas al usar las aplicaciones.

Los estafadores responden a estos tweets pretendiendo ser el equipo de soporte de las aplicaciones o los usuarios que dicen que "Soporte instantáneo" los ayudó con el mismo problema. Estos tweets recomiendan que los usuarios visiten los enlaces You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login o You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login incluidos para completar un formulario de asistencia y recibir ayuda, como se muestra a continuación.



Cuando los usuarios visitan estos enlaces, se les mostrará una página que pretende ser un formulario de soporte para Trust Wallet o MetaMask.



Estos formularios solicitan la dirección de correo electrónico de un visitante, el nombre, el problema que tiene y luego la joya de la corona de la estafa, las 12 frases de recuperación de la billetera.


Una vez que un usuario de Trust Wallet o MetaMask envía su frase de recuperación, los actores de amenazas pueden usarla para importar la billetera de la víctima en sus propios dispositivos y robar todos los fondos de criptomonedas depositados.

Desafortunadamente, una vez que un actor de amenazas roba los fondos, es poco lo que un usuario puede hacer para recuperarlos.

Las estafas de phishing de criptomonedas como esta han tenido un gran éxito en el pasado, y un usuario de MetaMask perdió más de $ 30,000 en criptomonedas después de compartir su frase de recuperación.

¿Qué deben hacer los usuarios de Trust Wallet y MetMask?

En primer lugar, nunca ingrese la frase de recuperación de su billetera en ninguna aplicación o sitio web ni la comparta con otra persona. La única vez que debe usar su frase de recuperación es para importar su billetera en un nuevo dispositivo de su propiedad.

Además, una empresa legítima no utilizará Google Docs ni sitios de creación de formularios en línea para solicitudes de asistencia. Solo solicite asistencia en los sitios específicos asociados con la aplicación o el dispositivo con el que necesita ayuda.

Incluso entonces, NUNCA proporcione su frase de recuperación.

Como es fácil crear dominios similares que se hacen pasar por sitios legítimos, cuando se trata de criptomonedas y activos financieros, siempre escriba la URL que desea visitar en su navegador en lugar de depender de los enlaces en los correos electrónicos. De esta manera, puede evitar hacer clic por error en sitios de phishing que se hacen pasar por un servicio legítimo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía de seguros líder en EE. UU. CNA Financial ha restaurado completamente los sistemas luego de un ataque de ransomware Phoenix CryptoLocker que golpeó su red a fines de marzo e interrumpió los servicios en línea y las operaciones comerciales.

CNA ofrece una amplia gama de productos de seguros, incluidas las pólizas de seguro cibernético, y es la sexta compañía de seguros comerciales más grande de los EE. UU. Según las estadísticas proporcionadas por el  Instituto de Información de Seguros .

Fuentes familiarizadas con el ataque de ransomware dijeron a BleepingComputer que los atacantes cifraron más de 15.000 dispositivos después de implementar cargas útiles de ransomware en la red de CNA el 21 de marzo .

"El 21 de marzo de 2021, como se compartió anteriormente, detectamos el ransomware y tomamos medidas inmediatas desconectando proactivamente nuestros sistemas de nuestra red para contener la amenaza y evitar que otros sistemas se vean afectados", dijo CNA en una actualización publicada el miércoles.

BleepingComputer también se enteró en ese momento que los operadores de Phoenix CryptoLocker también cifraron las computadoras de los trabajadores remotos conectados a la VPN de la empresa durante el ataque.

Los sistemas ahora están completamente restaurados

"CNA está completamente restaurado y estamos operando como de costumbre. Nuestros equipos de TI y socios externos han trabajado arduamente para restaurar la operatividad comercial", dijo la compañía el miércoles.

"Nos complace que en poco tiempo desde el evento de ransomware, ahora estemos operando en un estado completamente restaurado".

La compañía de seguros implementó herramientas de monitoreo y detección de endpoints en los sistemas recientemente restaurados durante el proceso de recuperación.

CNA también se aseguró de que los sistemas restaurados no se volvieran a infectar al escanearlos nuevamente antes de volver a ponerlos en línea.

Mientras investigaba el impacto en los datos almacenados en sus sistemas, el proveedor de seguros no encontró ninguna evidencia de que la información robada del asegurado fuera intercambiada o puesta a la venta en la web oscura o foros de piratería.

"No creemos que los sistemas de registro, los sistemas de reclamos o los sistemas de suscripción, donde se almacena la mayoría de los datos de los titulares de pólizas, incluidos los términos de la póliza y los límites de cobertura, se hayan visto afectados", agregó CNA .

"Es importante destacar que CNA ha estado realizando exploraciones en la web oscura y búsquedas de información relacionada con CNA y, en este momento, no tenemos ninguna evidencia de que los datos relacionados con este ataque se estén compartiendo o utilizando indebidamente".


Las empresas de seguros cibernéticos son un objetivo valioso

Los ataques a empresas con pólizas de seguro cibernético son muy lucrativos para los grupos de ransomware, ya que es más probable que paguen el rescate.

Sin embargo, violar la red de un proveedor de seguros y robar la información de las pólizas de los clientes podría ser una forma aún más lucrativa de aumentar la efectividad de sus ataques.

Con la ayuda de estos datos, las bandas de ransomware pueden crear fácilmente una lista de compañías aseguradas, incluidos los límites de sus pólizas, para apuntar en el futuro.

Lo más probable es que esto también haga posible las demandas de rescate adaptadas a la cobertura de la póliza de cada víctima.

En una  entrevista reciente , la operación de ransomware REvil dijo que piratear los sistemas de las aseguradoras ayuda a crear listas de posibles objetivos con más probabilidades de pagar un rescate.

Si bien en este momento, aún no se sabe si el grupo de ransomware ha robado archivos sin cifrar antes de cifrar los sistemas de CNA, la compañía dijo que cumpliría con las "obligaciones de notificación a los asegurados y las personas afectadas".

El uso de la doble extorsión como táctica se ha convertido en un lugar común para la  mayoría de las operaciones activas de ransomware , y las víctimas alertan periódicamente a sus clientes o empleados sobre posibles violaciones de datos tras los ataques de ransomware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La implementación inadecuada de los estándares de telecomunicaciones, las amenazas a la cadena de suministro y las debilidades en la arquitectura de los sistemas podrían plantear importantes riesgos de ciberseguridad para las redes 5G, lo que podría convertirlas en un objetivo lucrativo para que los ciberdelincuentes y los adversarios de los estados nacionales los exploten en busca de inteligencia valiosa.

El análisis, que tiene como objetivo identificar y evaluar los riesgos y vulnerabilidades introducidos por la adopción de 5G, fue publicado el lunes por la Agencia de Seguridad Nacional de los Estados Unidos (NSA), en asociación con la Oficina del Director de Inteligencia Nacional (ODNI) y el Departamento de Homeland. Agencia de Seguridad de Infraestructura y Ciberseguridad de Security (DHS) (CISA).

Citar"A medida que las nuevas políticas y normas 5G son liberados, sigue existiendo la posibilidad de que las amenazas que afectan al usuario final," el informe dijo . "Por ejemplo, los estados nacionales pueden intentar ejercer una influencia indebida sobre los estándares que benefician sus tecnologías patentadas y limitan las opciones de los clientes para usar otros equipos o software".

Específicamente, el informe cita la contribución de las naciones adversarias al desarrollo de estándares técnicos, que pueden allanar el camino para la adopción de tecnologías y equipos patentados que no son de confianza y que podrían ser difíciles de actualizar, reparar y reemplazar. También son motivo de preocupación, según el informe, los controles de seguridad opcionales incorporados en los protocolos de telecomunicaciones, que, si no los implementan los operadores de red, podrían dejar la puerta abierta a ataques maliciosos.

Una segunda área de preocupación destacada por la NSA, ODNI y CISA es la cadena de suministro. Los componentes adquiridos de proveedores externos, vendedores y proveedores de servicios podrían ser falsificados o comprometidos, con fallas de seguridad y malware inyectado durante el proceso de desarrollo inicial, lo que permite a los actores de amenazas explotar las vulnerabilidades en una etapa posterior.

"Los componentes falsificados comprometidos podrían permitir que un actor malintencionado afecte la confidencialidad, integridad o disponibilidad de los datos que viajan a través de los dispositivos y se mueva lateralmente a otras partes más sensibles de la red", según el análisis.

