Se han descubierto importantes vulnerabilidades en el módulo Wi-Fi Realtek RTL8195A que podrían haber sido explotadas para obtener acceso de root y tomar el control completo de las comunicaciones inalámbricas de un dispositivo.

Los seis defectos fueron informados por investigadores de la empresa de seguridad de IoT israelí Vdoo.

El módulo Realtek RTL8195A es un módulo de hardware Wi-Fi autónomo de bajo consumo de energía destinado a dispositivos integrados utilizados en varias industrias, como la agricultura, el hogar inteligente, la atención médica, los juegos y los sectores automotriz.

También hace uso de una API "Ameba", que permite a los desarrolladores comunicarse con el dispositivo a través de Wi-Fi, HTTP y MQTT , un protocolo de mensajería liviano para pequeños sensores y dispositivos móviles.

Aunque los problemas descubiertos por Vdoo se verificaron solo en RTL8195A, los investigadores dijeron que también se extienden a otros módulos, incluidos RTL8711AM, RTL8711AF y RTL8710AF.

Los defectos se refieren a una combinación de desbordamiento de pila y lecturas fuera de límites que se derivan del mecanismo de enlace de cuatro vías WPA2 del módulo Wi-Fi durante la autenticación.


La principal de ellas es una vulnerabilidad de desbordamiento de búfer (CVE-2020-9395) que permite a un atacante en la proximidad de un módulo RTL8195 hacerse cargo por completo del módulo, sin tener que conocer la contraseña de la red Wi-Fi (o clave previamente compartida). e independientemente de si el módulo actúa como punto de acceso (AP) Wi-Fi o cliente.

Se puede abusar de otras dos fallas para organizar una denegación de servicio, mientras que otro conjunto de tres debilidades, incluido CVE-2020-25854, podría permitir la explotación de dispositivos cliente Wi-Fi y ejecutar código arbitrario.

Por lo tanto, en uno de los posibles escenarios de ataque, un adversario con conocimiento previo de la frase de contraseña para la red WPA2 Wi-Fi a la que está conectado el dispositivo víctima puede crear un AP malicioso al rastrear el SSID de la red y la clave de tránsito por pares (PTK), se utiliza para cifrar el tráfico entre un cliente y el AP, y obligar al objetivo a conectarse al nuevo AP y ejecutar código malicioso.

Realtek, en respuesta, ha lanzado Ameba Arduino 2.0.8 con parches para las seis vulnerabilidades encontradas por Vdoo. Vale la pena señalar que las versiones de firmware lanzadas después del 21 de abril de 2020 ya vienen con las protecciones necesarias para frustrar tales ataques de adquisición.

"Un problema fue descubierto el Realtek RTL8195AM, dispositivos RTL8711AM, RTL8711AF y RTL8710AF antes de 2.0.6," la compañía dijo en un boletín de seguridad. "Existe un desbordamiento de búfer basado en la pila en el código del cliente que se encarga del protocolo de enlace de 4 vías de WPA2 a través de un paquete EAPOL-Key mal formado con un búfer de datos clave largo".

Vía: The Hacker News

Han surgido nuevos detalles sobre una vasta red de extensiones fraudulentas para los navegadores Chrome y Edge que se descubrió que secuestraban los clics a los enlaces en las páginas de resultados de búsqueda a URL arbitrarias, incluidos los sitios de phishing y los anuncios.

Colectivamente llamadas " CacheFlow " por Avast, las 28 extensiones en cuestión - incluyendo Video Downloader para Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock - hicieron uso de un truco engañoso para enmascarar su verdadero propósito: Aprovechar el encabezado HTTP de Cache-Control como un canal encubierto para recuperar comandos de un servidor controlado por un atacante.

Google y Microsoft han retirado todos los complementos del navegador con puerta trasera a partir del 18 de diciembre de 2020 para evitar que más usuarios los descarguen de las tiendas oficiales.

Según los datos de telemetría recopilados por la firma, los tres principales países infectados fueron Brasil, Ucrania y Francia, seguidos de Argentina, España, Rusia y Estados Unidos.


La secuencia de CacheFlow comenzó cuando usuarios desprevenidos descargaron una de las extensiones en sus navegadores que, tras la instalación, enviaron solicitudes de análisis que se asemejan a Google Analytics a un servidor remoto, que luego transmitió un encabezado de Cache-Control especialmente diseñado que contiene comandos ocultos para buscar un carga útil de segunda etapa que funcionó como un descargador para la carga útil final de JavaScript.

Este malware de JavaScript acumuló fechas de nacimiento, direcciones de correo electrónico, geolocalización y actividad del dispositivo, con un enfoque específico en la recopilación de datos de Google.

"Para recuperar el cumpleaños, CacheFlow realizó una solicitud XHR a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y analizó la fecha de nacimiento de la respuesta", observaron los investigadores de Avast, Jan Vojtěšek y Jan Rubín.

En el paso final, la carga útil inyectó otra pieza de JavaScript en cada pestaña, usándola para secuestrar los clics que conducen a sitios web legítimos, así como para modificar los resultados de búsqueda de Google, Bing o Yahoo para redirigir a la víctima a una URL diferente.

Eso no es todo. Las extensiones no solo evitaron infectar a los usuarios que probablemente fueran desarrolladores web, algo que se dedujo calculando una puntuación ponderada de las extensiones instaladas o verificando si accedían a sitios web alojados localmente (por ejemplo, .dev, .local o .localhost ) - también se configuraron para no mostrar ningún comportamiento sospechoso durante los primeros tres días posteriores a la instalación.


Avast dijo que los innumerables trucos empleados por los autores de malware para escapar de la detección pueden haber sido un factor crucial que le permitió ejecutar código malicioso en segundo plano e infectar sigilosamente a millones de víctimas, con evidencia que sugiere que la campaña puede haber estado activa desde al menos octubre. 2017.

"Por lo general, confiamos en que las extensiones instaladas desde las tiendas de navegadores oficiales son seguras", dijeron los investigadores. "Pero ese no es siempre el caso, como descubrimos recientemente".

"CacheFlow se destacó en particular por la forma en que las extensiones maliciosas tratarían de ocultar su comando y controlar el tráfico en un canal encubierto utilizando el encabezado HTTP Cache-Control de sus solicitudes de análisis. Creemos que esta es una técnica nueva".

Vía: The Hacker News

Google Project Zero reveló el jueves detalles de un nuevo mecanismo de seguridad que Apple agregó silenciosamente a iOS 14 como una contramedida para evitar ataques que recientemente se descubrió que aprovechan los días cero en su aplicación de mensajería.

Apodado " BlastDoor " , el sistema sandbox mejorado para los datos de iMessage fue revelado por Samuel Groß, un investigador de Google Project Zero encargado de estudiar las vulnerabilidades de día cero en sistemas de hardware y software.

"Uno de los cambios más importantes en iOS 14 es la introducción de un nuevo servicio 'BlastDoor' de espacio aislado que ahora es responsable de casi todo el análisis de datos que no son de confianza en iMessages", dijo Groß . "Además, este servicio está escrito en Swift, un lenguaje (en su mayoría) seguro para la memoria que dificulta mucho la introducción de vulnerabilidades clásicas de corrupción de memoria en la base del código".

El desarrollo es una consecuencia de un exploit de cero clic que aprovechó una falla de Apple iMessage en iOS 13.5.1 para evitar las protecciones de seguridad como parte de una campaña de ciberespionaje dirigida a los periodistas de Al Jazeera el año pasado.

"No creemos que [el exploit] funcione contra iOS 14 y superior, lo que incluye nuevas protecciones de seguridad", señalaron los investigadores de Citizen Lab que revelaron el ataque descrito el mes pasado.

