Apple lanzó en el día de ayer nuevas versiones de software para casi todos sus dispositivos. Destacan iOS 14.4.1 y iPadOS 14.4.1, aunque también se lanzaron watchOS 7.3.2 y macOS 11.2.3. A continuación analizamos las novedades que traen estas nuevas versiones de los sistemas operativos, así como la importancia que tiene instalarlas en los respectivos equipos compatibles.

Novedades incluidas en estas versiones

Hubo cierta sorpresa cuando de repente se conoció la noticia de que Apple había lanzado nuevas versiones de software para todos sus dispositivos a excepción de los Apple TV. Todos esperabamos ver a lo sumo una nueva beta de las siguientes grandes versiones (iOS 14.5, macOS 11.3, etc.). Estas versiones se lanzaron si más propósitos que implementar medidas de seguridad importantes que garantizan la seguridad de los dispositivos frente a posible malware, así como corrección de errores que todavía no han sido detallados por Apple. Más allá de eso no se ha encontrado ninguna novedad funcional o visual.


Es importante actualizar los dispositivos

Tener que ponerse a instalar actualizaciones que además son tan descafeinadas puede resultar algo tedioso para los usuarios, ya que al final requiere de estar unos minutos sin sus dispositivos en lo que se instalan. Sin embargo estas versiones no pesan demasiado y el proceso es bastante rápido. Es entendible que no haya las mismas ganas que cuando se lanzan novedades muy llamativas, pero no por ello deja de ser menos importante. Si quieres estar seguro de que tus dispositivos pueden hacer frente al malware y ser completamente seguros, es importante actualizarlos. De hecho estas mejoras se añaden siempre aunque Apple no las especifique.

Recuerda que si quieres actualizar un iPhone o iPad deberás ir a Ajustes > General > Actualización de software. Para los Apple Watch podrás seguir también esta ruta o hacerlo desde el iPhone en la app Watch, para posteriormente situarte en la pestaña Mi Reloj e ir a General > Actualización de software. En el caso de los Macdeberás ir a Preferencias del Sistema > Actualizaciones de software.

¿Cuándo llegan iOS 14.5 y resto de versiones?

Entre las grandes novedades de iOS 14.5, iPadOS 14.5, watchOS 7.4 y macOS 11.3 se encuentra la compatibilidad con mandos de nuevas generaciones de videoconsolas, rediseño de la interfaz de algunas apps nativas o la esperada funcionalidad de desbloqueo del iPhone con mascarilla gracias al Apple Watch.

Sin embargo parece que habrá que esperar para que se lancen definitivamente estas versiones al público, ya que de momento van por sus respectivas terceras versiones beta para los desarrolladores. Se espera que puedan ser lanzadas dentro de 2 o 3 semanas, coincidiendo probablemente con el lanzamiento de nuevos productos como el iPad Pro de 2021 e incluso puede que los esperados AirTags. No se sabe si Apple celebrará o no un evento virtual para la presentación de su nuevo hardware o si lo hará mediante nota de prensa, pero a buen seguro que estas actualizaciones acabarán llegando casi a la par que ese suceso. Recomendamos que estés atento a este medio y a nuestras redes sociales con el objetivo de enterarte cuando se produzcan estos lanzamientos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace unos meses apareció una vulnerabilidad que afectaba al servidor DNS de Windows SIGRed. Un fallo muy antiguo que afecta a todas las versiones de Windows Server 2003 a 2019. Además, hay que tener en cuenta que recibió la calificación de gravedad máxima de 10 sobre 10. Ahora han creado una prueba de concepto que han hecho pública y que permite explotar esta vulnerabilidad crítica de ejecución de código remoto.

Prueba de concepto contra un fallo en el servidor DNS de Windows SIGRed

Hay que tener en cuenta que esta vulnerabilidad, registrada como CVE-2020-1350, ya fue parcheada por Microsoft. Además dieron una solución alternativa basada en el registro para ayudar a proteger los servidores Windows afectados por este fallo. Sin embargo, como suele ocurrir en muchas vulnerabilidades similares, son muchos los equipos que siguen sin estar actualizados correctamente.

Para que nos pongamos en situación, la vulnerabilidad que afecta al servidor DNS de Windows SIGRed se sitúa en la misma categoría que el error BlueKeep o EternalBlue, que afectaban a RDP y SMB, respectivamente.

Ahora, la investigadora de seguridad informática Valentina Palmiotti, de Grapl, ha compartido la prueba de concepto y también un artículo con todos los detalles sobre los métodos utilizados por el exploit. Según indica, si se explota adecuadamente, los atacantes pueden ejecutar código de forma remota en el sistema vulnerable y obtener derechos de administrador de dominio, comprometiendo efectivamente toda la infraestructura corporativa.

Este exploit lo han probado con éxito en versiones de 64 bits sin parches de Windows Server 2019, 2016, 2012R2 y 2012. Han mostrado un vídeo que podemos ver en YouTube con la demostración de cómo funciona.

Solucionar esta vulnerabilidad es muy importante

Como ocurre con cualquier vulnerabilidad de seguridad similar, resolver este problema es muy importante. Dos días después de que Microsoft solucionó el error, CISA ordenó a las agencias federales que solucionaran el fallo de SIGRed en un plazo de 24 horas. También la NSA emitió un aviso instando a los administradores a aplicar el parche CVE-2020-1350 a todos los servidores Windows de inmediato.

Desde RedesZone siempre recomendamos mantener los equipos actualizados. Son muchas las vulnerabilidades que pueden surgir y que comprometen la seguridad de los sistemas. Estos fallos pueden ser explotados por terceros para robar información o permitir la entrada de malware.

El problema es que muchos equipos siguen sin corregir el problema. Es algo que ocurre con muchas vulnerabilidades que aparecen en nuestros equipos y que pueden ser la entrada de amenazas importantes. De ahí que siempre debamos tener todos los parches y actualizaciones instalados, sin importar el tipo de sistema operativo o dispositivo que estemos utilizando.

En este caso se trata de un exploit que han creado para el fallo en el servidor DNS de Windows SIGRed, por lo que afecta a Windows Server. Concretamente puede poner en riesgo todas las versiones desde 2003 hasta 2019. Esto hace que todos los usuarios que cuenten con cualquiera de las versiones comprendidas en esa fecha deban implantar de inmediato los parches de seguridad y corregir el problema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google Chrome es el navegador más utilizado hoy en día y constantemente buscan la manera de mejorar aspectos tan importantes como la seguridad y privacidad. Siempre que surge algún problema intentan encontrar una solución para que no afecte a los usuarios o al menos disminuir la probabilidad. En este artículo nos hacemos eco de cómo el navegador de Google va a bloquear otro puerto más, el TCP 554, para evitar ataques NAT Slipstreaming.

Chrome bloqueará el puerto TCP 554

No es la primera vez que vemos que Google Chrome bloquea puertos con este fin. Ya anteriormente hemos visto que para mejorar la seguridad ha tomado este tipo de medidas. En este caso se trata del puerto TCP 554 y tiene como misión evitar ataques NAT Slipstreaming que puedan comprometer la seguridad de los usuarios.

Hay que tener en cuenta que los piratas informáticos utilizan las vulnerabilidades y fallos que se encuentran para lograr su objetivo. Los ataques NAT Slipstreaming 2.0 son un ejemplo más. Ahora, para evitar reducir el impacto, corregir esa vulnerabilidad, Chrome va a cerrar un nuevo puerto más.

Esta nueva versión de la vulnerabilidad NAT Slipstreaming permitiría que posibles scripts maliciosos eviten el firewall NAT cuando un visitante entra en una página web y acceder así a cualquier puerto TCP/UDP en la red interna del visitante.