Esto también podría tomar la forma de un ataque a la cadena de suministro de software en el que se agrega un código malicioso a un módulo que se entrega a los usuarios objetivo, ya sea infectando el repositorio de código fuente o secuestrando el canal de distribución, lo que permite a los clientes desprevenidos implementar los componentes comprometidos en sus redes.

Por último, las debilidades en la propia arquitectura 5G podrían usarse como punto de partida para ejecutar una variedad de ataques. El principal de ellos es la necesidad de respaldar la infraestructura de comunicaciones heredada 4G, que viene con su propio conjunto de deficiencias inherentes que pueden ser explotadas por actores malintencionados. Otro es el problema de la gestión inadecuada de segmentos que podría permitir a los adversarios obtener datos de diferentes segmentos e incluso interrumpir el acceso a los suscriptores.

De hecho, un estudio publicado por AdaptiveMobile en marzo de 2021 encontró que las fallas de seguridad en el modelo de corte podrían reutilizarse para permitir el acceso a datos y llevar a cabo ataques de denegación de servicio entre diferentes cortes de red en la red 5G de un operador móvil.

"Para alcanzar su potencial, los sistemas 5G requieren un complemento de frecuencias de espectro (bajo, medio y alto) porque cada tipo de frecuencia ofrece beneficios y desafíos únicos", detalla el informe. "Con un número cada vez mayor de dispositivos que compiten por el acceso al mismo espectro, el uso compartido del espectro es cada vez más común. El uso compartido del espectro puede brindar oportunidades para que los actores malintencionados interfieran o interfieran con rutas de comunicación no críticas, afectando negativamente a las redes de comunicaciones más críticas".

Al identificar las políticas y los estándares, la cadena de suministro y la arquitectura de los sistemas 5G como los tres principales vectores de amenazas potenciales, la idea es evaluar los riesgos que plantea la transición a la nueva tecnología inalámbrica, así como garantizar el despliegue de una infraestructura 5G segura y confiable.

"Estas amenazas y vulnerabilidades podrían ser utilizadas por actores de amenazas malintencionados para impactar negativamente a organizaciones y usuarios", dijeron las agencias. "Sin un enfoque continuo en los vectores de amenazas 5G y una identificación temprana de las debilidades en la arquitectura del sistema, las nuevas vulnerabilidades aumentarán el impacto de los incidentes cibernéticos".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Adobe ha lanzado actualizaciones de Patch Tuesday para el mes de mayo con correcciones para múltiples vulnerabilidades que abarcan 12 productos diferentes, incluida una falla de día cero que afecta a Adobe Reader y que se explota activamente en la naturaleza.

La lista de aplicaciones actualizadas incluye Adobe Experience Manager , Adobe InDesign , Adobe Illustrator , Adobe InCopy , Adobe Genuine Service , Adobe Acrobat and Reader, Magento , Adobe Creative Cloud Desktop Application, Adobe Media Encoder , Adobe After Effects , Adobe Medium y Adobe Animate .

En un boletín de seguridad, la compañía reconoció que recibió informes de que la falla "ha sido explotada en forma salvaje en ataques limitados dirigidos a usuarios de Adobe Reader en Windows". Rastreado como CVE-2021-28550, el día cero se refiere a una falla de ejecución de código arbitrario que podría permitir a los adversarios ejecutar prácticamente cualquier comando en los sistemas de destino.


Si bien los ataques dirigidos apuntaban a los usuarios de Windows de Adobe Reader, el problema afecta tanto a las versiones de Windows como de macOS de Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 y Acrobat Reader 2017. Se ha acreditado a un investigador anónimo con informar la vulnerabilidad.

Se abordaron 10 vulnerabilidades críticas y cuatro importantes en Adobe Acrobat y Reader, seguidas de la corrección de cinco fallas críticas (CVE-2021-21101-CVE-2021-21105) en Adobe Illustrator que podrían conducir a la ejecución de código arbitrario en el contexto de la actual usuario. Adobe le dio crédito a Kushal Arvind Shah de FortiGuard Labs de Fortinet por informar tres de las cinco vulnerabilidades.

En total, se han resuelto un total de 43 debilidades de seguridad en la actualización del martes. Se recomienda a los usuarios que actualicen sus instalaciones de software a las últimas versiones para mitigar el riesgo asociado con las fallas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas desconocido usó un nuevo rootkit sigiloso para hacer puertas traseras a los sistemas Windows dirigidos a lo que parece una campaña de espionaje en curso llamada  TunnelSnake  que se remonta al menos a 2018.

Los rootkits  son herramientas maliciosas diseñadas para evadir la detección al enterrarse profundamente en el sistema operativo y utilizadas por los atacantes para apoderarse completamente de los sistemas infectados mientras evitan la detección.

El malware previamente desconocido,  apodado  Moriya  por los investigadores de Kaspersky  que lo descubrieron en la naturaleza, es una puerta trasera pasiva que permite a los atacantes espiar de forma encubierta el tráfico de red de sus víctimas y enviar comandos a los hosts comprometidos.

Puerta trasera de espionaje inusualmente evasivo

Moriya permitió a los operadores de TunnelSnake capturar y analizar el tráfico de red entrante "desde el espacio de direcciones del kernel de Windows, una región de memoria donde reside el kernel del sistema operativo y donde normalmente solo se ejecuta código privilegiado y confiable".

La forma en que la puerta trasera recibió comandos en forma de paquetes personalizados ocultos dentro del tráfico de red de las víctimas, sin necesidad de comunicarse con un servidor de comando y control, se sumó al sigilo de la operación que muestra el enfoque del actor de amenazas en evadir la detección. .

"Vemos más y más campañas encubiertas como TunnelSnake, donde los actores toman medidas adicionales para permanecer fuera del radar el mayor tiempo posible e invierten en sus conjuntos de herramientas, haciéndolos más personalizados, complejos y más difíciles de detectar", Mark Lechtik, un investigador de seguridad senior de Investigación y Análisis Global de Kaspersky,  dijo .


Según la telemetría de Kaspersky, el malware se implementó en las redes de menos de 10 entidades en un ataque altamente dirigido.

El actor de la amenaza utilizó sistemas traseros pertenecientes a entidades diplomáticas asiáticas y africanas y otras organizaciones de alto perfil para hacerse con el control de sus redes y mantener la persistencia durante meses sin ser detectado.

Los atacantes también desplegaron herramientas adicionales (incluidos China Chopper, BOUNCER, Termite y Earthworm) durante la etapa posterior a la explotación en los sistemas comprometidos (hechos a medida y utilizados previamente por actores de habla china).

Esto les permitió moverse lateralmente en la red después de buscar y encontrar nuevos hosts vulnerables en las redes de las víctimas.

Toda la evidencia apunta a actores de amenazas de habla china

Aunque los investigadores de Kaspersky no pudieron atribuir la campaña a un actor de amenaza específico, las Tácticas, técnicas y procedimientos (TTP) utilizados en los ataques y las entidades objetivo sugieren que los atacantes probablemente hablan chino.

"También encontramos una versión más antigua de Moriya utilizado en un ataque independiente en 2018, lo que apunta a que el actor estar activo por lo menos desde 2018," Giampaolo Dedola, investigador senior de seguridad de Equipo de Investigación y Análisis Global de Kaspersky,  añadió .

"El perfil de los objetivos y el conjunto de herramientas apalancadas sugieren que el propósito del actor en esta campaña es el espionaje, aunque solo podemos atestiguarlo parcialmente con la falta de visibilidad de cualquier dato real extraído".

En el informe de Kaspersky se pueden encontrar más detalles técnicos sobre el rootkit de Moriya y los indicadores de compromiso asociados con la campaña TunnelSnake  .

En octubre, Kaspersky también  encontró el segundo rootkit UEFI utilizado en la naturaleza  (conocido como MosaicRegressor) mientras investigaba los ataques de 2019 contra dos organizaciones no gubernamentales (ONG).

El kit de arranque UEFI anterior  utilizado en la naturaleza se conoce como LoJax  y fue descubierto por ESET en 2018 mientras lo inyectaba el grupo de piratería APT28 respaldado por Rusia dentro del software antirrobo legítimo LoJack.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta semana, Twitter ha comenzado a experimentar con una nueva función llamada "Tip Jar", que permite a los usuarios de Twitter seleccionar perfiles para apoyar su trabajo.

Los usuarios de la aplicación Twitter para iOS y Android que usan Twitter en inglés ahora pueden enviar sugerencias a un grupo limitado de personas en todo el mundo, incluidos creadores, periodistas, expertos y organizaciones sin fines de lucro.