BlastDoor forma el núcleo de esas nuevas protecciones de seguridad, según Groß, quien analizó los cambios implementados en el transcurso de un proyecto de ingeniería inversa de una semana utilizando un Mac Mini M1 con macOS 11.1 y un iPhone XS con iOS 14.3.

Cuando llega un iMessage entrante, el mensaje pasa a través de una serie de servicios, el principal de los cuales es el demonio del servicio de notificaciones push de Apple (apsd) y un proceso en segundo plano llamado imagent, que no solo es responsable de decodificar el contenido del mensaje sino también de descargar archivos adjuntos. (a través de un servicio separado llamado IMTransferAgent) y manejo de enlaces a sitios web, antes de alertar al SpringBoard para que muestre la notificación.


Lo que hace BlastDoor es inspeccionar todos los mensajes entrantes en un entorno seguro y aislado, lo que evita que cualquier código malicioso dentro de un mensaje interactúe con el resto del sistema operativo o acceda a los datos del usuario.

Dicho de otra manera, al mover la mayoría de las tareas de procesamiento, es decir, decodificar la lista de propiedades del mensaje y crear vistas previas de enlaces, de imagent a este nuevo componente BlastDoor, un mensaje especialmente diseñado enviado a un objetivo ya no puede interactuar con el sistema de archivos realizar operaciones de red.

"El perfil de la caja de arena es bastante estrecho", señaló Groß. "Sólo se puede acceder a un puñado de servicios IPC locales , se bloquea casi toda la interacción del sistema de archivos, se prohíbe cualquier interacción con los controladores IOKit y se niega el acceso a la red saliente".

Además, en un intento por retrasar los reinicios posteriores de un servicio que falla , Apple también ha introducido una nueva función de limitación en el proceso " launchd " de iOS para limitar la cantidad de intentos que un atacante hace cuando busca explotar una falla aumentando exponencialmente el tiempo. entre dos intentos sucesivos de fuerza bruta.

Citar"Con este cambio, un exploit que se basaba en bloquear repetidamente el servicio atacado ahora probablemente requeriría del orden de varias horas a aproximadamente medio día para completarse en lugar de unos pocos minutos", dijo Groß.

"En general, estos cambios probablemente se acercan mucho a lo mejor que se podría haber hecho dada la necesidad de compatibilidad con versiones anteriores, y deberían tener un impacto significativo en la seguridad de iMessage y la plataforma en su conjunto".

Vía: The Hacker News

Los investigadores han revelado una nueva familia de malware de Android que abusa de los servicios de accesibilidad en el dispositivo para secuestrar las credenciales del usuario y grabar audio y video.

Apodado " Oscorp " por el CERT- AGID de Italia y detectado por AddressIntel , el malware "induce al usuario a instalar un servicio de accesibilidad con el que [los atacantes] pueden leer lo que está presente y lo que se escribe en la pantalla".

Llamado así por el título de la página de inicio de sesión de su servidor de comando y control (C2), el APK malicioso (llamado "Assistenzaclienti.apk" o "Protección del cliente") se distribuye a través de un dominio llamado "supportoapp [.] Com , "que tras la instalación, solicita permisos intrusivos para habilitar el servicio de accesibilidad y establece comunicaciones con un servidor C2 para recuperar comandos adicionales.

Además, el malware vuelve a abrir repetidamente la pantalla de Configuración cada ocho segundos hasta que el usuario activa los permisos para la accesibilidad y las estadísticas de uso del dispositivo, presionando así al usuario para que otorgue privilegios adicionales.

Una vez que se proporciona el acceso, el malware explota los permisos para registrar pulsaciones de teclas, desinstalar aplicaciones en el dispositivo, hacer llamadas, enviar mensajes SMS, robar criptomonedas redirigiendo los pagos realizados a través de la aplicación You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Wallet y acceder a códigos de autenticación de dos factores de Google. Aplicación de autenticación.

La billetera controlada por el atacante tenía $ 584 al 9 de enero, dijeron los investigadores.


En el último paso, el malware filtra los datos capturados, junto con la información del sistema (por ejemplo, aplicaciones instaladas, modelo de teléfono, operador), al servidor C2, además de obtener comandos del servidor que le permiten iniciar la aplicación Google Authenticator. , robar mensajes SMS, desinstalar aplicaciones, iniciar URL específicas y grabar audio y video de la pantalla a través de WebRTC.

Además, a los usuarios que abren las aplicaciones objetivo del malware se les muestra una página de phishing que solicita su nombre de usuario y contraseña, señaló CERT, agregando que el estilo de esta pantalla varía de una aplicación a otra y que está diseñada con la intención de engañar a la víctima proporcionar la información.

El tipo exacto de aplicaciones señaladas por este malware sigue sin estar claro, pero los investigadores dijeron que podría ser cualquier aplicación que se ocupe de datos confidenciales, como los de banca y mensajería.

"Las protecciones de Android evitan que el malware cause algún tipo de daño hasta que el usuario habilite el servicio [de accesibilidad]", concluyó CERT-AGID. "Una vez habilitado, sin embargo, se abre una 'represa'. De hecho, Android siempre ha tenido una política muy permisiva hacia los desarrolladores de aplicaciones, dejando la decisión final de confiar o no en una aplicación al usuario final".

Vía: The Hacker News

Google Chrome ha iniciado el bloqueo de siete puertos TCP más para mejorar la seguridad. Concretamente el objetivo es proteger al usuario frente a la vulnerabilidad NAT Slipstreaming 2.0. El popular navegador se brinda así contra uno de los problemas más recientes que pueden comprometer la seguridad y privacidad al navegar por la red.

Chrome bloquea siete puertos más

El navegador de Google ha demostrado que se toma muy en serio la seguridad de los usuarios. Hemos visto en otras ocasiones cómo lanzan parches y mejoras para cubrir ciertas vulnerabilidades que puedan afectar. Hay que tener en cuenta que se trata del navegador más utilizado, por lo que cualquier fallo puede afectar a muchos usuarios.

Recientemente vimos un nuevo ataque denominado NAT Slipstreaming 2.0. Se trata de una nueva versión que puede comprometer redes internas. Básicamente consiste en atraer a un usuario para que visite un sitio web malicioso y de esta forma eludir las restricciones de puertos basadas en el navegador. Esto podría permitir a un atacante acceder remotamente a los servicios TCP/UDP en el equipo de la víctima a la que han atacado. Puede incluso saltar la protección de un firewall o NAT.

Esto ha provocado que desde Google Chrome se pongan manos a la obra para intentar reducir al máximo el impacto de esta nueva vulnerabilidad. Eso ha provocado que bloquee un total de siete puertos más de los que ya estaban bloqueados.

Ahora bloquea el acceso a través de HTTP, HTTPS y FTP a los puertos 69, 137, 161, 1719, 1720, 1723 y 6566 TCP. Desde Chrome indican que se sabe que estos puertos son inspeccionados por dispositivos NAT y pueden ser explotados.

Si un usuario intentara conectarse a un sitio web utilizando alguno de estos puertos, Google Chrome mostraría un mensaje que indica que no se puede acceder al sitio y muestra un error «ERR_UNSAFE_PORT».

Esto hace que una página web que esté alojada en alguno de esos puertos debería cambiarse a un puerto diferente. De esta forma se evitarían problemas y los usuarios podrían acceder con normalidad a ese sitio.


Otros navegadores también agregan mitigaciones

Hay que indicar que el caso de Google Chrome no es único. Otros navegadores importantes como son Mozilla Firefox, Edge o Safari también han incluido algunos cambios para intentar evitar este problema que podría comprometer la seguridad de los usuarios.

En el caso de Edge podría haber bloqueado los mismos puertos que Chrome. Se desconoce cuáles habrían bloqueado los otros dos navegadores. No obstante, en todos estos casos han buscado la manera de protegerse de la vulnerabilidad NAT Slipstreaming 2.0.