Sin embargo esta vulnerabilidad únicamente funciona en puertos específicos que están monitoreados por la puerta de enlace a nivel de aplicación de un router. Esto hace que los navegadores, como es el caso de Google Chrome, hayan bloqueado determinados puertos vulnerables que no reciben mucho tráfico.

Como hemos mencionado, anteriormente Chrome ya ha bloqueado algunos puertos, como por ejemplo TCP 5060 y 5061. Más recientemente, el pasado mes de enero, decidió bloquear otros siete puertos más. Ahora llega el turno del puerto TCP 554.

Bloquear puertos puede ser un problema para los visitantes

Debemos tener en cuenta que el hecho de bloquear puertos por parte de los navegadores podría también afectar a los usuarios. A fin de cuentas a la hora de entrar en un sitio web que utilice ese puerto podría haber un bloqueo y la imposibilidad de navegar con normalidad.

Si un usuario intenta entrar en un sitio web que utiliza un puerto bloqueado le aparecería el mensaje ERR_UNSAFE_PORT. Por tanto, aquellos responsables de páginas web que alojen su sitio en alguno de estos puertos bloqueados deberían de cambiarlo a un puerto diferente y así permitir a los visitantes que puedan navegar con normalidad.

Por otra parte, los desarrolladores de Google y Safari también están planteando el bloqueo del acceso al puerto 10080, que Firefox ya bloquea, pero dudan debido a las solicitudes legítimas del navegador web a ese puerto. Por tanto, es probable que el puerto TCP 554 no sea el último en ser bloqueado en Chrome y próximamente tengamos al menos otro puerto más.

Mantener la seguridad al navegar es algo fundamental. Es algo que depende tanto del propio navegador como del usuario, de las medidas que tome a la hora de entrar en Internet, como por ejemplo usar antivirus o mantener los equipos actualizados. Habilitar los DNS en Chrome, por ejemplo, ayuda a navegar más seguros.

En definitiva, Google Chrome ha decidido bloquear el puerto TCP 554. Posiblemente no sea el último, ya que en poco tiempo podrían bloquear al menos otro más. Como siempre, el objetivo es mejorar la seguridad y hacer que la navegación sea más fiable.

Fuente: Bleeping Computer

Tu ordenador no es perfecto. Cada uno de nuestros dispositivos procesa millones de unos y ceros cada segundo, pero hay momentos en los que uno de esos «bits» puede cambiarse, y pasar de ser un 0 a un 1, o de un 1 a un 0. Esto ocurre con más frecuencia de la que parece, y puede dar lugar a que un hacker robe información de tu ordenador.

Este problema es conocido como «bit flipping«, y suele ocurrir debido a factores como erupciones solares, rayos cósmicos, o simplemente un fallo de hardware. En el espacio esto es bastante frecuencia, ya que el equipamiento, por mucho que se proteja, está expuesto a mayor radiación. Para evitar estos fallos se utiliza un sistema llamado Triple Modular Redundancy, que produce tres copias idénticas de cada bit de información almacenado en la memoria cache L1 y L2 del procesador. Así, si se pierde algún bit, se podrá cotejar con los otros dos bits para determinar si la información es o no correcta.
Bitsquatting: registrar dominios para aprovechar estos fallos

En la Tierra esto no es tan problemático como en el espacio, de ahí que los procesadores no cuenten con esa capacidad. Los ordenadores personales tampoco usan memoria RAM ECC, que corrige los errores en tiempo real, ya que esta memoria sólo se suele usar en servidores.

Por ello, un investigador decidió probar a hacer «bitsquatting«, que consiste en comprar dominios similares al que se quiere replicar. En este caso, centró su atención en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y compró dominios como You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, o You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. En el primer caso, la «i» en binario es 01101001, y la h es 01101000, cambiando sólo un dígito del final y dando lugar a un nuevo dominio.

En total, creó una lista de 32 dominios posibles con sólo un cambio de bit. De ellos, 14 no estaban registrados por nadie, y se gastó 126 dólares en comprarlos. El listado es el siguiente:

    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
    You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En todos los dominios configuró un sumidero de DNS para analizar el tráfico recibido, y se dio cuenta de que había mucho tráfico «real» del dominio principal de Windows. Del que más capturó fue tráfico UDP del servidor de la hora de Microsoft, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. También recibió solicitudes de tráfico TCP que tenía que llegar a Windows Push Notification Services (WNS) o a SkyDrive (antiguo OneDrive). Aunque gran parte del tráfico venía realmente de bits alterados por hardware, también había mucho tráfico de usuarios que se equivocaban al entrar al dominio.

Apple tiene todos los dominios registrados; Microsoft, no

El investigador, llamado Remy, afirma que intentó hacer lo mismo con el dominio de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, pero descubrió que todos los dominios alterables estaban registrados, ya fuera o no por Apple. En el caso de Microsoft, la compañía ha demostrado ser bastante descuidada en cuanto a dominios que tienen su nombre, dejando algunos incluso abiertos al público a pesar de que hay elementos en sus sistemas operativos que redirigen a ellos.

Comprar los dominios es la mejor solución para evitar estos ataques. A nivel de dispositivos, lo ideal sería que toda la memoria que integra el procesador, la gráfica o los módulo RAM contasen con ECC. Esto último será así a partir de DDR5, que por fin incluirá ECC por defecto, dejando de ser algo exclusivo de la memoria para servidores.

Fuente: Bleeping Computer

La lucha contra el IPTV pirata se ha intensificado en los últimos años, pero hay fuerzas y cuerpos de seguridad del Estado que llevan luchando contra ella más de una década. Reino Unido tenía varias unidades relacionadas con el crimen online, y esta semana ha anunciado que han unido fuerzas para formar un grupo con aún más poder operativo.

La Policía de la Ciudad de Londres, el cuerpo principal en la lucha contra el fraude, se ha asociado con la Oficina de Propiedad Intelectual y la Unidad de Delincuencia Organizada Regional del Noroeste para crear la Unidad de Delitos de Propiedad Intelectual de la Policía del Noroeste (NWPIPCU). En total, hay seis fuerzas que la forman: Lancashire Police, Greater Manchester Police, Merseyside Police, Cheshire Police, Cumbria Police y North Wales Police, y no paran de realizar nuevos arrestos.
Dos arrestos contra un servicio de IPTV pirata

Así lo anunciaron en el día de ayer, donde la NWPIPCU ejecutó cinco redadas relacionadas con el IPTV pirata, y que acabaron con el arresto de dos personas y la aprehensión de dispositivos electrónicos, dinero en efecto, y productos falsificados, incluyendo receptores de IPTV. Por desgracia, no han dado más detalles sobre el nombre del servicio o la cantidad de usuarios que lo utilizaban.

Según afirman las autoridades, los crímenes contra la propiedad intelectual le cuestan a la economía cientos de millones de euros al año, y amenazan miles de trabajos. De todas sus investigaciones, afirman que el daño realizado por la piratería de esos servicios asciende a 2,66 millones de euros.

Habrá más operaciones próximamente

La operación llevada a cabo en el día de ayer no es ni mucho menos el final. De hecho, el superintendente Paul Denn afirma que tienen en proceso «más operaciones contra el IPTV pirata» que demostrarán cuál es el alcance real de este tipo de servicios pirata de IPTV que cada vez utilizan más usuarios. Las autoridades afirman estar al tanto de la actividad que llevan quienes ofrecen estos servicios.

El IPTV pirata de pago se ha convertido en una alternativa cada vez más usada para ver eventos deportivos en directo, ya que ofrecen buena calidad de imagen y miles de canales de todo el mundo, adaptándose a lo que demandan los usuarios. El problema es que quienes ofrecen ese contenido se exponen a multas que pueden llegar a ser millonarias, además de penas de cárcel.