Sin embargo, la nueva función ha provocado múltiples preocupaciones entre los usuarios de Twitter: desde que se expone la dirección de envío de PayPal del remitente hasta cómo se manejan las "disputas".

Twitter 'Tip Jar' puede exponer su dirección de envío de PayPal
Ayer, Twitter lanzó una función 'Tip Jar' para los usuarios de aplicaciones de Android e iOS que tienen su idioma preferido configurado en inglés.

La función ha sido introducida por la empresa para "apoyar las increíbles voces que conforman la conversación en Twitter".

Aunque cualquiera puede enviar propinas en efectivo, el grupo que puede recibir tales recompensas actualmente está restringido a solo un puñado de entidades:

"Por ahora, un grupo limitado de personas en todo el mundo que usan Twitter en inglés pueden agregar Tip Jar a su perfil y aceptar sugerencias".

"Este grupo incluye creadores, periodistas, expertos y organizaciones sin fines de lucro. Pronto, más personas podrán agregar Tip Jar a su perfil y lo expandiremos a más idiomas", anunció Twitter en la publicación de blog de ayer  .

Aquellos interesados ​​en dar propina a alguien pueden usar una variedad de métodos de pago, incluidos  Bandcamp , Cash App , Patreon , Paypal y Venmo .

Además, Twitter no recibe un recorte de la cantidad de propina, aunque las redes de pago pueden cobrar una tarifa de transacción mínima.

Sin embargo, en unas pocas horas, algunos señalaron que debido a cómo funciona PayPal, es posible que los usuarios no se den cuenta de que su dirección de envío de PayPal estaba siendo expuesta a aquellos a quienes dieron propina

En pocas palabras, dado que "dar propina" cuenta como una transacción en Twitter, al igual que un comprador paga a un vendedor cuando compra en línea, PayPal puede (de forma predeterminada) exponer la dirección de envío del remitente del dinero a la persona que recibe las propinas.

Los usuarios de Twitter, incluidos Anashel y Yashar Ali, señalaron que la solución a este problema potencial es bastante simple.

Aquellos que usan PayPal para enviar propinas a través de Twitter Tip Jar pueden seleccionar "No se necesita dirección" en el  campo del formulario Dirección de envío antes de enviar el pago:


Además, Twitter ha actualizado su aviso de propinas y el Centro de ayuda para dejar en claro que otras aplicaciones, como PayPal, pueden compartir información entre las personas que envían y reciben propinas.

Bueno, ese fue fácil. Pero solo hay un problema más que otros han planteado.

Pero, ¿qué pasa con las disputas?

¿Qué sucede cuando alguien le da propina a un usuario de Twitter usando el Tip Jar y luego presenta una "disputa" sobre el pago?

Las diferentes redes de pago ofrecen métodos para disputar los pagos salientes por muchas razones: como recibir productos defectuosos o no recibir un servicio de manera adecuada, etc.

Pero, en el caso de PayPal, algunos han señalado que si un remitente de propinas presenta una disputa después de dar una propina a alguien, las cosas pueden ponerse feas para el destinatario, quien ahora tiene que pagar un cargo por disputa de $ 20, más las tarifas de procesamiento de pagos, por supuesto, además. para reembolsar el monto de la propina.

Y, como señaló el periodista de seguridad de información Brian Krebs, si un estafador puede repetir el envío de "sugerencias" varias veces y disputarlas, puede, a su vez, hacer que el destinatario  pague como resultado de desencadenar el proceso de disputa, invirtiendo efectivamente la dirección. de flujo de dinero.

No está claro qué políticas introducirán PayPal y Twitter para evitar que los actores malintencionados abusen de la función Tip Jar que se acaba de implementar.

Además, en este momento, no todos los usuarios de aplicaciones de Twitter para Android e iOS pueden tener habilitada la función Tip Jar.

Los perfiles de Twitter con Tip Jar habilitado mostrarán un icono de "Tip Jar" al lado del botón "seguir (ing)" en su perfil, como se muestra en la ilustración GIF anterior.

Sin embargo, en las pruebas de BleepingComputer, Tip Jar no estaba disponible para algunos usuarios de aplicaciones, incluidos aquellos con cuentas verificadas, aunque el idioma preferido para las cuentas / aplicaciones se estableció en inglés.

Como tal, aquellos interesados ​​en ser pioneros en la función Tip Jar deben estar atentos a su aplicación para ver si hay actualizaciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

una clase de vulnerabilidades críticas que afectan a los procesadores modernos, se reveló públicamente en enero de 2018, los investigadores detrás del descubrimiento dijeron : "Como no es fácil de solucionar, nos perseguirá durante bastante tiempo", explicando la inspiración detrás de la denominación. los ataques de ejecución especulativa.

De hecho, han pasado más de tres años y no se vislumbra un final para Spectre.

Un equipo de académicos de la Universidad de Virginia y la Universidad de California en San Diego ha descubierto una nueva línea de ataque que pasa por alto todas las protecciones actuales de Spectre integradas en los chips, poniendo potencialmente casi todos los sistemas: computadoras de escritorio, computadoras portátiles, servidores en la nube y teléfonos inteligentes. - una vez más en riesgo tal como lo estaban hace tres años.

La divulgación de Spectre y Meltdown abrió una especie de compuerta , con infinitas variantes de los ataques que salieron a la luz en los años intermedios, incluso cuando los fabricantes de chips como Intel, ARM y AMD se han apresurado continuamente para incorporar defensas para aliviar las vulnerabilidades que permiten código para leer contraseñas, claves de cifrado y otra información valiosa directamente desde la memoria del núcleo de una computadora.

Spectre, un ataque de canal lateral de sincronización en su núcleo, rompe el aislamiento entre diferentes aplicaciones y aprovecha un método de optimización llamado ejecución especulativa en implementaciones de hardware de CPU para engañar a los programas para que accedan a ubicaciones arbitrarias en la memoria y así filtrar sus secretos.

"Un ataque de Spectre engaña al procesador para que ejecute instrucciones por el camino equivocado", dijeron los investigadores. "Aunque el procesador se recupera y completa correctamente su tarea, los piratas informáticos pueden acceder a datos confidenciales mientras el procesador se dirige por el camino equivocado".


Ataque de caché de microoperaciones

El nuevo método de ataque explota lo que se llama caché de microoperaciones (también conocido como microoperaciones o μops), un componente en el chip que descompone las instrucciones de la máquina en comandos más simples y acelera la computación, como un canal lateral para divulgar información secreta. Se han integrado cachés de microoperaciones en máquinas basadas en Intel fabricadas desde 2011.

"La defensa sugerida por Intel contra Spectre, que se llama LFENCE, coloca el código confidencial en un área de espera hasta que se ejecutan los controles de seguridad, y solo entonces se permite la ejecución del código confidencial", Ashish Venkat, profesor asistente de la Universidad de Virginia y un coautor del estudio, dijo. "Pero resulta que las paredes de esta área de espera tienen oídos, que nuestro ataque explota. Mostramos cómo un atacante puede contrabandear secretos a través del caché de microoperaciones usándolo como un canal encubierto".

En las microarquitecturas AMD Zen, la primitiva de divulgación de microoperaciones se puede explotar para lograr un canal de transmisión de datos encubierto con un ancho de banda de 250 Kbps con una tasa de error de 5,59% o 168,58 Kbps con corrección de errores, detallaron los investigadores.

Intel, en sus pautas para contrarrestar los ataques de tiempo contra las implementaciones criptográficas, recomienda adherirse a los principios de programación en tiempo constante, una práctica que es más fácil de decir que de hacer, ya que requiere que los cambios de software por sí solos no puedan mitigar adecuadamente las amenazas que surgen de la ejecución especulativa.

"La programación en tiempo constante no solo es difícil en términos del esfuerzo real del programador, sino que también implica una sobrecarga de alto rendimiento y desafíos de implementación significativos relacionados con el parcheo de todo el software sensible", dijo Venkat en un comunicado compartido con The Hacker News. "El porcentaje de código que se escribe utilizando los principios de tiempo constante es, de hecho, bastante pequeño. Depender de esto sería peligroso. Es por eso que todavía necesitamos asegurar el hardware".

El lado positivo aquí es que explotar las vulnerabilidades de Spectre es difícil. Para protegerse del nuevo ataque, los investigadores proponen vaciar el caché de micro-operaciones, una técnica que compensa los beneficios de rendimiento obtenidos al usar el caché en primer lugar, aprovechar los contadores de rendimiento para detectar anomalías en el caché de micro-operaciones y particionarlo. según el nivel de privilegio asignado al código y evitar que el código no autorizado obtenga mayores privilegios.