Como siempre decimos, es indispensable contar con las últimas versiones en todo momento. No solo hablamos del navegador, como es este caso que mencionamos, sino también del sistema operativo que estemos usando o de cualquier otro programa. Necesitamos contar en todo momento con los parches disponibles y estar protegidos de posibles vulnerabilidades que puedan ser explotadas por parte de piratas informáticos.


Vía: Bleepingcomputer

Los programas VPN son utilizados por los usuarios para cifrar la conexión, ocultar la dirección IP y también para poder acceder a contenido que pueda estar restringido geográficamente. Hay muchas opciones disponibles tanto para dispositivos móviles como para equipos de escritorio. En este artículo nos hacemos eco de una nueva amenaza que se esconde detrás de programas VPN, así como otros tipos de software.

Un nuevo malware se oculta detrás de la VPN

Se trata de DanaBot, una amenaza que han encontrado presente en determinados programas VPN gratuitos y también en software antivirus y otros programas que podemos encontrar gratis o pirateados en la red.

Ha sido un descubrimiento por parte de investigadores de Proofpoint. Han encontrado una nueva cepa del malware DanaBot. Se distribuye mediante claves de software pirateadas. Se engaña al usuario para que descargue software infectado disfrazado de programas antivirus, VPN gratuitas y juegos en línea.

Según este grupo de investigadores, principalmente se distribuye a través de sitios web que ofrece este tipo de programas gratuitos o pirateados. Este software que descargan los usuarios llevan oculto la amenaza DanaBot. Un problema importante, ya que precisamente las herramientas VPN sirven para mejorar la seguridad y hacer que las conexiones sean más fiables.

Hay que indicar que DanaBot no se trata de un malware nuevo, ya que fue descubierto por primera vez en 2019. Sí estamos ante una nueva cepa de esta amenaza que puede poner en riesgo la seguridad de los usuarios. En los últimos años, además, ha evolucionado y se ha convertido en uno de los troyanos bancarios más importantes.

El pasado mes de octubre fue actualizado a una nueva versión con el objetivo de llegar a más víctimas. Se espera que en los próximos meses sea utilizado en numerosas campañas de ataques Phishing para robar contraseñas y credenciales.

Una de las novedades de esta nueva versión es que puede pasar desapercibido por las herramientas de seguridad. Podría permanecer en la sombra sin ser detectado. Incluso han perfeccionado las técnicas para robar criptomonedas, algo que ha vuelto a estar en auge en los últimos tiempos.


Cómo se propaga DanaBot

La manera en la que puede infectar DanaBot a los usuarios no dista mucho de otras amenazas similares. Es necesario que la víctima descargue y ejecute un archivo, que sería en este caso la clave del software que están instalando. Posteriormente el malware carga dos componentes en el dispositivo infectado.

Uno de esos componentes se encarga de recopilar información del sistema, datos del navegador o posibles carteras de criptomonedas que encuentre. El segundo lo que hace es instalar un minero de criptomonedas y tiene capacidad para robar credenciales bancarias.

Qué hacer para protegernos

Es muy importante evitar ser víctimas de este tipo de amenazas. Hemos visto que llega a través de la descarga de software gratuito o pirateado. Debemos siempre evitar acceder a sitios de terceros que no son fiables y que pueden ser un problema que comprometa nuestra privacidad. Podéis ver un artículo donde hablamos de cómo ver si la VPN funciona bien.

Además, siempre es aconsejable contar con programas de seguridad. Un buen antivirus puede detectar este tipo de problemas y prevenir la entrada de amenazas como la de DanaBot. No importa el sistema operativo que usemos, siempre debemos tener alguno instalado.

Por otra parte, es igualmente importante tener los sistemas y programas actualizados. A veces surgen vulnerabilidades que pueden ser aprovechadas por los piratas informáticos para desplegar sus ataques. Necesitamos corregir los fallos que puedan surgir.

Vía:  HackRead

Se dio a conocer una nueva variante del ataque NAT slipstreaming, que permite establecer una conexión de red desde el servidor del atacante a cualquier puerto UDP o TCP del sistema del usuario que abrió la página web preparada por el atacante en el navegador.

El ataque permite al atacante enviar cualquier dato a cualquier puerto de usuario, independientemente del uso del rango de direcciones internas de la víctima en el sistema de la víctima, el acceso a la red desde la cual se cierra directamente y es posible solo a través de un traductor de direcciones.


El principio de funcionamiento de la nueva variante de NAT slipstreaming attack (CVE-2021-23961, CVE-2020-16043) es idéntico al método original, las diferencias se reducen al uso de otros protocolos, que son procesados ​​por la ALG (Application Level Gateways).

En la primera variante del ataque, para engañar a la ALG, se utilizó la manipulación del protocolo SIP, que utiliza varios puertos de red (uno para datos y otro para control). La segunda opción permite manipulaciones similares con el protocolo VoIP H.323, que usa el puerto TCP 1720.

Además, la segunda versión propone una técnica para eludir la lista negra de puertos que son inaceptables para su uso con el protocolo TURN (Traversal Using Relays around NAT), que se utiliza en WebRTC para comunicarse entre dos hosts detrás de diferentes NAT.

Las conexiones TURN en WebRTC pueden establecerse mediante navegadores no solo para UDP, sino también a través de TCP y dirigirse a cualquier puerto TCP de red.

Esta característica permite aplicar el ataque de NAT slipstreaming no solo a H.323, sino también a cualquier otro protocolo combinado, como FTP e IRC, que están incluidos en la lista de puertos a los que no se les permite acceder a través de HTTP, pero no están incluidos en la lista de puertos prohibidos para TURN.

El método también permite eludir la protección agregada a los navegadores contra el primer ataque de NAT slipstreaming, basado en denegar las solicitudes HTTP al puerto 5060 (SIP).

El problema ya se ha solucionado en versiones recientes de Firefox 85, Chrome 87.0.4280.141, Edge 87.0.664.75 y Safari 14.0.3.

Además de los puertos de red asociados con el protocolo H.323, los navegadores también están bloqueados para que no envíen solicitudes HTTP, HTTPS y FTP a los puertos TCP 69, 137, 161 y 6566.

En el kernel de Linux, la funcionalidad del módulo conntrack ALG en netfilter es desactivado por defecto desde la versión 4.14, es decir De forma predeterminada, los traductores de direcciones basados ​​en nuevos kernels de Linux no se ven afectados por el problema.

Por ejemplo, OpenWRT no se ve afectado por el problema incluso al instalar paquetes con módulos ALG. Al mismo tiempo, la vulnerabilidad se manifiesta en la distribución VyOS, que usa el kernel de Linux 4.14, pero el indicador nf_conntrack_helper está explícitamente habilitado, lo que activa ALG para FTP y H.323.

El problema también afecta a muchos enrutadores de consumo que se envían con kernels de Linux más antiguos o que cambian la configuración de ALG. La capacidad de ataque también se ha confirmado para firewalls empresariales y traductores de direcciones basados ​​en hardware Fortinet (FG64, 60E), Cisco (csr1000, ASA) y HPE (vsr1000).


El ataque consta de tres etapas:

-    En la primera etapa, el atacante obtiene información sobre la dirección interna del usuario, que se puede determinar mediante WebRTC o, si WebRTC está deshabilitado, mediante ataques de fuerza bruta con la medición del tiempo de respuesta al solicitar una imagen oculta.

-    En la segunda etapa, se determinan los parámetros de fragmentación de paquetes, para lo cual el código JavaScript ejecutado en el navegador de la víctima genera una solicitud HTTP POST grande (que no cabe en un paquete) al servidor del atacante, utilizando un puerto de red no estándar number para iniciar la configuración de los parámetros de segmentación de TCP y el tamaño de MTU en la pila de la víctima de TCP.