Además, los usuarios se exponen a perder por completo el dinero invertido en estos servicios, ya que, si por ejemplo pagan un año de suscripción, y a los dos meses cierra, se pierde todo el dinero y no hay forma de reclamarlo. A eso se le suma el riesgo de que nuestros datos, como nuestra dirección IP, acabe en manos de las autoridades tras las redadas y puedan llevarnos a juicio.

Fuente: TorrentFreak

Microsoft ha lanzado parches de emergencia para abordar cuatro fallas de seguridad no reveladas anteriormente en Exchange Server que, según dice, están siendo explotadas activamente por un nuevo actor de amenazas patrocinado por el estado chino con el objetivo de perpetrar el robo de datos.

Al describir los ataques como "limitados y dirigidos", el Centro de inteligencia de amenazas de Microsoft (MSTIC) dijo que el adversario usó estas vulnerabilidades para acceder a los servidores de Exchange locales, lo que a su vez otorgó acceso a cuentas de correo electrónico y allanó el camino para la instalación de malware adicional para facilitar acceso a largo plazo a los entornos de las víctimas.

El gigante tecnológico atribuyó principalmente la campaña con gran confianza a un actor de amenazas al que llama HAFNIUM, un colectivo de piratas informáticos patrocinado por el estado que opera desde China, aunque sospecha que otros grupos también pueden estar involucrados.

Al discutir las tácticas, técnicas y procedimientos (TTP) del grupo por primera vez, Microsoft describe a HAFNIUM como un "actor altamente calificado y sofisticado" que destaca principalmente a entidades en los EE. UU. Por filtrar información confidencial de una variedad de sectores de la industria. incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG.

Se cree que HAFNIUM organiza sus ataques aprovechando servidores privados virtuales alquilados en los EE. UU. En un intento de encubrir su actividad maliciosa.

El ataque de tres etapas implica obtener acceso a un servidor Exchange, ya sea con contraseñas robadas o mediante el uso de vulnerabilidades no descubiertas previamente, seguido de la implementación de un shell web para controlar el servidor comprometido de forma remota. El último eslabón de la cadena de ataque utiliza el acceso remoto para saquear los buzones de correo de la red de una organización y exportar los datos recopilados a sitios para compartir archivos como MEGA.

Para lograr esto, se utilizan hasta cuatro vulnerabilidades de día cero descubiertas por investigadores de Volexity y Dubex como parte de la cadena de ataque:

CVE-2021-26855 : una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en Exchange Server
CVE-2021-26857 : una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada
CVE-2021-26858 : una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange, y
CVE-2021-27065 : una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación en Exchange
Aunque las vulnerabilidades afectan a Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019, Microsoft dijo que está actualizando Exchange Server 2010 con fines de "Defensa en profundidad".


Además, dado que el ataque inicial requiere una conexión no confiable al puerto 443 del servidor Exchange, la compañía señala que las organizaciones pueden mitigar el problema restringiendo las conexiones no confiables o usando una VPN para separar el servidor Exchange del acceso externo.

Microsoft, además de enfatizar que los exploits no estaban relacionados con las infracciones relacionadas con SolarWinds, dijo que ha informado a las agencias gubernamentales apropiadas de EE. UU. Sobre la nueva ola de ataques. Pero la compañía no dio más detalles sobre cuántas organizaciones fueron atacadas y si los ataques tuvieron éxito.

Al afirmar que las campañas de intrusión parecían haber comenzado alrededor del 6 de enero de 2021, Volexity advirtió que ha detectado una explotación activa en estado salvaje de múltiples vulnerabilidades de Microsoft Exchange utilizadas para robar correo electrónico y comprometer redes.

"Mientras que los atacantes parecen haber volado inicialmente en gran parte bajo el radar simplemente el robo de correos electrónicos, que recientemente giran a lanzar exploits para hacerse un hueco", Volexity investigadores Josh Grünzweig, Matthew Meltzer, Sean Koessel, Steven Adair, y Thomas Lancaster explicaron en una redacción.

"Desde la perspectiva de Volexity, esta explotación parece involucrar a múltiples operadores que utilizan una amplia variedad de herramientas y métodos para descargar credenciales, moverse lateralmente y otros sistemas de puerta trasera".

Además de los parches, el analista senior de inteligencia de amenazas de Microsoft Kevin Beaumont también ha creado un complemento nmap que se puede usar para escanear una red en busca de servidores de Microsoft Exchange potencialmente vulnerables.


"Aunque hemos trabajado rápidamente para implementar una actualización para las vulnerabilidades de Hafnium, sabemos que muchos actores estatales y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parche", dijo el vicepresidente corporativo de seguridad del cliente de Microsoft, Tom Burt. , dijo . "La aplicación inmediata de los parches actuales es la mejor protección contra este ataque.

Dada la gravedad de las fallas, no es de extrañar que los parches se hayan implementado una semana antes de la programación del martes de parches de la compañía, que generalmente se reserva para el segundo martes de cada mes. Se recomienda a los clientes que utilicen una versión vulnerable de Exchange Server que instalen las actualizaciones de inmediato para frustrar estos ataques.

Vía: The  Hacker News

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Soy Yo o windows cada vez se parece mas a linux?

En efecto cada vez se parece más a lo que un día repudió así como también en algún momento Brad Smith uno de los máximos directivos de Microsoft dijo que su empresa "estaba del lado equivocado de la historia", en el caso de Windows 10 es el más linuxero debido a que tiene una fuerte inspiración en Linux.

Cabe resaltar por ejemplo Windows Terminal 1,0 que es mucho más atractivo para los desarrolladores pues son el objetivo de la consola extendida pues tiene la misma interfaz, capacidades de Power Shell, una consola DOS (CMD) y de todas las consolas disponibles  desde ubuntu hasta kali soporte para pestañas y paneles que se valen de la GPU para renderización de texto entre otras opciones de personalización, power toys y más detalles que sí hacen sentir el ambiente fabuloso de linux cada vez más y más cerca lo que hasta cierto punto muy a mí criterio  sabiéndolo bien manejar y moldear podría por así decirlo ser el paso a que muchos empiecen a experimentar, perder el miedo y así dar el salto al poderoso mundo de linux.

Saludos.

Los investigadores han descubierto lagunas en el proceso de investigación de habilidades de Amazon para el ecosistema del asistente de voz de Alexa que podrían permitir que un actor malintencionado publique una habilidad engañosa bajo cualquier nombre de desarrollador arbitrario e incluso realice cambios en el código de backend después de la aprobación para engañar a los usuarios para que proporcionen información confidencial.

Los hallazgos fueron presentados el miércoles en la conferencia Network and Distributed System Security Symposium (NDSS) por un grupo de académicos de la Ruhr-Universität Bochum y la Universidad Estatal de Carolina del Norte, quienes analizaron 90194 habilidades disponibles en siete países, incluidos los EE. UU. Y el Reino Unido. , Australia, Canadá, Alemania, Japón y Francia.

Amazon Alexa permite a los desarrolladores externos crear funcionalidades adicionales para dispositivos como los altavoces inteligentes Echo mediante la configuración de "habilidades" que se ejecutan en la parte superior del asistente de voz, lo que facilita a los usuarios iniciar una conversación con la habilidad y completar una tarea específica. .

El principal de los hallazgos es la preocupación de que un usuario pueda activar una habilidad incorrecta, lo que puede tener graves consecuencias si la habilidad que se activa está diseñada con una intención insidiosa.

El problema surge del hecho de que varias habilidades pueden tener la misma frase de invocación.

De hecho, la práctica es tan frecuente que la investigación detectó 9,948 habilidades que comparten el mismo nombre de invocación con al menos otra habilidad solo en la tienda de EE. UU. En las siete tiendas de habilidades, solo 36,055 habilidades tenían un nombre de invocación único.