"La memoria caché de microoperaciones como canal lateral tiene varias implicaciones peligrosas", dijeron los investigadores. "En primer lugar, omite todas las técnicas que mitigan las cachés como canales laterales. En segundo lugar, estos ataques no son detectados por ningún perfil de malware o ataque existente. En tercer lugar, debido a que la caché de microoperaciones se encuentra en la parte delantera de la canalización, mucho antes de la ejecución, ciertos las defensas que mitigan Spectre y otros ataques de ejecución transitoria al restringir las actualizaciones de caché especulativas siguen siendo vulnerables a los ataques de caché de microoperaciones ".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han revelado una nueva vulnerabilidad de seguridad en los módems de estación móvil (MSM) de Qualcomm que podría permitir a un atacante aprovechar el sistema operativo Android subyacente para introducir código malicioso en los teléfonos móviles, sin ser detectado.

"Si se explota, la vulnerabilidad habría permitido a un atacante usar el sistema operativo Android como un punto de entrada para inyectar código malicioso e invisible en los teléfonos, otorgándoles acceso a mensajes SMS y audio de conversaciones telefónicas", dijeron investigadores de la firma de seguridad israelí Check Point en un análisis publicado hoy.

La vulnerabilidad de desbordamiento de pila, rastreada como CVE-2020-11292 , reside en la API del servicio de voz QMI expuesta por el módem al sistema operativo de alto nivel, y podría ser explotada por una aplicación maliciosa para ocultar sus actividades "debajo" del sistema operativo en el chip del módem en sí, haciéndolo invisible para las protecciones de seguridad integradas en el dispositivo.

Diseñado desde la década de 1990, los chips Qualcomm MSM permiten que los teléfonos móviles se conecten a redes celulares y permiten que Android acceda al procesador del chip a través de la interfaz Qualcomm MSM (QMI), un protocolo patentado que permite la comunicación entre los componentes de software en el MSM y otros subsistemas periféricos en el dispositivo, como cámaras y escáneres de huellas dactilares.

Si bien el 40% de todos los teléfonos inteligentes de hoy, incluidos los de Google, Samsung, LG, Xiaomi y One Plus, usan un chip Qualcomm MSM, se estima que el 30% de los dispositivos vienen con QMI, según una investigación de Counterpoint.

"Un atacante podría haber utilizado esta vulnerabilidad para inyectar código malicioso en el módem desde Android, dándoles acceso al historial de llamadas y SMS del usuario del dispositivo, así como la capacidad de escuchar las conversaciones del usuario del dispositivo", dijeron los investigadores. "Un pirata informático también puede aprovechar la vulnerabilidad para desbloquear la SIM del dispositivo, superando así las limitaciones impuestas por los proveedores de servicios".

Check Point dijo que notificó a Qualcomm sobre el problema el 8 de octubre de 2020, luego de lo cual el fabricante de chips notificó a los proveedores de dispositivos móviles relevantes.

"Proporcionar tecnologías que respalden una seguridad y privacidad sólidas es una prioridad para Qualcomm", dijo la compañía a The Hacker News por correo electrónico. "Qualcomm Technologies ya puso correcciones a disposición de los fabricantes de equipos originales en diciembre de 2020, y alentamos a los usuarios finales a actualizar sus dispositivos a medida que las revisiones estén disponibles". La compañía también dijo que tiene la intención de incluir CVE-2020-11292 en el boletín público de Android para junio.

Esta no es la primera vez que se encuentran fallas críticas en los chips de Qualcomm. En agosto de 2020, los investigadores de Check Point revelaron más de 400 problemas de seguridad, denominados colectivamente " Achilles ", en su chip de procesamiento de señal digital, lo que permite a un adversario convertir el teléfono en una "herramienta de espionaje perfecta, sin que se requiera la interacción del usuario".

"Los chips de módem celular a menudo se consideran las joyas de la corona para los atacantes cibernéticos, especialmente los chips fabricados por Qualcomm", dijo Yaniv Balmas, jefe de investigación cibernética de Check Point. "Un ataque a los chips de módem de Qualcomm tiene el potencial de afectar negativamente a cientos de millones de teléfonos móviles en todo el mundo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hacwee unos dias Microsoft liberó mejoras para los juegos del catálogo de títulos para Xbox Series S y Series X, FPS Boost mejorará el funcionamiento de los juegos.

El FPS Boost es un incremento de FPS si bien ya estaba lista para utilizar desde febrero del presente año, Microsoft liberará al rededor de 70 títulos compatibles que mejorarán el rendimiento en nuestras pantallas cabe resaltar que deben ser títulos retrocompatibles.

Qué mejora FPS Boost

- Podemos duplicar o cuadruplicar la tasa de fotogramas
- alcanzaremos un juego mucho más fluido
- mejora en función del hardware
- los juegos funcionaran a 120 Hz


Activar FPS Boost

FPS Boost no vienen en actualizaciones  así que debemos de activarlo manualmente de la siguiente manera:

- verificar que nuestra consola haya recibido la última actualización y que se  haya reiniciado nuestra consola.
- Desplegaremos el menú vertical pulsando el botón Xbox del mando
- Seleccionamos el juego en el que deseamos activar el FPS Boost
- pulsamos el botón Menú (a la derecha del botón Xbox con tres rayitas horizontales)
- se abrirá una nueva ventana.
- elegimos  "Administrar juegos y complementos"
- checamos en  "Opciones de compatibilidad"
- encontraremos la opciín "FPS Boost"
- procedemos a activarla.


Nota

En casi todos los títulos de Xbox Series S permite el uso de los 60 Hz, lo que significa que podremos usarlo en diversos modelos de televisores, con los Xbox Series X que permitan los 120 Hz, necesitaremos televisores quetengan conexión HDMi 2.1 poder utilizarlo.

Muchos de los juegos compatibles con FPS Boost están disponibles en Xbox Game Pass y EA Play (incluidos con una suscripción a Xbox Game Pass Ultimate). Consulta la lista completa de juegos de Xbox Game Pass y EA Play en el sitio oficial You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login .


Bueno pues eso es todo, para algunos aumentar los FPS es una bobada para otros una necesidad cuestión de gustos sencillamente juguemos y seamos felices 

¡Saludos!

Según los informes de los usuarios y algunas otras pruebas, Windows Defender está depositando miles de archivos en la unidad del sistema de Windows 10. El problema ha sido ampliamente informado por usuarios que han descubierto que una actualización defectuosa de Windows Defender es la responsable del desorden.

Microsoft Defender viene preinstalado en todas las versiones / ediciones de Windows 10 y se actualiza periódicamente a través de Windows Update. Tras una actualización reciente de Windows Defender en la última semana de abril, los usuarios notaron que Windows ha comenzado a generar miles de archivos en la unidad del sistema, es decir, la ubicación donde está instalado el sistema operativo.

Los usuarios afectados informaron en los foros de Microsoft y Reddit que su carpeta de historial de Windows Defender (C: \ ProgramData \ Microsoft \ Windows Defender \ Scans \ History \ Store) se llenó silenciosamente. Los archivos en sí son pequeños e inofensivos, pero pueden consumir una gran cantidad de espacio de almacenamiento en algunos casos.



El error también afecta a las instalaciones de Windows Server, y algunas personas informan que generó 18 millones de archivos en su organización.

Citar"Tenemos tres servidores de 2016 hasta ahora que se han visto afectados. Nuestras alertas de espacio en el disco duro empezaron a sonar anoche. Un servidor tiene 18 MILLONES DE ARCHIVOS en la carpeta Store. Otro tiene 13 MILLONES. Tomando horas solo para descubrir todos los archivos para que puedan ser eliminados. Y debido al tamaño de la asignación, estos archivos ocupan entre 50 y 60 GB de espacio en el disco. Este es un gran error de Microsoft ", señaló un usuario en Reddit.

Cómo comprobar si Windows Defender está generando archivos

La forma más sencilla de comprobar si Windows Defender está plagado de errores es a través del Explorador de archivos:

- Abra el Explorador de archivos y asegúrese de que los "Elementos ocultos" estén permitidos en la pestaña Ver.
- En la barra de direcciones, escriba "C: \ ProgramData \ Microsoft \" sin las comillas.
- Haga clic en "Windows Defender".
- Haga clic en "Continuar" si la carpeta solicita privilegios de administrador.
- En la carpeta de Windows Defender, navegue hasta Scans \ History \ Store.