-    En la tercera etapa, el código JavaScript genera y envía una solicitud HTTP especialmente seleccionada (o TURN para UDP) al puerto TCP 1720 (H.323) del servidor atacante, que, después de la fragmentación, se dividirá en dos paquetes: el primero incluye Encabezados HTTP y una parte de los datos, y el segundo forma un paquete H.323 válido, que contiene la IP interna de la víctima.

Como recordatorio, para llevar a cabo un ataque de NAT slipstreaming, es suficiente que la víctima lance el código JavaScript preparado por el atacante, por ejemplo, abriendo una página en el sitio web del atacante o viendo un inserto de anuncio malicioso en un sitio web legítimo.


Vía: Linuxadictos

Malwarebytes dijo el martes que fue violado por el mismo grupo que irrumpió en SolarWinds para acceder a algunos de sus correos electrónicos internos, lo que lo convierte en el cuarto proveedor principal de ciberseguridad en ser blanco después de FireEye , Microsoft y CrowdStrike .

La compañía dijo que su intrusión no fue el resultado de un compromiso de SolarWinds, sino más bien debido a un vector de acceso inicial separado que funciona "abusando de las aplicaciones con acceso privilegiado a los entornos de Microsoft Office 365 y Azure".

El descubrimiento se realizó después de que Microsoft notificara a Malwarebytes de una actividad sospechosa de una aplicación de protección de correo electrónico inactiva dentro de su inquilino de Office 365 el 15 de diciembre, luego de lo cual realizó una investigación detallada sobre el incidente.

"Si bien Malwarebytes no usa SolarWinds, nosotros, como muchas otras compañías, fuimos recientemente atacados por el mismo actor de amenazas", dijo el director ejecutivo de la compañía, Marcin Kleczynski , en una publicación. "No encontramos evidencia de acceso no autorizado o compromiso en ninguno de nuestros entornos internos en las instalaciones y de producción".

El hecho de que se utilizaron vectores iniciales más allá del software SolarWinds agrega otra pieza que falta a la campaña de espionaje de amplio alcance, que ahora se cree que fue llevada a cabo por un actor de amenazas llamado UNC2452 (o Dark Halo), probablemente de Rusia .

De hecho, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) dijo a principios de este mes que encontró evidencia de vectores de infección inicial utilizando fallas distintas de la plataforma SolarWinds Orion, que incluyen adivinación de contraseñas, fumigación de contraseñas y credenciales administrativas protegidas de manera inapropiada accesibles a través de servicios externos de acceso remoto. .

Citar"Creemos que se accedió a nuestro inquilino mediante uno de los TTP que se publicaron en la alerta CISA", explicó Kleczynski en un hilo de Reddit .

Malwarebytes dijo que el actor de amenazas agregó un certificado autofirmado con credenciales a la cuenta de servicio principal, y luego lo usó para realizar llamadas a la API para solicitar correos electrónicos a través de Microsoft Graph .

La noticia llega inmediatamente después de una cuarta cepa de malware llamada Raindrop que se encontró desplegada en redes de víctimas seleccionadas, ampliando el arsenal de herramientas utilizadas por el actor de amenazas en el extenso ataque a la cadena de suministro de SolarWinds.

FireEye, por su parte, ha publicado un resumen detallado de las tácticas adoptadas por el actor de Dark Halo, señalando que los atacantes aprovecharon una combinación de hasta cuatro técnicas para moverse lateralmente a la nube de Microsoft 365.

- Robar el certificado de firma de tokens de Active Directory Federation Services (AD FS) y usarlo para falsificar tokens para usuarios arbitrarios
- Modifique o agregue dominios de confianza en Azure AD para agregar un nuevo proveedor de identidad (IdP) federado que controla el atacante.
- Poner en peligro las credenciales de las cuentas de usuario locales que están sincronizadas con Microsoft 365 que tienen roles de directorio con altos privilegios, y
- Puerta trasera de una aplicación existente de Microsoft 365 agregando una nueva aplicación

La firma propiedad de Mandiant también ha lanzado un script de auditoría, llamado Azure AD Investigator , que dice que puede ayudar a las empresas a verificar en sus inquilinos de Microsoft 365 indicadores de algunas de las técnicas utilizadas por los piratas informáticos de SolarWinds.


Vía: The Hacker News

Cisco ha publicado actualizaciones de seguridad para abordar las vulnerabilidades de ejecución remota de código (RCE) previa a la autenticación que afectan a varios productos SD-WAN y al software Cisco Smart Software Manager.

SD-WAN son productos de software que ayudan a administrar redes de área amplia (WAN), mientras que Smart Software Manager es una solución de administración basada en la nube para licencias de Cisco.

Vulnerable a los ataques RCE previos a la autenticación

Los atacantes no autenticados pueden explotar de forma remota el desbordamiento del búfer y los errores de inyección de comandos para ejecutar código arbitrario o ejecutar comandos arbitrarios en el sistema operativo subyacente de dispositivos que ejecutan versiones vulnerables de SD-WAN y el software Cisco Smart Software Manager Satellite.

Las versiones del software Cisco SD-WAN vulnerables a los ataques RCE previos a la autenticación diseñadas para explotar CVE-2021-1300 incluyen:

Software IOS XE SD-WAN
Software SD-WAN vBond Orchestrator
Enrutadores en la nube SD-WAN vEdge
Enrutadores vEdge SD-WAN
Software vManage SD-WAN
Software del controlador SD-WAN vSmart

Las vulnerabilidades de RCE previas a la autenticación que afectan al administrador de licencias en la nube de Cisco se registran como CVE-2021-1138, CVE-2021-1140 y CVE-2021-1142 . Afectan a las versiones 5.1.0 y anteriores de Cisco Smart Software Manager Satellite.

Cisco los ha corregido en las versiones 6.3.0 y posteriores y ha cambiado el nombre de Cisco Smart Software Manager Satellite a Cisco Smart Software Manager On-Prem.

"Las vulnerabilidades no dependen unas de otras", explica Cisco. "No se requiere la explotación de una de las vulnerabilidades para explotar la otra vulnerabilidad".

"Además, una versión de software que se ve afectada por una de las vulnerabilidades puede no verse afectada por la otra vulnerabilidad", agregó Cisco.

Sin explotación activa

Afortunadamente, "[e] l equipo de respuesta a incidentes de seguridad de productos de Cisco (PSIRT) no tiene conocimiento de ningún anuncio público o uso malintencionado de las vulnerabilidades que se describen en este aviso".

Los investigadores de seguridad de Cisco encontraron estas vulnerabilidades durante las pruebas de seguridad internas de los productos afectados.

Cisco también abordó hoy las vulnerabilidades críticas de inyección de comandos que afectan los productos SD-WAN y la herramienta Command Runner de Cisco DNA Center .

En noviembre, la compañía también parcheó múltiples vulnerabilidades de autenticación previa con exploits públicos en Cisco Security Manager exponiendo los dispositivos afectados a ataques de ejecución remota de código.

Vía: Bleepingcomputer

Los investigadores de ciberseguridad han descubierto múltiples vulnerabilidades en Dnsmasq, un popular software de código abierto que se utiliza para almacenar en caché las respuestas del Sistema de nombres de dominio (DNS), lo que permite a un adversario montar ataques de envenenamiento de caché de DNS y ejecutar código malicioso de forma remota.

Las siete fallas, llamadas colectivamente " DNSpooq " por la firma de investigación israelí JSOF, se hacen eco de las debilidades previamente reveladas en la arquitectura DNS, lo que hace que los servidores Dnsmasq sean impotentes contra una variedad de ataques.

"Descubrimos que Dnsmasq es vulnerable al ataque de envenenamiento de la caché de DNS por parte de un atacante fuera de ruta (es decir, un atacante que no observa la comunicación entre el reenviador de DNS y el servidor DNS)", señalaron los investigadores en un informe publicado hoy.