Dado que los criterios reales que utiliza Amazon para habilitar automáticamente una habilidad específica entre varias habilidades con los mismos nombres de invocación siguen siendo desconocidos, los investigadores advirtieron que es posible activar la habilidad incorrecta y que un adversario puede salirse con la suya con las habilidades de publicación utilizando una empresa conocida. nombres.

"Esto sucede principalmente porque Amazon actualmente no emplea ningún enfoque automatizado para detectar infracciones por el uso de marcas comerciales de terceros, y depende de la investigación manual para detectar esos intentos malévolos que son propensos a errores humanos", explicaron los investigadores . "Como resultado, los usuarios pueden quedar expuestos a ataques de phishing lanzados por un atacante".

Peor aún, un atacante puede realizar cambios de código después de la aprobación de una habilidad para persuadir a un usuario de que revele información confidencial como números de teléfono y direcciones activando una intención inactiva.

En cierto modo, esto es análogo a una técnica llamada control de versiones que se utiliza para eludir las defensas de verificación. El control de versiones se refiere a enviar una versión benigna de una aplicación a la tienda de aplicaciones de Android o iOS para generar confianza entre los usuarios, solo para reemplazar el código base con el tiempo con funciones maliciosas adicionales a través de actualizaciones en una fecha posterior.

Para probar esto, los investigadores desarrollaron una habilidad de planificador de viajes que permite al usuario crear un itinerario de viaje que luego se modificó después de la verificación inicial para "preguntar al usuario su número de teléfono para que la habilidad pueda enviar un mensaje de texto (SMS) directamente al itinerario de viaje ", engañando así al individuo para que revele su (o ella) información personal.


Además, el estudio descubrió que el modelo de permiso que utiliza Amazon para proteger los datos confidenciales de Alexa puede eludirse. Esto significa que un atacante puede solicitar directamente datos (por ejemplo, números de teléfono, detalles de Amazon Pay, etc.) del usuario que fueron diseñados originalmente para estar acordonados por API de permiso.

La idea es que, si bien las habilidades que solicitan datos confidenciales deben invocar las API de permiso, no impide que un desarrollador deshonesto solicite esa información directamente al usuario.

Los investigadores dijeron que identificaron 358 de tales habilidades capaces de solicitar información que idealmente debería estar asegurada por la API.


Por último, en un análisis de las políticas de privacidad en diferentes categorías, se encontró que solo el 24,2% de todas las habilidades proporcionan un enlace a la política de privacidad, y que alrededor del 23,3% de dichas habilidades no revelan completamente los tipos de datos asociados con los permisos solicitados.

Al señalar que Amazon no exige una política de privacidad para las habilidades dirigidas a niños menores de 13 años, el estudio planteó preocupaciones sobre la falta de políticas de privacidad ampliamente disponibles en las categorías "niños" y "salud y estado físico".

"Como defensores de la privacidad, creemos que las habilidades relacionadas con 'niños' y 'salud' deben cumplir con estándares más altos con respecto a la privacidad de los datos", dijeron los investigadores, al tiempo que instaron a Amazon a validar a los desarrolladores y realizar comprobaciones recurrentes de backend para mitigar dichos riesgos.

"Si bien estas aplicaciones facilitan la interacción de los usuarios con dispositivos inteligentes y refuerzan una serie de servicios adicionales, también plantean problemas de seguridad y privacidad debido al entorno personal en el que operan", agregaron.

Vía: The Hacker News

Un malware llamado Silver Sparrow ha infectado casi 30.000 equipos Mac de Apple con macOS, afectando incluso a equipos con el nuevo chip M1 de Apple silicon. El dato ha sido descubierto por los investigadores de seguridad de Red Canary, que han trabajado posteriormente en analizar el problema con otros de Malwarebytes y VMWare Carbon Black.

La incidencia de esos 29.139 casos está muy repartida, pues Silver Sparrow afectaba a equipos de 153 países hasta el pasado 17 de febrero. La actividad más intensa del malware se ha ubicado en Estados Unidos, Reino Unido, Canadá, Francia y Alemania, según la investigación. No es casualidad que en varios de estos países la cuota de mercado de equipos de Apple sea más alta que la media.

No está clara la causa de la infección


Los investigadores han estado monitorizando el efecto del malware, sin llegar a ver sus efectos últimos mientras lo analizaban. Es decir, han podido acceder a equipos infectados, pero el malware solamente esperaba a recibir órdenes externas en forma de comandos, que nunca llegaron durante el proceso en que han atendido a su incidencia.

Aun así, Red Canary advierte de que eso no quiere decir que Silver Sparrow no suponga una amenaza ante su falta de actividad observada, pues esto podría tratarse incluso de un mecanismo ejecutado ante la detección de herramientas de detección de investigadores. El mayor problema, ahora mismo, más allá de desconocer su posible manifestación futura, es que tampoco se sabe cómo Silver Sparrow está infectando tantos equipos.

En la investigación se menciona que el malware podría llegar con aplicaciones crackeadas, en publicidad maliciosa o en actualizadores de Flash falsos, que incluso tras el adiós de Flash sigue siendo una de las vías de "contagio" más activas en macOS. Como siempre, muchas de estas instalaciones se producen tras sobrepasar la seguridad de Gatekeeper en 'Preferencias del sistema'.

Vía: ZDNet

Esta función puede llagar a ser muy útil si estamos trabajando en varias cosas diferentes y no tenemos un monitor extra muchos se encuentran trabajando desde casa por causa de la pandemia del coronavirus muchos haciendo malabares con diferentes proyectos en la misma computadora.

Si nos situamos en el panel Vista de tareas en Windows 10 nos permitirá agregar una cantidad ilimitada de escritorios virtuales de forma rápida y sencilla. Podemos administrar la vista de nuestro escritorio virtual y mover nuestras aplicaciones a diferentes escritorios, mostrar ventanas en todos los escritorios así como cerrar páginas en un escritorio seleccionado, entonces manos a la obra:

1. Agregando un escritorio en Windows 10

- abrimos el panel Vista de tareas haciendo clic en el botón Vista de tareas (dos rectángulos superpuestos) en la barra de tareas, o
   presionando la tecla Windows + Tab .
- en el panel Vista de tareas, hacemos clic en Nuevo escritorio para agregar un escritorio virtual.
-  si ya tenemos dos o más escritorios abiertos, el botón "Agregar un escritorio" aparecerá como un mosaico gris con un símbolo más.
- también podemos agregar rápidamente un escritorio sin necesidad de entrar en el panel de vista de tareas utilizando el atajo de teclado
   la tecla de Windows + Ctrl + D .

2. Desplazándonos e intercambiando entre escritorios

- para cambiar entre escritorios virtuales, abrimos el panel Vista de tareas
- hacemos clic en el escritorio al que deseamos cambiar
- otra opción para cambiar rápidamente de escritorio sin entrar en el panel Vista de tareas es utilizando los atajos de teclado:
      Tecla de Windows + Ctrl + Flecha izquierda y Tecla de Windows + Ctrl + Flecha derecha .
- podemos agregar una cantidad ilimitada de escritorios virtuales yo he trabajado hasta con 12 escritorios por pura curiosidad  y deja agregar más.

3. Moviendo nuestras ventanas entre escritorios

- para mover una ventana de un escritorio a otro, primero debemos abrir el panel Vista de tareas y luego posicionamos el cursor sobre el
   escritorio que contiene la ventana que necesitamos mover.
- aparecerán las ventanas de ese escritorio
- buscamos la ventana que deseamos mover
- hacemos clic con el botón derecho en ella, vamos a Mover
- elegimos el escritorio al que deseamos mover la ventana
- también podemos arrastrar y soltar ventanas: tomamos la ventana que deseamos mover y la arrastraremos al escritorio deseado.