Si se ve afectado, verá cientos o miles de archivos con menos de un megabytes de tamaño cada uno. Puede eliminar de forma segura los archivos que están en la carpeta.

Windows Defender versión 1.1.18100.6 ha solucionado los problemas

La buena noticia es que el problema parece haberse resuelto con el motor 1.1.18100.6 de Windows Defender. Un agente de soporte de Microsoft también nos dijo que están al tanto de los informes y que se está implementando la corrección.

Para aplicar el parche, abra el menú Inicio y haga clic en el icono de engranaje de Configuración. En la aplicación Configuración, vaya a Actualizaciones y seguridad> Actualización de Windows y haga clic en buscar actualizaciones.

Una nueva actualización titulada "Actualización de inteligencia de seguridad para Microsoft Defender Antivirus" comenzará a descargarse e instalarse automáticamente.

Puede verificar el número de versión del motor de seguridad abriendo la página "Acerca de" en la aplicación de seguridad de Windows.

Fuente: Windows Latest

Microsoft ha actualizado la línea de base de seguridad para Microsoft 365 Apps para empresas (anteriormente Office 365 Professional Plus) para incluir protección contra ataques de ejecución de código JScript y macros sin firmar.

Las líneas de base de  seguridad permiten a los administradores de seguridad utilizar las líneas de base de objetos de política de grupo (GPO) recomendadas por Microsoft para reducir la superficie de ataque de las aplicaciones de Microsoft 365 y mejorar la postura de seguridad de los puntos finales empresariales en los que se ejecutan.

Citar"Una línea de base de seguridad es un grupo de opciones de configuración recomendadas por Microsoft que explica su impacto en la seguridad", como Microsoft explica .

"Esta configuración se basa en los comentarios de los equipos de ingeniería de seguridad de Microsoft, grupos de productos, socios y clientes".

Cambios en la línea de base de seguridad

Los aspectos más destacados de la nueva configuración de referencia de configuración de seguridad recomendada para Microsoft 365 Apps para empresas, versión 2104, incluyen protección contra ataques de ejecución remota de código al restringir la ejecución de JScript heredado para Office.

JScript es un componente heredado de Internet Explorer que, aunque reemplazado por JScript9, todavía lo utilizan las aplicaciones críticas para el negocio en entornos empresariales.

Además, también se recomienda a los administradores que extiendan la protección de macros habilitando un GPO para requerir que los complementos de la aplicación estén firmados por editores de confianza y deshabilitarlos silenciosamente bloqueándolos y desactivando las notificaciones de la barra de confianza.

Los GPO que deben habilitarse para implementar estas configuraciones de seguridad recomendadas de referencia son:

- "Legacy JScript Block - Computer" deshabilita la ejecución de JScript heredado para sitios web en la Zona de Internet y la Zona de sitios restringidos.

- "Requerir firma de macros: usuario" es un GPO de configuración de usuario que deshabilita las macros sin firmar en cada una de las aplicaciones de Office.

Otras políticas nuevas agregadas a la línea de base desde el lanzamiento del año pasado incluyen:

- "Bloque DDE - Usuario" es un GPO de configuración de usuario que bloquea el uso de DDE para buscar procesos del servidor DDE existentes o para iniciar otros nuevos.

- "Legacy File Block - User" es un GPO de configuración de usuario que evita que las aplicaciones de Office abran o guarden formatos de archivo heredados.

- Nueva política: "Controlar cómo Office maneja las solicitudes de inicio de sesión basadas en formularios", recomendamos habilitar y bloquear todas las solicitudes. Esto da como resultado que no se muestren al usuario solicitudes de inicio de sesión basadas en formularios y al usuario se le muestra un mensaje de que el método de inicio de sesión no está permitido.
Nueva política: recomendamos hacer cumplir el valor predeterminado al deshabilitar "Deshabilitar verificaciones de seguridad adicionales en las referencias de la biblioteca de VBA que pueden referirse a ubicaciones inseguras en la máquina local" (Nota: esta descripción de la política es un doble negativo, el comportamiento que recomendamos es que las verificaciones de seguridad permanezcan EN).

- Nueva política: recomendamos hacer cumplir la configuración predeterminada desactivando "Permitir que VBA cargue referencias de biblioteca de tipos por ruta desde ubicaciones de intranet que no sean de confianza". Obtenga más información en  Preguntas frecuentes sobre las soluciones VBA afectadas por las actualizaciones de seguridad de Office de abril de 2020 .

- Nueva política dependiente: la política "Deshabilitar la notificación de la barra de confianza para complementos de aplicaciones sin firmar" tenía una dependencia que se omitió en la línea de base anterior. Para corregir, hemos agregado la política que falta, "Requerir que los complementos de la aplicación estén firmados por Trusted Publisher". Esto se aplica a Excel, PowerPoint, Project, Publisher, Visio y Word.

Disponible a través del kit de herramientas de cumplimiento de seguridad de Microsoft

"La mayoría de las organizaciones pueden implementar la configuración recomendada de la línea de base sin ningún problema. Sin embargo, hay algunas configuraciones que causarán problemas operativos para algunas organizaciones", dijo Microsoft .

"Hemos dividido grupos relacionados de tales configuraciones en sus propios GPO para que sea más fácil para las organizaciones agregar o eliminar estas restricciones como un conjunto.

"El script de política local (Baseline-LocalInstall.ps1) ofrece opciones de línea de comandos para controlar si estos GPO están instalados".

La versión final de la línea de base de seguridad para Microsoft 365 Apps para empresas está disponible para su descarga a través del Kit de herramientas de cumplimiento de seguridad de Microsoft .

Incluye "GPO importables, un script para aplicar los GPO a la política local, un script para importar los GPO a la política de grupo de Active Directory".

Microsoft también proporciona todas las configuraciones recomendadas en forma de hoja de cálculo, junto con un archivo de plantilla administrativa personalizada actualizada (SecGuide.ADMX / L) y un archivo de reglas de Policy Analyzer.

Las líneas de base de seguridad futuras se alinearán con las versiones de canal semestrales de Microsoft 365 Apps para empresas cada junio y diciembre.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft reveló en silencio sus planes para eliminar el complemento Adobe Flash de Windows 10, con una eliminación obligatoria a partir de julio de 2021.

El 1 de enero de 2021,  Adobe Flash llegó oficialmente al final de su vida útil  (EoL) después de ser considerado un riesgo de seguridad significativo mientras navegaba por la web debido a su explotación por parte de los actores de amenazas.

Como parte del final de la vida útil, Adobe anunció que dejaría de distribuir Flash Player y que los desarrolladores de navegadores ya no admitirían complementos de Flash. Además, Adobe agregó un kill switch a Flash Player  que evita que el contenido Flash se ejecute a partir del 12 de enero de 2021.

Finalmente, Microsoft lanzó la actualización opcional KB4577586 que elimina el complemento Adobe Flash de 32 bits de Windows y evita que se vuelva a instalar.


En este momento, la actualización KB4577586 debe instalarse manualmente desde el catálogo de Microsoft. Sin embargo, Microsoft declaró anteriormente que lo distribuiría a través de WSUS y Windows Update en el futuro.

Microsoft publica más información

En una actualización silenciosa de su final de soporte para la publicación de blog de Adobe Flash , Microsoft ha descrito sus planes adicionales sobre cómo comenzarán a distribuir la actualización de Windows 10 KB4577586.

A partir de junio de 2021, Microsoft lo incluirá en sus actualizaciones acumulativas de vista previa de Windows 10 opcionales para Windows 10 1809 y versiones posteriores. Estas actualizaciones se publican en la tercera y cuarta semanas del mes como parte de sus versiones "C" programadas.

Microsoft incluirá la actualización en las actualizaciones acumulativas obligatorias del martes de parches de julio de 2021 para Windows 10 1507 y versiones posteriores, Windows Server 2012 y Windows 8.1.

- A partir de junio de 2021, la "Actualización para la eliminación de Adobe Flash Player" KB4577586 se incluirá en la Actualización de vista previa para Windows 10, versión 1809 y plataformas superiores. También se incluirá en todas las últimas actualizaciones acumulativas posteriores.

- A partir de julio de 2021, la "Actualización para la eliminación de Adobe Flash Player" KB4577586 se incluirá en la última actualización acumulativa para Windows 10, versión 1607 y Windows 10, versión 1507. La KB también se incluirá en el paquete acumulativo mensual y la Actualización de solo seguridad para Windows 8.1, Windows Server 2012 y Windows Embedded 8 Standard. 