"Nuestro ataque permite el envenenamiento de varios nombres de dominio a la vez y es el resultado de varias vulnerabilidades encontradas. El ataque se puede completar con éxito en segundos o pocos minutos, y no tiene requisitos especiales. También encontramos que muchas instancias de Dnsmasq están mal configuradas para escuchar en la interfaz WAN, haciendo posible el ataque directamente desde Internet ".

Dnsmasq, abreviatura de DNS masquerade , es un software liviano con capacidades de reenvío de DNS que se utiliza para almacenar en caché localmente los registros de DNS, lo que reduce la carga en los servidores de nombres ascendentes y mejora el rendimiento.

En septiembre de 2020, había alrededor de 1 millón de instancias Dnsmasq vulnerables, descubrió JSOF, con el software incluido en los teléfonos inteligentes Android y millones de enrutadores y otros dispositivos de red de Cisco, Aruba, Technicolor, Redhat, Siemens, Ubiquiti y Comcast.

Revisando Kaminsky Attack y SAD DNS

El concepto de envenenamiento de la caché de DNS no es nuevo.

En 2008, el investigador de seguridad Dan Kaminsky presentó sus hallazgos sobre una vulnerabilidad de DNS crítica y generalizada que permitía a los atacantes lanzar ataques de envenenamiento de caché contra la mayoría de los servidores de nombres.

Explotó una falla de diseño fundamental en DNS : solo puede haber 65.536 posibles ID de transacción (TXID), para inundar el servidor DNS con respuestas falsificadas, que luego se almacenan en caché y se aprovechan para enrutar a los usuarios a sitios web fraudulentos.

Los ID de transacción se introdujeron como un mecanismo para frustrar la posibilidad de que un servidor de nombres autorizado pueda ser suplantado para crear respuestas maliciosas. Con esta nueva configuración, los solucionadores de DNS adjuntaron una identificación de 16 bits a sus solicitudes a los servidores de nombres, que luego enviarían una respuesta con la misma identificación.


Pero la limitación en los ID de transacciones significaba que cada vez que un solucionador recursivo consultaba al servidor de nombres autorizado para un dominio determinado (por ejemplo, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login), un atacante podría inundar el solucionador con respuestas de DNS para algunos o todos los 65 mil posibles. ID de transacción.

Si la respuesta maliciosa con el ID de transacción correcto del atacante llega antes que la respuesta del servidor autorizado, entonces la caché de DNS se envenenaría efectivamente, devolviendo la dirección IP elegida por el atacante en lugar de la dirección legítima mientras la respuesta de DNS fuera válida. .

El ataque se basó en el hecho de que todo el proceso de búsqueda no está autenticado, lo que significa que no hay forma de verificar la identidad del servidor autorizado, y que las solicitudes y respuestas de DNS usan UDP (Protocolo de datagramas de usuario) en lugar de TCP, lo que facilita la falsificar las respuestas.

Para contrarrestar el problema, se usó un puerto UDP aleatorio como segundo identificador junto con el ID de la transacción, en lugar de solo usar el puerto 53 para búsquedas y respuestas de DNS, aumentando así la entropía en el orden de miles de millones y haciéndola prácticamente inviable para los atacantes. para adivinar la combinación correcta del puerto de origen y el ID de transacción.

Aunque la efectividad de los ataques de envenenamiento de caché se ha visto afectada debido a la aleatorización del puerto de origen (SPR) antes mencionada y protocolos como DNSSEC (extensiones de seguridad del sistema de nombres de dominio), los investigadores encontraron en noviembre pasado un canal lateral "novedoso" para derrotar la aleatorización por utilizando límites de velocidad ICMP como canal lateral para revelar si un puerto determinado está abierto o no.

Los ataques, denominados " SAD DNS " o DNS AttackeD de canal lateral, implican enviar una ráfaga de paquetes UDP falsificados a un sistema de resolución de DNS, cada uno enviado a través de un puerto diferente y, posteriormente, utilizando ICMP "Port Unreachable" (o la falta de ellos) como un indicador para discernir si se ha cumplido el límite de velocidad y, finalmente, reducir el puerto de origen exacto desde el que se originó la solicitud.

Montar ataques en varias etapas que permitan la toma de control de dispositivos

Curiosamente, los ataques de envenenamiento de caché de DNS detallados por JSOF tienen similitudes con SAD DNS en que las tres vulnerabilidades (CVE-2020-25684, CVE-2020-25685 y CVE-2020-25686) tienen como objetivo reducir la entropía de los ID de transacción y puerto de origen que son necesarios para que se acepte una respuesta.

Específicamente, los investigadores señalaron que a pesar del soporte de Dnsmasq para SPR, "multiplexa múltiples TXID en la parte superior de un puerto y no vincula cada puerto a TXID específicos", y que el algoritmo CRC32 utilizado para prevenir la suplantación de DNS puede ser derrotado trivialmente, lo que lleva a un escenario en el que "el atacante necesita acertar cualquiera de los puertos y cualquiera de los TXID".

Se encontró que las versiones 2.78 a 2.82 de Dnsmasq se veían afectadas por las tres fallas.


Las otras cuatro vulnerabilidades reveladas por JSOF son desbordamientos de búfer basados ​​en montón, que pueden conducir a una posible ejecución remota de código en el dispositivo vulnerable.

"Estas vulnerabilidades, en sí mismas, tendrían un riesgo limitado, pero se vuelven especialmente poderosas ya que pueden combinarse con las vulnerabilidades de envenenamiento de caché para producir un ataque potente, lo que permite la ejecución remota de código", dijeron los investigadores.

Peor aún, estas debilidades se pueden encadenar con otros ataques de red como SAD DNS y NAT Slipstreaming para montar ataques de varias etapas contra los resolutores Dnsmasq que escuchan en el puerto 53. Incluso aquellos que están configurados para escuchar solo las conexiones recibidas desde una red interna son en riesgo si el código malicioso se transmite a través de navegadores web u otros dispositivos infectados en la misma red.

Además de hacerlos susceptibles al envenenamiento de la caché, los ataques también pueden permitir que un mal actor tome el control de los enrutadores y el equipo de red, organice ataques distribuidos de denegación de servicio (DDoS) al desviar el tráfico a un dominio malicioso e incluso evitar que los usuarios accedan sitios legítimos (DDoS inverso).

Los investigadores también plantearon la posibilidad de un "ataque de gusanos" en el que los dispositivos móviles conectados a una red que usa un servidor Dnsmasq infectado reciben un registro DNS incorrecto y luego se usan para infectar una nueva red al conectarse a ella.

Actualice Dnsmasq a 2.83

Se recomienda encarecidamente que los proveedores actualicen su software Dnsmasq a la última versión (2.83 o superior) que se lanzará más tarde hoy para mitigar el riesgo.

Como soluciones alternativas, los investigadores sugieren reducir el número máximo de consultas que se pueden reenviar, así como confiar en DNS-over-HTTPS ( DoH ) o DNS-over-TLS (DoT) para conectarse al servidor ascendente.

"El DNS es un protocolo crítico de Internet cuya seguridad afecta en gran medida la seguridad de los usuarios de Internet", concluyeron los investigadores. "Estos problemas ponen en riesgo los dispositivos de red y afectan a millones de usuarios de Internet, que pueden sufrir el ataque de envenenamiento de caché que se presenta.

"Esto destaca la importancia de la seguridad de DNS en general y la seguridad de los reenviadores de DNS en particular. También destaca la necesidad de acelerar el despliegue de medidas de seguridad de DNS como DNSSEC, seguridad de transporte de DNS y cookies de DNS".

Vía: The Hacker News

La Open Source Initiative advirtió a los usuarios sobre la llamada Server Side Public License ya que no cumple con los criterios de la entidad para ser considerada de código abierto.