4. Cerrando un escritorio

- abrimos el panel Vista de tareas y colocamos el cursor sobre el escritorio que deseamos cerrar hasta que aparezca una pequeña X en la
  esquina superior derecha.
- hacemos clic en la X para cerrar el escritorio.
- podemos cerrar también los escritorios sin entrar en el panel Vista de tareas utilizando el atajo de teclado Tecla de Windows + Ctrl + F4
   (esto cerrará el escritorio en el que se encuentra actualmente).

Bueno pues eso es todo espero a alguien le sea de utilidad.

¡Saludos!

Google acaba de publicar las primeras imágenes que permitirán a desarrolladores (y curiosos) comenzar a probar Android 12, la nueva versión de su plataforma móvil. Como era de esperar, los usuarios de los Pixel serán los que podrán instalar estas imágenes, que estarán disponibles para dispositivos a partir del Pixel 3.

Aún es pronto para saber cuáles son los grandes cambios que plantea la nueva versión, pero sí se conocen algunos de las novedades que afectan al soporte de nuevos formatos de vídeo e imagen, a novedades en notificaciones y a mejoras en el apartado de la privacidad. Otro dato curioso: también hay publicada una versión preliminar de Android TV 12.

Cuidado JPG, llega AVIF

Entre los cambios iniciales estará el soporte de nuevos formatos de imagen y vídeo de forma más notable. Así, una nueva capa de transcodificación permitirá que el formato de vídeo HEVC esté soportado en aplicaciones que no soporten esos vídeos de forma nativa.

En Android 12 también existe soporte para audio espacial, para el códec MPEG-H y para hasta 24 canales de audio en lugar de los ocho de las versiones de Android actuales.

El formato de imagen AV1, también conocido como AVIF, es otro de los frentes en los que Google parece querer trabajar con esta versión de su plataforma móvil. Este formato parece cobrar especial protagonismo para Google, que plantea con ese impulso convertirlo en el formato estándar de facto frente a JPG.


Teóricamente en AVIF se ofrece mejor compresión y menores pérdidas y defectos en la imagen tras esa compresión. De momento, eso sí, no será el formato nativo al tomar fotos en la aplicación de cámara de sus Pixel.

Hay también mejor soporte para la llamada "inserción de contenidos enriquecidos", lo que permitirá cortar, pegar y arrastrar múltiples tipos de contenido, desde texto plano o enriquecido a markup, imágenes, vídeos o ficheros de audio.
Notificaciones, privacidad... ¡y Android TV 12!

Nuestros compañeros de Xataka Android ya dieron algunas pistas sobre las novedades de diseño y funciones que están por llegar en Android 12, y aunque aún es pronto para confirmarlo, puede que las imágenes filtradas sobre cambios en la interfaz apunten efectivamente a la existencia de un tema personalizado llamado "Silky" con un aspecto interesante.


Google ya explicó que estaban trabajando en mejorar la interfaz de las notificaciones para hacerlas "más modernas, fáciles de usar y más funcionales". Los gestos también se verán algo modificados, y por ejemplo se espera que para salir de una aplicación que tenemos en pantalla completa solo haga falta un gesto de desplazamiento de la pantalla y no dos como hasta ahora.

Entre los cambios internos destacan los destinados a mejorar la privacidad: el motor WebView utilizado por aplicaciones de terceros hará uso de una nueva característica llamada "SameSite" para gestión de cookies que teóricamente aliviará parte del rastreo que sitios web y aplicaciones hacen durante esas sesiones.

En este anuncio hay también un apartado especial para Android TV 12, la nueva versión de su plataforma para Smart TVs y dispositivos que ofrezcan esa plataforma que hará uso de la interfaz ya conocida de los Chromecast con Google TV. De momento no está claro qué cambios adicionales aportará esta plataforma, pero que esa versión preliminar ya esté disponible tan pronto demuestra que este también es foco clave del futuro de la plataforma de Google.

Vía: Android 12 Developer Preview

Una vulnerabilidad de seguridad grave en un popular kit de desarrollo de software de videollamadas (SDK) podría haber permitido a un atacante espiar las llamadas de audio y vídeo privadas en curso.

Eso es según una nueva investigación publicada hoy por el equipo de McAfee Advanced Threat Research (ATR), que encontró la falla mencionada anteriormente en el SDK de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login utilizado por varias aplicaciones sociales como eHarmony, Plenty of Fish, MeetMe y Skout; aplicaciones sanitarias como Talkspace, Practo y Dr. First's Backline; y en la aplicación de Android que está emparejada con el robot personal "temi".

Agora, con sede en California, es una plataforma de transmisión interactiva de video, voz y en vivo que permite a los desarrolladores incorporar chat de voz y video, grabación en tiempo real, transmisión en vivo interactiva y mensajería en tiempo real en sus aplicaciones. Se estima que los SDK de la empresa están integrados en aplicaciones móviles, web y de escritorio en más de 1.700 millones de dispositivos en todo el mundo.

McAfee reveló la falla (CVE-2020-25605) a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login el 20 de abril de 2020, luego de lo cual la compañía lanzó un nuevo SDK el 17 de diciembre de 2020, para remediar la amenaza que representa la vulnerabilidad.

La debilidad de la seguridad, que es la consecuencia de un cifrado incompleto, podría haber sido aprovechada por los malos actores para lanzar ataques de intermediario e interceptar las comunicaciones entre dos partes.

Citar"La implementación del SDK de Agora no permitía que las aplicaciones configuraran de forma segura la configuración del cifrado de video / audio, lo que dejaba un potencial para que los piratas informáticos pudieran espiarlos", dijeron los investigadores.

Específicamente, la función responsable de conectar a un usuario final a una llamada pasó parámetros como el ID de la aplicación y el parámetro del token de autenticación en texto plano, lo que le permite a un atacante abusar de esta deficiencia para olfatear el tráfico de la red a fin de recopilar información de la llamada y posteriormente lanzar la suya propia. Aplicación de video Agora para marcar llamadas sin que los asistentes lo sepan de manera sigilosa.

Aunque no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, el desarrollo una vez más subraya la necesidad de proteger las aplicaciones para salvaguardar la privacidad del usuario.

"En el mundo de las citas en línea, una violación de la seguridad o la capacidad de espiar las llamadas podría conducir al chantaje o al acoso de un atacante", concluyeron los investigadores. "Otras aplicaciones de desarrollo de Agora con bases de clientes más pequeñas, como el robot temi, se utilizan en numerosas industrias, como hospitales, donde la capacidad de espiar conversaciones podría conducir a la filtración de información médica confidencial".

Se recomienda encarecidamente que los desarrolladores que utilizan Agora SDK se actualicen a la última versión para mitigar el riesgo.

Vía: The Hacker News

Un grupo de publicidad maliciosa conocido como "ScamClub" aprovechó una vulnerabilidad de día cero en los navegadores basados ​​en WebKit para inyectar cargas útiles maliciosas que redirigían a los usuarios a sitios web fraudulentos con estafas de tarjetas de regalo.

Los ataques, detectados por primera vez por la empresa de seguridad publicitaria Confiant a fines de junio de 2020, aprovecharon un error (CVE-2021–1801) que permitió a las partes maliciosas eludir la política de sandboxing de iframe en el motor del navegador que impulsa Safari y Google Chrome para iOS y ejecutar programas maliciosos. código.

Específicamente, la técnica explotó la forma en que WebKit maneja los detectores de eventos de JavaScript , lo que hace posible salir de la zona de pruebas asociada con el elemento de marco en línea de un anuncio a pesar de la presencia del atributo "allow-top-navigation-by-user-activación" que prohíbe explícitamente cualquier redirección a menos que el evento de clic ocurra dentro del iframe.