Para aquellos que instalen Windows 21H1, que comenzará la vista previa pública este mes , la actualización KB4577586 se instalará automáticamente y se eliminará el complemento Adobe Flash Player.

Con Windows 10 ejecutándose actualmente en 1.300 millones de dispositivos, después de las actualizaciones de julio de 2021, una gran cantidad de dispositivos quedarán limpios de Adobe Flash Player.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un grupo de amenazas "agresivo" con motivaciones financieras aprovechó una falla de día cero en los dispositivos VPN de SonicWall antes de que la empresa lo parcheara para implementar una nueva variedad de ransomware llamada FIVEHANDS.

El grupo, rastreado por la firma de ciberseguridad Mandiant como UNC2447, se aprovechó de una falla de "neutralización incorrecta de comandos SQL" en el producto SSL-VPN SMA100 ( CVE-2021-20016 , CVSS puntuación 9.8 ) que permite a un atacante no autenticado lograr la ejecución remota de código .

Citar"UNC2447 monetiza las intrusiones extorsionando a sus víctimas primero con el ransomware FIVEHANDS y luego aplicando presión agresivamente a través de amenazas de atención de los medios y ofreciendo datos de las víctimas a la venta en foros de piratas informáticos", dijeron los investigadores de Mandiant . "Se ha observado que UNC2447 tiene como objetivo organizaciones en Europa y América del Norte y ha mostrado constantemente capacidades avanzadas para evadir la detección y minimizar el análisis forense posterior a la intrusión".

CVE-2021-20016 es el mismo día cero que la firma con sede en San José dijo que fue explotado por "actores de amenazas sofisticados" para organizar un "ataque coordinado a sus sistemas internos" a principios de este año. El 22 de enero, The Hacker News reveló exclusivamente que SonicWall había sido violado al explotar "probables vulnerabilidades de día cero" en sus dispositivos de acceso remoto de la serie SMA 100.

La explotación exitosa de la falla otorgaría a un atacante la capacidad de acceder a las credenciales de inicio de sesión, así como a la información de la sesión que luego podría usarse para iniciar sesión en un dispositivo vulnerable de la serie SMA 100 sin parches.

Según la subsidiaria propiedad de FireEye, se dice que las intrusiones ocurrieron en enero y febrero de 2021, y el actor de amenazas utilizó un malware llamado SombRAT para implementar el ransomware FIVEHANDS. Vale la pena señalar que SombRAT fue descubierto en noviembre de 2020 por investigadores de BlackBerry junto con una campaña llamada CostaRicto llevada a cabo por un grupo de hackers mercenarios.

Los ataques UNC2447 que involucran infecciones de ransomware se observaron por primera vez en la naturaleza en octubre de 2020, comprometiendo inicialmente los objetivos con el ransomware HelloKitty , antes de cambiarlo por FIVEHANDS en enero de 2021. Por cierto, ambas cepas de ransomware, escritas en C ++, son reescrituras de otro ransomware llamado DeathRansom .

Citar"Según las observaciones técnicas y temporales de las implementaciones de HelloKitty y FIVEHANDS, HelloKitty puede haber sido utilizado por un programa de afiliados general desde mayo de 2020 hasta diciembre de 2020, y FIVEHANDS desde aproximadamente enero de 2021", dijeron los investigadores.

FIVEHANDS también se diferencia de DeathRansom y HelloKitty en el uso de un cuentagotas de solo memoria y características adicionales que le permiten aceptar argumentos de línea de comandos y utilizar el Administrador de reinicio de Windows para cerrar un archivo actualmente en uso antes del cifrado.

La divulgación se produce menos de dos semanas después de que FireEye divulgara tres vulnerabilidades previamente desconocidas en el software de seguridad de correo electrónico de SonicWall que fueron explotadas activamente para implementar un shell web para el acceso de puerta trasera a la víctima. FireEye está rastreando esta actividad maliciosa bajo el nombre UNC2682.

Fuente: The Hacker News

Irán ha sido vinculado a otra operación de ransomware patrocinada por el estado a través de una empresa contratante con sede en el país, según un nuevo análisis.

"Cuerpo de la Guardia Revolucionaria Islámica de Irán ( CGRI ) estaba operando una campaña ransomware patrocinada por el estado a través de una empresa contratista iraní llamado 'Emen neto Pasargadas' (PEV)," firma de seguridad cibernética Flashpoint dijo en sus conclusiones que resumen tres documentos filtrados por una entidad anónima denominada Leer My Lips o Lab Dookhtegan entre el 19 de marzo y el 1 de abril a través de su canal de Telegram.

Apodada "Señal del proyecto", se dice que la iniciativa se inició en algún momento entre finales de julio de 2020 y principios de septiembre de 2020, con la organización de investigación interna de ENP, llamada "Centro de estudios", que reunió una lista de sitios web objetivo no especificados.

Una segunda hoja de cálculo validada por Flashpoint explicó explícitamente las motivaciones financieras del proyecto, con planes para lanzar las operaciones de ransomware a fines de 2020 por un período de cuatro días entre el 18 y el 21 de octubre. Otro documento describió los flujos de trabajo, incluidos los pasos para recibir pagos de Bitcoin de víctimas de ransomware y descifrar los datos bloqueados.

No está claro de inmediato si estos ataques se llevaron a cabo según lo planeado y a quién se dirigieron.

Citar"ENP opera en nombre de los servicios de inteligencia de Irán que brindan capacidades cibernéticas y apoyo al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), la Fuerza Quds del IRGC (IRGC-QF) y el Ministerio de Inteligencia y Seguridad de Irán (MOIS)", dijeron los investigadores.

A pesar de los temas de ransomware del proyecto, los investigadores sospechan que el movimiento probablemente podría ser una "técnica de subterfugio" para imitar las tácticas, técnicas y procedimientos (TTP) de otros grupos de ransomware ciberdelincuentes motivados financieramente para hacer que la atribución sea más difícil y se mezcle mejor con la panorama de amenazas.

Curiosamente, el lanzamiento de Project Signal también encajó con otra campaña de ransomware iraní llamada "Pay2Key", que atrapó a decenas de empresas israelíes en noviembre y diciembre de 2020. La empresa de ciberseguridad ClearSky, con sede en Tel Aviv, atribuyó la ola de ataques a un grupo llamado Fox Kitten . Dada la falta de evidencia, se desconoce qué conexión, si la hay, pueden tener las dos campañas entre sí.

Esta no es la primera vez que Lab Dookhtegan ha arrojado información crucial relacionada con las actividades cibernéticas maliciosas de Irán. En un estilo que se hace eco de los Shadow Brokers , la persona o grupo misterioso reveló previamente los secretos de un grupo de hackers iraníes conocido como APT34 o OilRig, incluida la publicación del arsenal de herramientas de piratería del adversario, junto con información sobre 66 organizaciones de víctimas y doxxing el mundo real. identidades de los agentes de inteligencia del gobierno iraní.

La noticia de la segunda operación de ransomware de Irán también se produce cuando una coalición de empresas gubernamentales y tecnológicas del sector privado, llamada Ransomware Task Force, compartió un informe de 81 páginas que comprende una lista de 48 recomendaciones para detectar e interrumpir los ataques de ransomware, además de ayudar. las organizaciones se preparan y responden a tales intrusiones de manera más eficaz.

Fuente: The Hacker News

Una nueva investigación ha descubierto debilidades de privacidad en el protocolo de intercambio de archivos inalámbrico de Apple que podrían resultar en la exposición de la información de contacto de un usuario, como direcciones de correo electrónico y números de teléfono.

"Como atacante, es posible conocer los números de teléfono y las direcciones de correo electrónico de los usuarios de AirDrop, incluso como un completo extraño", dijo un equipo de académicos de la Universidad Técnica de Darmstadt, Alemania. "Todo lo que necesitan es un dispositivo con capacidad Wi-Fi y la proximidad física a un objetivo que inicia el proceso de descubrimiento al abrir el panel para compartir en un dispositivo iOS o macOS".

AirDrop es un servicio ad hoc patentado presente en los sistemas operativos iOS y macOS de Apple, que permite a los usuarios transferir archivos entre dispositivos mediante la comunicación inalámbrica de corto alcance.

Si bien esta función muestra solo los dispositivos receptores que están en las listas de contactos de los usuarios mediante un mecanismo de autenticación que compara el número de teléfono y la dirección de correo electrónico de un individuo con las entradas en la libreta de direcciones del otro usuario, la nueva deficiencia anula tales protecciones con la ayuda de una red Wi-Fi. -dispositivo capaz y por estar en estrecha proximidad física a un objetivo.