Hemos visto que varias empresas han abandonado su dedicación original a la comunidad de código abierto al cambiar sus productos básicos de una licencia de código abierto, una aprobada por la Iniciativa de Código Abierto, a una licencia de código «fauxpen». El sello distintivo de una licencia de fuente fauxpen es que quienes hicieron el cambio afirman que su producto sigue siendo «abierto» bajo la nueva licencia, pero la nueva licencia en realidad ha quitado los derechos de los usuarios.

El término «Fauxpen» lo acuñó Tristan Louis en el año 2009 y se deriva de la palabra francesa para designar algo que es falso. Por escrito se pierde el juego de palabras así que digamos que la pronunciación del neologismo fauxpen source es fō-pən sȯrs. Muy parecido a opensource.
Para dar una definición estilo RAE digamos que fauxpen source es:

Una descripción del software que afirma ser de código abierto, pero que carece de las plenas libertades requeridas por la Definición de Código Abierto.

Tristan amplió la definición a:

- Fauxpenness: Acción de Llamar a un sistema o plataforma abierta pero, que si se le examina más de cerca, se descubre que está bajo el estricto control de su proveedor.
- Sistema Fauxpen (o plataforma fauxpen): un sistema o plataforma que afirma estar abierto pero, tras un examen más detenido, no lo está.

Porqué advierten sobre una licencia

De acuerdo al comunicado emitido por la Open Source Initiative

Esta licencia fue presentada a la Open Source Initiative para su aprobación, pero posteriormente fue retirada por el administrador de la licencia cuando quedó claro que la misma no sería aprobada.

La OSI aclara más abajo la diferencia entre los dos tipos de licencias

Las licencias de código abierto son la base del ecosistema del software de código abierto, un sistema que fomenta y facilita el desarrollo colaborativo del software. Las licencias fauxpen permiten al usuario ver el código fuente pero no permiten otros derechos muy importantes protegidos por la definición de código abierto, como el derecho a utilizar el programa para cualquier campo de actividad.

El caso Elastic

¿Por qué advierten sobre una licencia de la que la mayoría de nosotros nunca escuchó hablar?

Elastic, una empresa desarrolladora de herramientas para búsqueda y análisis de datos publicó lo siguiente en su blog:

Estamos moviendo nuestro código fuente de Apache 2.0-licenciado en Elasticsearch y Kibana para que sea de doble licencia bajo la Server Side Public License (SSPL) y la Elastic License, dando a los usuarios la elección de qué licencia aplicar. Este cambio de licencia asegura a nuestra comunidad y a los clientes un acceso libre y abierto para usar, modificar, redistribuir y colaborar en el código. También protege nuestra continua inversión en el desarrollo de productos que distribuimos de forma gratuita y abierta, restringiendo a los proveedores de servicios en la nube la posibilidad de ofrecer Elasticsearch y Kibana como un servicio sin tener que contribuir.

Desde la OSI reconocen que:

Esto no quiere decir que Elastic, o cualquier compañía, no deba adoptar cualquier licencia que sea apropiada para sus propias necesidades comerciales. Esa puede ser una licencia de propiedad, ya sea de fuente cerrada o con fuente disponible. La Iniciativa de Código Abierto cree firmemente que el modelo de desarrollo de código abierto es la mejor manera de desarrollar software y da como resultado un producto superior. Pero también reconocemos que no es la elección correcta para todos en todos los casos. Una empresa puede encontrarse con que sus necesidades y la dirección de su negocio han cambiado con el tiempo, de tal manera que la elección de la licencia original está interfiriendo con su modelo de negocio. Un cambio puede ser la elección correcta.

Pero aclaran:

Lo que una empresa no puede hacer es afirmar o insinuar que el software bajo una licencia que no ha sido aprobada por la Iniciativa de Código Abierto, y mucho menos una licencia que no cumple con la Definición de Código Abierto, es software de código abierto. Es un engaño, simple y llanamente, afirmar que el software tiene todos los beneficios y promesas del código abierto cuando no es así.

Vía: Linuxadictos

Los desarrolladores de Collabora no han parado de trabajar y es que en los últimos meses han dado mucho de que hablar y en esta ocasión no es la excepción pues recientemente dieron a conocer él anunció de la implementación en el controlador Panfrost del soporte OpenGL 3.1 para GPU Midgard (Mali-T6xx, Mali-T7xx, Mali-T8xx) y GPU Bifrost (Mali G3x, G5x, G7x), así como soporte OpenGL ES 3.0 para GPU Bifrost.

Estos cambios se esperan que sean incluidos en el lanzamiento de Mesa 21.0, que actualmente se encuentra en la etapa de candidato a lanzamiento.

Hay que recordar que los desarrolladores de Collabora han trabajado ya bastante tiempo sobre la implementación de controladores para mesa y un ejemplo de ello es el pasado controlador Gallium para Mesa, que implementa una capa intermedia para organizar la API OpenCL 1.2 y OpenGL 3.3 sobre los controladores con soporte DirectX 12 (D3D12) y que su código fuente se publica bajo la licencia MIT.

El controlador propuesto permite usar Mesa en dispositivos que inicialmente no son compatibles con OpenCL y OpenGL y también como una posición inicial para portar aplicaciones OpenGL/OpenCL para trabajar sobre D3D12.

Por la parte del nuevo controlador Panfrost, se observa que GPU Midgard y Bifrost comparten estructuras de datos comunes para funciones fijas, pero Bifrost usa un conjunto de instrucciones fundamentalmente diferente, lo que dificulta la implementación sincrónica de la funcionalidad para los datos de GPU.

Arquitectónicamente, Bifrost comparte la mayoría de sus estructuras de datos de función fija con Midgard, pero presenta un nuevo conjunto de instrucciones. Nuestro trabajo para presentar OpenGL ES 3.0 en Bifrost refleja esta división.

Algunas características de función fija, como la creación de instancias y la retroalimentación de transformación, funcionaron sin ningún cambio específico de Bifrost, ya que ya lo hicimos en Midgard. Otras características de sombreado, como objetos de búfer uniformes, requerían implementaciones «desde cero» en el compilador Bifrost, una tarea facilitada por la representación intermedia madura del compilador con soporte de construcción de primera clase.

Por ejemplo, las funciones fijas ya implementadas para Midgard, como la «retroalimentación de transformación», se pueden transferir a Bifrost sin cambios, mientras que las funciones como Multiple Render Targets (MRT) están limitadas a algunos cambios específicos de Bifrost.

Al mismo tiempo, otras operaciones con sombreadores, como los objetos de búfer unificados, requieren una implementación desde cero para el compilador de sombreadores Bifrost.

Esto sigue al soporte de OpenGL ES 3.0 en Midgard que aterrizó durante el verano, así como el soporte inicial de OpenGL ES 2.0 que debutó recientemente para Bifrost. OpenGL ES 3.0 ahora se prueba en Mali G52 en la integración continua de Mesa, logrando una tasa de aprobación del 99.9% en las pruebas correspondientes del Programa de Calidad de DrawElements.

Sin embargo, otras características, como múltiples objetivos de renderizado, requerían un código específico de Bifrost mientras aprovechaban otro código compartido con Midgard. Con todo, el trabajo avanzó mucho más rápido la segunda vez, un testimonio del poder del código compartido. Pero no es necesario limitar el intercambio a solo las GPU Panfrost; Los controladores de código abierto pueden compartir código entre proveedores.

Además, en él anunció se menciona que se evitó parte de la duplicación de trabajo mediante el uso de una representación intermedia en el compilador, que, junto con el código compartido, acelera significativamente el desarrollo y que con este enfoque, el código se puede usar no solo para una familia de GPU, sino también para diferentes controladores.

En particular, los desarrolladores mencionan que para poder implementar OpenGL en sistemas de escritorio, el controlador Panfrost requirió del usó de componentes Mesa listos para usar, mientras que el controlador propietario para Mali solamente se limita a admitir solo OpenGL ES.