Para probar esta hipótesis, los investigadores se propusieron crear un archivo HTML simple que contenga un iframe de caja de arena de origen cruzado y un botón fuera de él que desencadenaba un evento para acceder al iframe y redirigir los clics a sitios web fraudulentos.

"Después de todo, el botón está fuera del marco de la caja de arena", dijo el investigador de Confiant Eliya Stein. "Sin embargo, si redirige, eso significa que tenemos un error de seguridad del navegador en nuestras manos, que resultó ser el caso cuando se probó en navegadores basados ​​en WebKit, es decir, Safari en el escritorio e iOS".


Tras la divulgación responsable a Apple el 23 de junio de 2020, el gigante tecnológico parcheó WebKit el 2 de diciembre de 2020 y, posteriormente, abordó el problema "con una aplicación mejorada de la caja de arena de iframe" como parte de las actualizaciones de seguridad publicadas a principios de este mes para iOS 14.4 y macOS Big Sur. .

Confiant dijo que los operadores de ScamClub han entregado más de 50 millones de impresiones maliciosas en los últimos 90 días, con hasta 16 millones de anuncios afectados que se publican en un solo día.

Citar"Por el lado de las tácticas, este atacante históricamente favorece lo que llamamos una estrategia de 'bombardeo'", explicó Stein.

"En lugar de intentar pasar desapercibidos, inundan el ecosistema de la tecnología publicitaria con toneladas de demanda horrenda, conscientes de que la mayoría será bloqueada por algún tipo de control de acceso, pero lo hacen en volúmenes increíblemente altos con la esperanza de que el un pequeño porcentaje que se deslice causará un daño significativo ".

Confiant también ha publicado una lista de sitios web utilizados por el grupo ScamClub para ejecutar su reciente campaña de estafa.

Vía: The Hacker News

Los servidores del intercambio de criptomonedas británico EXMO se desconectaron temporalmente después de ser blanco de un ataque distribuido de denegación de servicio (DDoS).

"Actualmente estamos experimentando un ataque DDoS en nuestra plataforma", el intercambio , dijo en una notificación publicada el día de hoy.

"Tenga en cuenta que el sitio web de intercambio EXMO está ahora bajo el ataque DDoS. Los servidores no están disponibles temporalmente".

En una alerta separada emitida a través de la cuenta oficial de Twitter de la compañía, EXMO dijo que está trabajando para abordar el problema.

Si bien no se publicó ninguna actualización desde que se anunció el ataque DDoS, los servidores y el sitio web de la plataforma ahora están nuevamente en línea.

EXMO se registró temporalmente en la Autoridad de Conducta Financiera del Reino Unido (FCA) como un negocio de criptoactivos hasta el 9 de julio de 2021, luego de una solicitud enviada en abril de 2020.


El intercambio de criptomonedas británico, que se describe a sí mismo como "uno de los intercambios de criptomonedas más grandes de Europa", reveló en diciembre de 2020 que atacantes desconocidos pudieron retirar aproximadamente el 5% de sus activos totales después de comprometer las billeteras calientes de EXMO.

A diferencia de las billeteras frías (también conocidas como billeteras fuera de línea o de hardware) que no tienen conexión a Internet, las billeteras calientes están conectadas a Internet y las bolsas las utilizan para almacenar temporalmente activos para transferencias y transacciones en curso.

"Nuestro equipo está desarrollando actualmente una nueva infraestructura para carteras activas. Dado que cada cadena de bloques necesita un servidor separado, el proceso llevará algún tiempo", agregó EXMO en una actualización posterior.

"Una vez que los depósitos y retiros estén disponibles, deberá generar una nueva dirección de billetera en la sección 'Monedero' de su cuenta.

"Nuestra investigación está en curso y estamos tomando todas las medidas necesarias y de precaución para evitar que este tipo de incidentes vuelvan a ocurrir".

EXMO suspendió todos los retiros después del incidente y agregó que todas las pérdidas de usuarios posteriores a este incidente serán cubiertas y reembolsadas por completo por EXMO.

Vía Bleepingcomputer: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha reconocido un problema que afecta a los clientes de Windows 10 que han instalado la actualización de seguridad KB4535680 que soluciona una vulnerabilidad de omisión de funciones de seguridad en el arranque seguro.

El arranque seguro es una función de seguridad que bloquea los cargadores de arranque de los sistemas operativos que no son de confianza en equipos con firmware de interfaz de firmware extensible unificada (UEFI) y un chip de módulo de plataforma segura (TPM) para evitar que los rootkits se carguen durante el proceso de inicio del sistema operativo.

Las versiones de Windows afectadas por esta vulnerabilidad incluyen varias versiones de Windows 10 (de v1607 a v1909), Windows 8.1, Windows Server 2012 R2 y Windows Server 2012.

La actualización de seguridad activa el modo de recuperación de BitLocker

Sin embargo, la instalación de la actualización de seguridad KB4535680 en sistemas que ejecutan versiones de Windows afectadas puede hacer que se solicite la clave de recuperación de BitLocker después de reiniciar, según un problema conocido recientemente reconocido por Microsoft.

Citar"Si el perfil de validación de la plataforma de configuración de la política de grupo TPM de BitLocker para las configuraciones nativas de firmware UEFI está habilitado y la política selecciona PCR7, es posible que se requiera la clave de recuperación de BitLocker en algunos dispositivos donde no es posible la vinculación de PCR7", explica Microsoft .

"Para ver el estado de enlace de PCR7, ejecute la herramienta Información del sistema de Microsoft (Msinfo32.exe) con permisos administrativos".

BitLocker es la función de cifrado de volumen completo de Microsoft que se incluye con todas las versiones de Windows desde Windows Vista y utiliza el algoritmo de cifrado XTS-AES para cifrar los discos duros o las unidades extraíbles de las computadoras para evitar el robo o la exposición de datos.

Los usuarios que experimenten problemas de recuperación de BitLocker pueden usar la información proporcionada por Microsoft aquí para ubicar su clave de recuperación.

Solución alternativa disponible

Dependiendo de la configuración de Credential Gard del dispositivo, Microsoft recomienda suspender BitLocker por un ciclo de reinicio si Credential Gard está activado con Manage-bde –Protectors –Disable C: -RebootCount 1o durante tres ciclos de reinicio usando Manage-bde –Protectors –Disable C: -RebootCount 3.

En ambos casos, pausar temporalmente BitLocker antes de instalar KB4535680 actúa como una solución para el problema de recuperación de BitLocker.

Una vez que haya instalado la actualización de seguridad y el sistema se haya reiniciado (tres veces seguidas si Credential Guard está habilitado), tendrá que reiniciar una vez más para reanudar la protección de BitLocker.

Se recomienda a los administradores que no quieran aplicar esta solución alternativa o que no puedan programar la actualización para implementar en entornos con cientos o miles de puntos finales que dejen de salir la actualización KB4535680 desde el Administrador de configuración de Endpoint Manager (anteriormente System Center Configuration Manager ).

Vía: Bleepingcomputer

La popular aplicación de mensajería Telegram solucionó un error que eliminaba la privacidad en su aplicación macOS que hacía posible acceder a mensajes de audio y video autodestructivos mucho después de que desaparecían de los chats secretos.

La vulnerabilidad fue descubierta por el investigador de seguridad Dhiraj Mishra en la versión 7.3 de la aplicación, quien reveló sus hallazgos a Telegram el 26 de diciembre de 2020. Desde entonces, el problema se resolvió en la versión 7.4 , lanzada el 29 de enero.