Citar"Cuando se intenta una conexión AirDrop entre un remitente y un receptor, el remitente transmite por aire un mensaje que contiene un hash, o huella digital, de la dirección de correo electrónico o número de teléfono de su usuario como parte de un apretón de manos de autenticación", explicaron los investigadores . "En respuesta, si se reconoce al remitente, el receptor transmite su hash".

Según los investigadores, el núcleo del problema tiene su origen en el uso de funciones hash por parte de Apple para enmascarar los identificadores de contacto intercambiados, es decir, números de teléfono y direcciones de correo electrónico, durante el proceso de descubrimiento. Un receptor malintencionado no solo puede recopilar los identificadores de contacto con hash y descifrarlos "en milisegundos" utilizando técnicas como ataques de fuerza bruta, sino que un remitente malintencionado también puede aprender todos los identificadores de contacto con hash, incluido el número de teléfono del receptor, sin necesidad de previo conocimiento del receptor.

En un escenario de ataque hipotético, un gerente puede abrir un menú para compartir o compartir una hoja de una Apple que podría usarlo para obtener el número de teléfono o la dirección de correo electrónico de otros empleados que tienen los datos de contacto del gerente almacenados en sus libretas de direcciones.

Los investigadores dijeron que notificaron en privado a Apple sobre el problema ya en mayo de 2019, y una vez más en octubre de 2020 después de desarrollar una solución llamada " PrivateDrop " para corregir el diseño defectuoso en AirDrop.

Citar"PrivateDrop se basa en protocolos de intersección de conjuntos privados criptográficos optimizados que pueden realizar de forma segura el proceso de descubrimiento de contactos entre dos usuarios sin intercambiar valores de hash vulnerables", señalaron los investigadores .

Pero dado que Apple aún no ha indicado sus planes para solucionar la fuga de privacidad, los usuarios de más de 1.500 millones de dispositivos Apple son vulnerables a tales ataques. "Los usuarios solo pueden protegerse a sí mismos desactivando el descubrimiento de AirDrop en la configuración del sistema y absteniéndose de abrir el menú para compartir", dijeron los investigadores.

Los hallazgos son los más recientes de una serie de estudios realizados por investigadores de TU, que han desarmado el ecosistema inalámbrico de Apple a lo largo de los años con el objetivo de identificar problemas de seguridad y privacidad.

En mayo de 2019, los investigadores revelaron vulnerabilidades en el protocolo de red de malla patentado Wireless Direct Link (AWDL) de Apple que permitía a los atacantes rastrear usuarios, bloquear dispositivos e incluso interceptar archivos transferidos entre dispositivos a través de ataques man-in-the-middle (MitM).

Luego, a principios del mes pasado, se descubrieron dos fallas distintas de diseño e implementación en la función Find My de Apple que podrían conducir a un ataque de correlación de ubicación y acceso no autorizado al historial de ubicaciones de los últimos siete días, desanonimizando a los usuarios.

Fuente: The Hacker News

Investigadores de la Universidad de Minnesota se disculparon con los mantenedores del Linux Kernel Project el sábado por incluir intencionalmente vulnerabilidades en el código del proyecto, lo que llevó a que se prohibiera a la escuela contribuir al proyecto de código abierto en el futuro.

"Si bien nuestro objetivo era mejorar la seguridad de Linux, ahora entendemos que fue perjudicial para la comunidad convertirlo en un tema de nuestra investigación y desperdiciar su esfuerzo revisando estos parches sin su conocimiento o permiso", dijo el profesor asistente Kangjie Lu , junto con los estudiantes graduados Qiushi Wu y Aditya Pakki, dijo en un correo electrónico.

Citar"Hicimos eso porque sabíamos que no podíamos pedir permiso a los mantenedores de Linux, o estarían al acecho de los parches hipócritas", agregaron.

La disculpa surge de un estudio sobre lo que se llama "compromisos hipócritas", que se publicó a principios de febrero. El proyecto tenía como objetivo agregar deliberadamente vulnerabilidades de uso después de libre al kernel de Linux en nombre de la investigación de seguridad, aparentemente en un intento de resaltar cómo el código potencialmente malicioso podría escabullirse del proceso de aprobación y, como consecuencia, sugerir formas de mejorar seguridad del proceso de parcheo.

Un documento de aclaración previamente compartido por los académicos el 15 de diciembre de 2020 declaró que la Junta de Revisión Institucional (IRB) de la universidad había revisado el estudio y había determinado que no se trataba de una investigación en humanos, solo para dar marcha atrás, agregando "a lo largo del estudio, honestamente no pensamos se trata de una investigación en humanos, por lo que no solicitamos una aprobación del IRB al principio. Pedimos disculpas por las preocupaciones planteadas ".

Si bien los investigadores afirmaron que "no introdujimos ni pretendemos introducir ningún error o vulnerabilidad en el OSS", el hecho de que surgiera evidencia de lo contrario , lo que implica que la investigación se llevó a cabo sin una supervisión adecuada, y puso en riesgo la seguridad del kernel llevó a una prohibición unilateral de envíos de código de cualquier persona que utilice una dirección de correo electrónico "umn.edu", además de invalidar todo el código anterior enviado por los investigadores de la universidad.

"Nuestra comunidad no aprecia que se experimente y se 'pruebe' mediante el envío de parches conocidos que (sic) no hacen nada a propósito o introducen errores a propósito", dijo el mantenedor del kernel de Linux, Greg Kroah-Hartman , en uno de los últimos intercambios. semana.

Después del incidente, el Departamento de Ciencias de la Computación e Ingeniería de la universidad dijo que estaba investigando el incidente, y agregó que estaba investigando el "método de investigación y el proceso por el cual se aprobó este método de investigación, determinar la acción correctiva apropiada y protegerse contra problemas futuros". "

Citar"Esto es peor que simplemente experimentar; esto es como decir que eres un 'investigador de seguridad' yendo a una tienda de comestibles y cortando las líneas de los frenos de todos los autos para ver cuántas personas chocan cuando se van. Enormemente poco ético, " tuiteó Jered Floyd.

Mientras tanto, se espera que todos los parches enviados al código base por los investigadores y profesores de la universidad sean revertidos y revisados ​​nuevamente para verificar si son correcciones válidas.

Fuente: The Hacker News

Linus Torvalds ha anunciado la publicación como estable de Linux 5.12. La última versión del kernel viene con novedades interesantes para los usuarios de Intel Xe, de Radeon RX 6000 y los "consoleros" (sí, nos referimos a consolas de videojuegos).

La primera novedad que destacamos de Linux 5.12 es la inclusión de hid-playstation, un controlador oficial de Sony que dota al kernel de soporte para el DualSense, el controlador de PlayStation 5. Sí, Linux ya soporta oficialmente el DualSense, una muy buena noticia que tendría que tener su colofón con el lanzamiento de Ubuntu 22.04 LTS. Ahora solo queda que Sony y otros contribuidores se tomen en serio el desarrollo de hid-playstation.

Siguiendo con consolas de videojuegos, Linux 5.12 incluye soporte para Nintendo 64, la mítica consola que en su momento fue aplastada comercialmente por la primera PlayStation, a pesar de contar en exclusiva con clásicos como Super Mario 64 y sobre todo Zelda: Ocarina of Time, que sigue siendo para muchos el mejor videojuego de todos los tiempos. Este soporte no es muy útil en la práctica y parece más orientado a contribuir en la mejora de la emulación, pero igualmente no deja de ser algo curioso.

En lo que respecta a las gráficas que funcionan sobre la arquitectura de procesadores x86, lo primero que sobresale es el soporte de Variable Rate Refresh (VRR) para la tecnología de gráficos Intel Xe integrada en los procesadores de generación Tiger Lake. La inclusión de VRR debería de otorgar a los gráficos Intel Xe compatibilidad con Adaptive Sync, ofreciendo de esta manera sincronización entre los fotogramas generados por el ordenador y los mostrados por el monitor.

Por su parte, la última generación de gráficos de AMD, RDNA 2 o RX 6000, ha recibido soporte de overclock con OverDrive para las series RX 6800 y RX 6900, mientras que el driver AMDGPU ha incluido, entre otras cosas y además de lo ya mencionado, una mejor gestión de los procesos de alta prioridad y el soporte de ACDC para gestionar la energía y la velocidad de trabajo dependiendo de que un portátil esté funcionando con la batería o conectado a la corriente.