Sin embargo, la compatibilidad con OpenGL 3.1 de escritorio es casi «gratuita» para nosotros como un controlador de Mesa ascendente al aprovechar la infraestructura común.

Vía: Linuxadictos

En octubre de 2020 el Banco Central Europeo dio a conocer las primeras pistas acerca de la creación de un euro digital. Un euro digital que no sustituya al actual sino que más bien complemente al efectivo. El proyecto, aunque parecía algo abandonado estos últimos meses, sigue en marcha. Estudiarán junto a la Comisión Europea cuáles pueden ser los puntos débiles y tomarán una decisión para mediados de este año.

Según un anuncio oficial, la Comisión Europea y el Banco Central Europeo se han unido para considerar los posibles problemas que podrían surgir de la implementación de un euro digital. Con ello buscan tener atados todos los cabos antes de que se comience un proceso de desarrollo de la moneda digital este próximo verano de 2021.


La cooperación entre las dos entidades es para revisar "conjuntamente a nivel técnico una amplia gama de cuestiones políticas, jurídicas y técnicas que surgen de una posible introducción de un euro digital". Crear una moneda digital no es tarea de sencilla, menos aún si involucra a los 19 países que actualmente utilizan el Euro como moneda.

La Comisión Europea y el Banco Central Europeo decidirán para mediados de 2021 su futuro

La idea del Banco Central Europeo es poder tener unas bases sobre las que decidir si merece la pena y cómo crear un euro digital. Si bien podría ser simplemente un análogo del euro en efectivo, lo cierto es que hay que tener en cuenta factores extra que implican la digitalización. Por ejemplo, la privacidad de los usuarios en el momento que una moneda digital automáticamente debe estar asociada a alguien o cosas más "mundanas" como el hecho de que no todo el mundo tiene acceso a Internet y dispositivos digitales para utilizar monedas digitales.
Un euro digital en "no más de cinco años"

La semana pasada precisamente la presidenta del Banco Central Europeo, Christine Lagarde, realizó una serie de declaraciones acerca de cuándo podríamos ver este euro digital y qué hay que tener en cuenta. El proceso, según lo ve, va a tomar un largo tiempo, aunque espera que no más de cinco años.

El Banco Central Europeo realizó recientemente una encuesta pública para ver cuál es el interés y la opinión de los ciudadanos acerca de un euro digital. Indican que definitivamente hay una necesidad y una demanda de un euro digital. Sin embargo, hay que tener en cuenta aspectos como la privacidad o la seguridad de la moneda para evitar su hackeo entre otras cosas.

Mientras tanto, en la otra parte del mundo, China está probando ya su moneda digital en un programa piloto de pruebas. Y no le va nada mal, en uno de los países donde los pagos móviles más implementados están. Situaciones como la actual pandemia también han provocado que se impulse el uso de monedas y pagos digitales en Europa.

Vía: Euractiv
Más información:  European Commission y ECB

Apple elimina la función de macOS que permitía a las aplicaciones pasar por alto los filtros de contenido, las VPN y los firewalls de terceros.

Llamada " ContentFilterExclusionList ", incluía una lista de hasta 50 aplicaciones de Apple como iCloud, Maps, Music, FaceTime, HomeKit, App Store y su servicio de actualización de software que se enrutaron a través de Network Extension Framework, eludiendo efectivamente las protecciones de firewall.

Esta lista de exclusión se eliminó ahora de macOS 11.2 beta 2.

El problema salió a la luz por primera vez en octubre pasado luego del lanzamiento de macOS Big Sur, lo que generó preocupaciones de los investigadores de seguridad que dijeron que la función estaba lista para el abuso, y agregaron que un atacante podría aprovecharla para exfiltrar datos confidenciales llevándolos a aplicaciones legítimas de Apple. incluidos en la lista y luego pasar por alto los firewalls y el software de seguridad.

"Después de mucha mala prensa y muchos informes de errores / comentarios a Apple por parte de desarrolladores como yo, parece que las mentes más sabias (más conscientes de la seguridad) en Cupertino prevalecieron", dijo Patrick Wardle, investigador principal de seguridad de Jamf, la semana pasada.


Los investigadores, incluido Wardle, descubrieron el año pasado que las aplicaciones de Apple estaban siendo excluidas de NEFilterDataProvider , un filtro de contenido de red que hace posible que las aplicaciones de firewall y VPN como LuLu y Little Snitch monitoreen y controlen el tráfico de datos de las aplicaciones instaladas en el sistema.

Wardle demostró una instancia de cómo las aplicaciones maliciosas podrían explotar esta omisión de firewall para transmitir datos a un servidor controlado por un atacante usando un simple script de Python que enganchaba el tráfico a una aplicación exenta de Apple a pesar de configurar LuLu y Little Snitch para bloquear todas las conexiones salientes en una Mac. ejecutando Big Sur.

Con este nuevo cambio, los firewalls de filtro de sockets como LuLu ahora pueden filtrar / bloquear de manera integral todo el tráfico de red, incluidos los de las aplicaciones de Apple.

Las actualizaciones se producen cuando Apple desaprobó el soporte para Network Kernel Extensions en 2019 a favor del Network Extensions Framework.

Nos hemos comunicado con Apple y actualizaremos la historia si recibimos una respuesta.

Vía: The Hacker News

Joker's Stash, el mercado de la web oscura más grande conocido por vender datos de tarjetas de pago comprometidos, ha anunciado planes para cerrar sus operaciones el 15 de febrero de 2021.

En una publicación en un tablero de mensajes en un foro clandestino de delitos informáticos en ruso, el operador del sitio, que se conoce con el nombre de "JokerStash", dijo que "es hora de que nos vayamos para siempre" y que "nunca más volveremos a abrir". según informes gemelos de las firmas de ciberseguridad Gemini Advisory e Intel471 .

"Joker se va a un retiro bien merecido. Joker's Stash está cerrando", decía la publicación. "Cuando abrimos hace años, nadie nos conocía. Hoy somos uno de los mercados de tarjetas / vertederos más grandes".

La razón exacta del cierre aún no está clara.

Joker's Stash, desde sus orígenes en 2014, emergió como uno de los mayores actores en la economía de las tarjetas de pago clandestinas a lo largo de los años, con más de mil millones de dólares generados en ingresos.

La noticia del cierre inminente llega semanas después de que la Oficina Federal de Investigaciones (FBI) de los EE. UU. E Interpol supuestamente incautaron servidores proxy utilizados en relación con dominios basados ​​en Blockchain que pertenecen al sitio el mes pasado, interrumpiendo brevemente sus operaciones.

A los crecientes problemas se sumó una "severa disminución" en el volumen de datos robados publicados en el sitio, lo que provocó quejas de los clientes sobre la mala calidad de los datos de las tarjetas de pago.

Luego, a fines de octubre, las actividades rutinarias del sitio también sufrieron después de que el actor que supuestamente dirige el sitio afirmó haber contraído COVID-19 y había pasado más de una semana en un hospital.

Gemini Advisory señaló el reciente aumento de Bitcoin como otra razón que puede haber llevado a la desaparición del sitio web.

Bitcoin alcanzó un récord de $ 40,000 la semana pasada, elevando el valor total del mercado de criptomonedas por encima de $ 1 billón por primera vez.

"JokerStash fue uno de los primeros defensores de Bitcoin y afirma mantener todas las ganancias en esta criptomoneda", dijeron los investigadores. "Es probable que este actor ya se encuentre entre los ciberdelincuentes más ricos, y el aumento puede haber multiplicado su fortuna, haciéndoles ganar suficiente dinero para jubilarse".

Sin embargo, el cierre de Joker's Stash no es el final del camino, ya que se espera que los proveedores hagan la transición a otros mercados de la web oscura para anunciar sus servicios.