A diferencia de Signal o WhatsApp, las conversaciones en Telegram por defecto no están encriptadas de un extremo a otro, a menos que los usuarios opten explícitamente por habilitar una función específica del dispositivo llamada " chat secreto ", que mantiene los datos encriptados incluso en los servidores de Telegram. También está disponible como parte de los chats secretos la opción de enviar mensajes autodestructivos.

Lo que descubrió Mishra fue que cuando un usuario graba y envía un mensaje de audio o video a través de un chat regular, la aplicación filtró la ruta exacta donde se almacena el mensaje grabado en formato ".mp4". Con la opción de chat secreto activada, la información de la ruta no se derrama, pero el mensaje grabado aún se almacena en la misma ubicación.


Además, incluso en los casos en que un usuario recibe un mensaje autodestructivo en un chat secreto, el mensaje multimedia permanece accesible en el sistema incluso después de que el mensaje ha desaparecido de la pantalla de chat de la aplicación.

"Telegram dice que los chats 'súper secretos' no dejan rastros, pero almacena la copia local de dichos mensajes en una ruta personalizada", dijo Mishra a The Hacker News.

Por separado, Mishra también identificó una segunda vulnerabilidad en la aplicación macOS de Telegram que almacenaba las contraseñas locales en texto plano en un archivo JSON ubicado en "/ Users / <user_name> / Library / Group Containers / <*>. Ru.keepcoder.Telegram / accounts-metadata /. "

Mishra recibió 3.000 € por informar de las dos fallas como parte de su programa de recompensas por errores.

Telegram alcanzó en enero un hito de 500 millones de usuarios activos mensuales, en parte liderado por un aumento en los usuarios que abandonaron WhatsApp luego de una revisión de su política de privacidad que incluye compartir ciertos datos con su empresa matriz, Facebook.

Citar"Así que si usted está en Telegrama y quiere un chat de grupo verdaderamente privadas, estás de suerte," Raphael Mimoun, fundador de la seguridad digital sin fines de lucro Horizontal, dijo el mes pasado.

Si bien el servicio ofrece cifrado cliente-servidor / servidor-cliente (utilizando un protocolo propietario llamado " MTProto ") y también cuando los mensajes se almacenan en la nube de Telegram, vale la pena tener en cuenta que los chats grupales no ofrecen un servicio de extremo a extremo. cifrado y que todos los historiales de chat predeterminados se almacenan en sus servidores. Esto es para que las conversaciones sean fácilmente accesibles en todos los dispositivos.



Vía: The Hacker News

Microsoft lanzó ayer el Patch Tuesday de febrero de 2021. Como cada mes, la compañía ha solucionado decenas de vulnerabilidades en el sistema operativo, incluyendo tres muy graves que afectan al protocolo TCP/IP. Estas vulnerabilidades son de día cero, lo que implica que pueden ser usadas por hackers en cualquier momento aprovechándose de los ordenadores de quienes no han actualizado.

Estas tres vulnerabilidades afectan a los ordenadores con Windows 7 y versiones posteriores, incluyendo Windows Server y Windows 10. Sus códigos de vulnerabilidad son CVE-2021-24074, CVE-2021-24094 y CVE-2021-24086. Dos de ellas exponen un ordenador a ataques de ejecuciones remotas de código, la más peligrosa de todas, mientras que la tercera permite a un atacante lanzar un ataque DDoS al dispositivo afectado, saturándolo o haciendo que se cuelgue.

Pantallazos azules y código remoto: tres graves fallos en Windows 10

Esta última vulnerabilidad se manifiesta de manera que un atacante remoto puede generar un pantallazo azul en Windows 10 en cualquier ordenador con Windows que tenga conexión a Internet, siendo además la más fácil de aprovechar. Las de código remoto son más complejas de explotar, de manera que es difícil que haya quien se aproveche en las próximas semanas de ellas.

Así, es muy importante que el mayor número posible de usuarios parchee estas vulnerabilidades, ya que podría darse lugar a ataques como WannaCry, donde muchas empresas que no instalaron los últimos parches se vieron afectadas por el grave fallo que permitía instalar ransomware en ordenadores conectados en red.


En el caso de que no puedas instalar las actualizaciones por cualquier motivo, Microsoft ha recomendado un pequeño truco para protegerse lo antes posible de ellas. En el caso de IPv4, es necesario desactivar la funcionalidad de Source Routing, que normalmente está desactivado por defecto. En el caso de IPv6, es necesario bloquear fragmentos de IPv6, lo cual puede afectar negativamente al rendimiento de quien uso este protocolo.

Otro de los fallos lleva explotándose desde mayo de 2020

Además de esos tres fallos, hay otro de día cero que fue detectado por la empresa de ciberseguridad china DBAPPSecurity: CVE-2021-1732. La empresa afirma que un atacante conocido como Bitter había lanzado ya ataques contra organizaciones y usuarios en China y Pakistán usándolo. El exploit fue compilado en mayo de 2020 para atacar las versiones de Windows 10 1909 de 64 bits, la más reciente en aquel momento. Posteriormente, se usó para atacar también 20H1 y 20H2. Su creador lo usó con discreción durante 7 meses hasta que fue detectado por la empresa de ciberseguridad.

Así, ahora que son públicos, es cuestión de días que se descubran las vulnerabilidades por multitud de hackers y haya quien cree malware para aprovecharlas, ya que hay millones de personas que no instalan las actualizaciones del sistema operativo en semanas, o incluso meses.

Más allá de solucionar estos tres fallos, este mes Microsoft ha solucionado 56 vulnerabilidades en total. Por ello, recomendamos encarecidamente que instaléis las últimas actualizaciones en Windows 10, a pesar de que el parche lanzado la semana pasada causase problemas a los usuarios. Esperemos que el de ayer no replique esos problemas.

Vía:  Bleeping Computer

Raspberry Pi OS, la distribución anteriormente conocida como Raspbian, ha incorporado de forma preconfigurada un repositorio de Microsoft que permite la fácil instalación de Visual Studio Code. Si esto ya suena de por sí un tanto turbio, las formas y las reacciones de la institución detrás del popular mini-PC no parecen haber estado a la altura de la situación.

Según explican en nixCraft, los encargados de Raspberry Pi OS metieron mediante una actualización un repositorio de Microsoft sin avisar a los usuarios finales. Como consecuencia, a partir de ahora se enviarán paquetes a un servidor del gigante de Redmond cada que vez que se refresquen los repositorios a menos que se inhabilite la parte correspondiente a Microsoft. Esto se suma a la mala reputación que tiene la multinacional en muchos círculos de Linux debido al presunto abuso de la telemetría.

Siendo más concretos para los que anden perdidos, se ha introducido de fomanera furtiva en Raspberry Pi OS un repositorio de Microsoft que se configura mediante una actualización estándar, y además dicho repositorio al parecer se añade sin avisar ni consultar al usuario. Algunos decidieron preguntar a través de los foros oficiales de Raspberry Pi después de "descubrir el pastel", pero los administradores de dichos foros empezaron a bloquear y eliminar rápidamente los hilos alegando que aquello era un tema de Microsoft.
La difícil relación del software libre con las aplicaciones privativas

Visual Studio Code es un editor de código que se ha hecho muy popular gracias a su cuidada y sencilla interfaz, su consola empotrada, al hecho de ser multiplataforma y por la gran cantidad de extensiones que tiene a disposición. Sin embargo, la versión suministrada por Microsoft es privativa, a pesar de que su código fuente esté disponible bajo la licencia MIT y se pueda a partir de él compilar una aplicación con un alto nivel de compatibilidad con el software oficial. Esto ha abierto la puerta a la existencia de bifurcaciones, de las que sobresale VSCodium.