Continuando con el soporte de hardware, Linux 5.12 ha incorporado soporte de perfil de la plataforma de portátiles de Lenovo (Lenovo Laptop Platform Profile) y se ha mejorado el funcionamiento sobre los dispositivos Surface de Microsoft. Lenovo lleva tiempo intentando reconciliar su división de ordenadores con Linux y el soporte incluido en este lanzamiento ha llegado con la colaboración de Red Hat.

Recopilando de manera breve otras características, ya que cada lanzamiento del kernel incluye decenas de cambios y novedades, nos encontramos con que Btrfs tiene ahora soporte inicial para los dispositivos zonificados y de tamaños de bloque más pequeños que el tamaño de una página de memoria, mientras que a nivel de virtualización están la inclusión del soporte para ACRN de Intel, la posibilidad de que el kernel Linux arranque como la partición raíz en el hypervisor de Microsoft y que KVM permite al espacio de usuario emular hiperllamadas de Xen. Todo eso ha llegado junto al framework Dynamic Thermal Power Management, que se encarga de evitar el exceso de temperatura sobre todo en los portátiles.

Cambiar la versión del kernel no suele ser algo crítico para la mayoría de los usuarios, más si el hardware tiene algunos años. Sin embargo, aquellos quieran tener Linux 5.12 y no estén dispuestos a pasar por el tortuoso proceso de compilación pueden usar una distribución bleeding edge como Arch Linux o Fedora y esperar a que llegue.

Para terminar, todos los detalles de este lanzamiento pueden ser consultados en la correspondiente página de Kernel Newbies, donde están presentados de forma más masticada y amigable para aquellos no tengan conocimientos muy profundos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Red Hat ha anunciado Red Hat Enterprise Linux 8.4 en el marco del Red Hat Summit 2021 para seguir avanzando con paso firme en sectores como el edge computing, la computación en la nube y otros relacionados con los servidores y el ámbito profesional.

La compañía Linux líder mantiene con Red Hat Enterprise Linux (RHEL) 8.4 la cadencia de lanzamiento de uno cada seis meses que inició en 2019 con la publicación de la versión original del sistema que nos ocupa. Lo primero que destaca de RHEL 8.4 es la incorporación de la Imagen de Base Universal (UBI) Micro para reducir la superficie de ataque contra las aplicaciones distribuidas en formato contenedor.

La UBI Micro se suma a las imágenes estándar, mínima y multiservicio para brindar las opciones adecuadas en la construcción de las aplicaciones. Por otro lado, excluye el gestor de paquetes y las dependencias de este que generalmente están presentes en una imagen, si bien los paquetes pueden ser añadidos a un contenedor con la herramienta Buildah.

A nivel de herramientas para los contenedores, la aplicación "container-tools 3.0" suministrada a través Red Hat Enterprise Linux 8.4 incluye las compilaciones estables de Podman 3.0, Buildah 1.9 y Skopeo 1.2, entre otros. Además, con la mencionada versión de Podman ha llegado la característica de actualización automática, la cual puede ser ejecutada manualmente o programada.

Los contenedores se han convertido en una pieza fundamental de la computación en la nube, un sector en el que Red Hat ha invertido grandes esfuerzos en los últimos años. Aquí otras tecnologías como OpenShift también juegan un papel muy importante.

Otro sector que en los últimos tiempos ha ganado mucho protagonismo es el edge computing. Este paradigma de computación distribuida, que se basa en acercar la computación y el almacenamiento de datos a la ubicación en la que son necesarios para mejorar los tiempos de respuesta y ahorrar ancho de banda, está siendo adoptado por cada vez más empresas.

Con el lanzamiento de RHEL 8.3, la conocida distribución corporativa puso a disposición características para simplificar la creación de imágenes y reducir el tamaño de las actualizaciones y el tiempo de inactividad innecesario. Aquí Red Hat Enterprise Linux 8.4 ha ido más allá al haber actualizado las herramientas de generación de imágenes para simplificar la creación de medios de instalación personalizados de RHEL con Image Builder. La actualización automática de Podman es otra característica que resulta ideal para la implementación en entornos de edge computing.



Red Hat intenta que sus clientes pierdan la menor cantidad de tiempo posible, por eso RHEL 8.4 ha mejorado la experiencia con la gestión de las suscripciones con el fin de hacer perder menos tiempo a la hora de lidiar con dicha característica. "RHEL ya no requiere la asignación de suscripciones y ofrece servicios optimizados como imágenes personalizables y administración de suscripciones sin pasos adicionales. RHEL también incluye una visibilidad mejorada de la implementación de suscripciones en los estados de la nube híbrida".

Otro aspecto interesante de Red Hat Enterprise Linux 8.4 es la inclusión en fase previa de 'rhc', una utilidad que simplifica el registro del host, su gestión y que permite con un solo comando registrar un host en Red Hat Subscription Management y Red Hat Insights. En caso de estar suscrito a Red Hat Smart Management, los administradores pueden usar 'rhc' para remediar los riesgos detectados por Insights con tan solo presionar un botón y sin una infraestructura local que administrar.

Como resulta obvio viendo los sectores a los que se dirige, el rendimiento es un aspecto a cuidar por parte de los responsables de RHEL. La versión 8.4 ha incluido mejoras en este sentido junto a una nueva interfaz visual en formato web que permite a los administradores ver en vivo y el histórico de las métricas del rendimiento del procesador, la memoria, la red y el almacenamiento, todo con la intención de facilitar la detección de problemas y la saturación de los recursos.

Siguiendo con temas de rendimiento, Performance Co-Pilot (PCP) permite monitorizar y administrar los datos de rendimiento casi en tiempo real, además de encargarse de registrar los datos para compararlos con los resultados en vivo e identificar patrones potenciales. A partir de ahí los administradores pueden visualizar los datos usando los paneles de Grafana, configurar reglas y recibir alertas al superar ciertos umbrales.

Red Hat Enterprise Linux 8.4 ofrece mediante flujos de actualizaciones (Application Streams) versiones más recientes de sistemas gestores de bases de datos, entre los que se encuentra PostgreSQL 13, Redis 6 y MariaDB 10.5, junto a versiones más recientes de lenguajes de programación como Go 1.15, Rust 1.49 y Python 3.9. También merece la pena mencionar que la colección de roles de sistema de RHEL está ahora disponible en el centro de automatización de Ansible para mejorar la accesibilidad y la facilidad de uso.

RHEL 8.4 estará disponible en las próximas semanas y su anuncio llega el mismo día que la publicación de Fedora 34, la última versión de la distribución comunitaria de Red Hat que se encarga de poner los cimientos del futuro tecnológico de Linux.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Imagino muchos recordaran un videojuego que fue todo un éxito sí damas y caballeros es Battle City / Tank 1990. Muchos quedran menospreciarlo en pro de gráficos por ser un título 2D con Word of Tanks, War Thunder y muchos otros de la actualidad, tenía un editor de pantallas en el que podríamos crear nuestros propios mapas, así como muchas cosillas más.

Ah pero para muchos esos momentos en los que jugábamos con ese juego tan "sencillo" traerá una sonrisa y hará latir nuestro corazón rápidamente al recordar esos buenos momentos en los que todos de una u otra manera tuvimos la curiosidad en disparar a lo que protegía nuestro águila y terminamos auto eliminándonos.

Resulta que ahora ya la podemos jugar en nuestra distro, sin necesidad de emulador pues tenemos un código abierto llamado Tanks, esctito en C++ usando biblioteca gráfica SLD2, bueno sin más perambulo a lo que venimos...sí a instalar  Battle City en nuestra distro.

Instalando

Podemos usar estos comandos en Debian/Ubuntu y derivados:

01 | sudo apt install build-essential libsdl2-dev libsdl2-ttf-dev libsdl2-image-dev
02 |
03 | #Descargar Tanks-master.zip desde el enlace que dejo al final del artículo
04 |
05 | #Extraer el directorio dentro del zip
06 |
07 | cd Tanks-master
08 |
09 | make clean all
10 |
11 | cd build/bin && ./Tanks

Controles del juego

- Seleccionamos 1 o 2 jugadores con las flechas del teclado e inicia la partida.
- flechas para mover el tanque del jugador 1
- teclas WSAD para el jugador 2
- INTRO pausa el juego
- Ctrl izquierdo y derecho para disparar.

Más info en: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Espero que se animen a instalarlo y pasar un buen momento 

¡Saludos!