A pesar de que lo preferible es usar software libre, el uso de aplicaciones privativas a veces se vuelve difícil de esquivar por diversas razones. En el tema de Visual Studio Code, muchos preferirán el soporte oficial de Microsoft por encima de lo ofrecido por una pequeña comunidad de usuarios, mientras que el uso de Chrome se volverá dentro de poco imposible de evitar para quienes se dedican al desarrollo web, incluso en caso de usar Firefox u otro navegador Open Source basado en Chromium de forma predeterminada.

Pero aparte de la necesidad de usar cierto software privativo en Linux, la verdad es que Raspberry Pi Foundation pudo haber actuado de otra manera. Por ejemplo, podría haber puesto un mecanismo que facilitara configuración del repositorio en lugar de introducir el propio repositorio de manera predeterminada, así por lo menos se ahorraría las molestias ocasionadas a los usuarios que desconfían de Microsoft, pero se daría la posibilidad a aquellos que quieran obtener el editor de código del gigante de Redmond de forma fácil y rápida.

Los que quieran inhabilitar el repositorio de Visual Studio Code introducido en Raspberry Pi OS pueden seguir las instrucciones publicadas en Nixcraft, y como alternativa el mismo medio recomienda cambiar el sistema a Arch Linux, Ubuntu, openSUSE o algún miembro de la familia BSD. Por suerte esto es software libre y aquí se pueden cambiar las partes que no gustan.

Vía: Muy linux

Un nuevo vector de ataque distribuido de denegación de servicio (DDoS) ha atrapado a los sistemas Plex Media Server para amplificar el tráfico malicioso contra los objetivos para desconectarlos.

Citar"Los procesos de inicio de Plex sin querer exponer a un respondedor registro del servicio UPnP Plex a Internet en general, donde se puede abusar para generar ataques DDoS reflexión / amplificación", los investigadores NetScout dijo en un alerta jueves.

Plex Media Server es una biblioteca de medios personal y un sistema de transmisión que se ejecuta en sistemas operativos modernos de Windows, macOS y Linux, así como variantes personalizadas para plataformas de propósito especial, como dispositivos de almacenamiento conectados a la red (NAS) y reproductores de medios digitales. La aplicación de escritorio organiza videos, audio y fotos de la biblioteca del usuario y de los servicios en línea, lo que permite acceder y transmitir el contenido a otros dispositivos compatibles.

Los ataques DDoS generalmente implican inundar un objetivo legítimo con tráfico de red basura que proviene de una gran cantidad de dispositivos que se han acorralado en una botnet, lo que causa de manera efectiva el agotamiento del ancho de banda y provoca importantes interrupciones del servicio.

Un ataque de amplificación DDoS ocurre cuando un atacante envía una serie de solicitudes especialmente diseñadas a un servidor de terceros que hace que el servidor responda con grandes respuestas a una víctima. Esto se hace falsificando la dirección IP de origen para que parezca que es la víctima en lugar del atacante, lo que genera un tráfico que sobrepasa los recursos de la víctima.

Por lo tanto, cuando los terceros responden a la solicitud del atacante, las respuestas se envían al servidor al que se dirige en lugar de al dispositivo atacante que envió la solicitud.

Ahora, según Netscout, los servicios de DDoS por alquiler están armando Plex Media Servers para reforzar su infraestructura de ataque, proporcionando un factor de amplificación promedio de aproximadamente 4,68.

Plex utiliza el Protocolo simple de descubrimiento de servicios (SSDP) para escanear otros dispositivos de medios y clientes de transmisión, pero esto da paso a un problema cuando la sonda localiza un enrutador de acceso a Internet de banda ancha habilitado para SSDP y, en el proceso, expone el registro del servicio Plex. respondedor directamente en Internet en el puerto UDP 32414.

Para empeorar las cosas, la firma de ciberseguridad dijo que identificó alrededor de 27,000 servidores abusivos en Internet hasta la fecha.

Citar"El impacto colateral de los ataques de reflexión / amplificación PMSSDP es potencialmente significativo para los operadores de acceso a Internet de banda ancha cuyos clientes han expuesto inadvertidamente reflectores / amplificadores PMSSDP a Internet", dijeron los investigadores de Netscout, Roland Dobbins y Steinthor Bjarnason.

"Esto puede incluir la interrupción parcial o total del acceso a Internet de banda ancha del cliente final, así como una interrupción adicional del servicio debido al consumo de capacidad de enlace de acceso / distribución / agregación / núcleo / peering / tránsito".

Netscout recomienda a los operadores de red filtrar el tráfico dirigido hacia UDP / 32414 y deshabilitar SSDP en el equipo de acceso a Internet de banda ancha proporcionado por el operador para mitigar el ataque.

El desarrollo se produce después de que Netscout, a principios de este mes, informara que los servicios DDoS de alquiler están abusando de los servidores Windows Remote Desktop Protocol (RDP) como un vector DDoS de reflexión / amplificación.

Vía: The Hacker News

Cisco ha implementado soluciones para múltiples vulnerabilidades críticas en la interfaz de administración basada en web de los enrutadores de pequeñas empresas que podrían permitir que un atacante remoto no autenticado ejecute código arbitrario como usuario raíz en un dispositivo afectado.

Las fallas , rastreadas desde CVE-2021-1289 hasta CVE-2021-1295 (calificación CVSS 9., impactan en los routers VPN RV160, RV160W, RV260, RV260P y RV260W que ejecutan una versión de firmware anterior a la versión 1.0.01.02.

Junto con las tres vulnerabilidades antes mencionadas, también se han lanzado parches para dos fallas de escritura de archivos arbitrarias más (CVE-2021-1296 y CVE-2021-1297) que afectan al mismo conjunto de enrutadores VPN que podrían haber hecho posible que un adversario sobrescribiera archivos arbitrarios en el sistema vulnerable.

Los nueve problemas de seguridad fueron informados al fabricante de equipos de red por el investigador de seguridad Takeshi Shiomitsu, quien previamente descubrió fallas críticas similares en los enrutadores RV110W, RV130W y RV215W que podrían aprovecharse para ataques de ejecución remota de código (RCE).

Si bien los detalles exactos de las vulnerabilidades aún no están claros, Cisco dijo que las fallas:

- CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294 y CVE-2021-1295 son el resultado de una validación incorrecta de HTTP solicitudes, lo que permite a un atacante crear una solicitud HTTP especialmente diseñada para la interfaz de administración basada en web y lograr RCE.

- CVE-2021-1296 y CVE-2021-1297 se deben a una validación de entrada insuficiente, lo que permite a un atacante aprovechar estas fallas utilizando la interfaz de administración basada en web para cargar un archivo en una ubicación a la que no debería tener acceso.

Por otra parte, otro conjunto de cinco fallos (CVE-2021-1314 a CVE-2021-1318) en la interfaz de administración basada en web de los enrutadores RV016, RV042, RV042G, RV082, RV320 y RV325 de Small Business podrían haberle otorgado a un atacante la capacidad para inyectar comandos arbitrarios en los enrutadores que se ejecutan con privilegios de root.

Por último, Cisco también abordó 30 vulnerabilidades adicionales (CVE-2021-1319 a CVE-2021-1348), que afectan al mismo conjunto de productos, que podrían permitir a un atacante remoto autenticado ejecutar código arbitrario e incluso causar una denegación de servicio. condición.

"Para aprovechar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado", dijo Cisco en un aviso publicado el 3 de febrero.

A Kai Cheng, del Instituto de Ingeniería de la Información, que forma parte de la Academia de Ciencias de China, se le atribuye haber informado de las 35 fallas en la interfaz de administración del enrutador.

La compañía también señaló que no ha habido evidencia de intentos de explotación activos en la naturaleza para ninguno de estos defectos, ni existen soluciones que aborden las vulnerabilidades.

Vía: The Hacker News