El administrador del sitio tuvo algunos consejos de despedida para los ciberdelincuentes.

"También queremos desear a todos los jóvenes y maduros cyber-gángsters que no se pierdan en la búsqueda del dinero fácil (sic)", concluyó el post. "Recuerda que ni siquiera todo el dinero del mundo te hará feliz y que todas las cosas más valiosas de esta vida son gratis".

Vía: The Hacker News

Los datos de 214 millones de cuentas de Facebook, Instagram y LinkedIn pueden haber sido filtrados para crear perfiles muy detallados.

No es extraño que de vez en cuando nos enteremos de alguna filtración de datos que ha ocurrido en una plataforma y ya casi ni nos sorprenden los números que se manejan, pero pensar en 214 millones de cuentas resulta abrumador. Estas son las cuentas que parecen haberse filtrado el mes pasado, y todas ellas de redes sociales muy populares.

A los problemas que está sufriendo WhatsApp con la polémica respecto a los cambios en las condiciones de uso que debe aceptar el usuario o se le borrará la cuenta, ahora se suma una filtración de datos que han localizado en la empresa de gestión de redes sociales Socialarks. Pero no solo afecta a Facebook, también a LinkedIn.

Según la información detectada, se han descargado más de 408 GB con datos personales obtenidos de las redes sociales de Facebook y Microsoft que afectan a usuarios de todo el planeta. El informe publicado por Safety Detectives es claro en este aspecto, pero dentro de lo grave del asunto tiene buenas noticias para quienes más protejan su privacidad.

Dentro de las malas noticias posibles, hay que apuntar que no se han hecho con contraseñas, sino que han aprovechados toda la información que se podía obtener de forma pública y la han interrelacionado para crear perfiles de usuario lo más detallados posibles. Todavía no se sabe con qué fin se ha realizado esta laboriosa tarea.

Entre los datos recopilados de forma masiva a través de Facebook, Instagram y LinkedIn se trataron de obtener estos: nombre completo, teléfonos, correos, seguidores, Imágenes de perfil, formación... Pero también obtuvieron de algún modo teléfonos que no estaban publicados de forma abierta, según Lifehacker.

Por ahora no parece haber manera de averiguar si tu cuenta ha sido afectada, aunque sí recomiendan ser conscientes de la información que se pone en modo público vista la facilidad con la que se puede acceder a ella. Facebook, Instagram y LinkedIn tienen una privacidad y funciones bien distintas, y merece la pena pensar en la información a la que queremos que pueda acceder cualquiera.

Vía: Computer Hoy

A días de que finalice el mandato de Donald Trump como presidente de Estados Unidos, los departamentos de Comercio y Defensa han impuesto una serie de nuevas restricciones a grandes empresas chinas. Por asuntos y preocupaciones de seguridad el Departamento de Defensa suma a Xiaomi a su lista que le prohíbe a cualquier empresa o inversor estadounidense invertir en la compañía con sede en China.

Un total de nueve empresas han entrado en la lista de entidades restringidas por los dos departamentos gubernamentales de Estados Unidos. Según recoge Financial Times, alegando preocupaciones de seguridad, el Pentágono (Departamento de Defensa) incluyó durante el día de hoy a Xiaomi en la lista de empresas con presunto vínculo con el ejército chino.


En diferente lista que Huawei, con distintas restricciones que Huawei

De los últimos años el caso más sonado de restricciones a empresas chinas por parte de Estados Unidos es sin duda alguna el de Huawei. Con el bloqueo de 2019 la Administración Trump impidió que cualquier empresa estadounidense tuviese negocios y colaboraciones con Huawei. En el caso de hoy no es así, Xiaomi ha entrado en una lista diferente, gestionada por el Departamento de Defensa y no por el Departamento de Comercio.

La lista del Departamento de Defensa existe desde 1999 y diferentes empresas han pasado por ella a lo largo de las dos décadas. Estar en esta lista para Xiaomi significa que el gobierno estadounidense cree que Xiaomi tiene vínculos con el ejército chino. Vínculos lo suficientemente estrechos como para que represente una amenaza potencial para Estados Unidos, según el Pentágono.

Como consecuencia, no se prohíbe exactamente que todas las empresas estadounidenses dejen de tener relaciones con Xiaomi. Se prohíbe que inversores estadounidenses inviertan en Xiaomi. Por lo tanto Xiaomi no va a sufrir los mismos estragos que Huawei perdiendo por ejemplo los servicios de Google y el uso de tecnologías estadounidenses para la fabricación de sus teléfonos.


No obstante, sí que puede provocar que las acciones de Xiaomi caigan en bolsa. La acción en estos momentos ya ha caído casi un 10% en las últimas cuatro horas. Los estadounidenses tendrán que vender todas sus acciones de Xiaomi antes del 11 de noviembre de 2021.

En respuesta a Xataka, un portavoz de Xiaomi nos indica lo siguiente:

    "La Compañía ha cumplido con la ley y ha operado de conformidad con las leyes y regulaciones pertinentes de las jurisdicciones donde realiza sus negocios. La Compañía reitera que brinda productos y servicios para uso civil y comercial. La Compañía confirma que no es propiedad, no está controlada ni afiliada con el ejército chino, y no es una "Compañía Militar Comunista China" definida bajo la NDAA. La Compañía tomará el curso de acciones apropiado para proteger los intereses de la Compañía y sus accionistas".

    "La Compañía está revisando las posibles consecuencias de esto para desarrollar una comprensión más completa de su impacto en el Grupo. La Compañía hará más anuncios cuando sea apropiado".
pic.twitter.com/56F87lWx8f
    — Xiaomi (@Xiaomi) January 15, 2021

Más información: U.S. Dept of Defense
Vía: Xataka

Los investigadores de ciberseguridad han revelado una serie de ataques de un actor de amenazas de origen chino que ha atacado a organizaciones en Rusia y Hong Kong con malware, incluida una puerta trasera previamente indocumentada.

Al atribuir la campaña a Winnti (o APT41), Positive Technologies fecha el primer ataque al 12 de mayo de 2020, cuando APT usó accesos directos de LNK para extraer y ejecutar la carga útil del malware. Un segundo ataque detectado el 30 de mayo utilizó un archivo RAR malicioso que consta de accesos directos a dos documentos PDF de cebo que se dice que son un curriculum vitae y un certificado IELTS.

Los accesos directos contienen enlaces a páginas alojadas en Zeplin, una herramienta de colaboración legítima para diseñadores y desarrolladores que se utilizan para buscar el malware de la etapa final que, a su vez, incluye un cargador de código shell ("svchast.exe") y una puerta trasera llamada Crosswalk. ("3t54dE3r.tmp").

Crosswalk, documentado por primera vez por FireEye en 2017, es una puerta trasera modular básica capaz de realizar un reconocimiento del sistema y recibir módulos adicionales de un servidor controlado por un atacante como código shell.


Si bien este modus operandi comparte similitudes con el del grupo de amenazas coreano Higaisa, que se descubrió explotando archivos LNK adjuntos en un correo electrónico para lanzar ataques a víctimas desprevenidas en 2020, los investigadores dijeron que el uso de Crosswalk sugiere la participación de Winnti.

Esto también está respaldado por el hecho de que la infraestructura de red de las muestras se superpone con la infraestructura APT41 previamente conocida, y algunos de los dominios se remontan a los ataques de Winnti a la industria de los videojuegos en línea en 2013.

La nueva ola de ataques no es diferente. Cabe destacar que entre los objetivos se incluyen Battlestate Games, un desarrollador de juegos Unity3D de San Petersburgo.

Además, los investigadores encontraron muestras de ataques adicionales en forma de archivos RAR que contenían Cobalt Strike Beacon como carga útil, con los piratas informáticos en un caso haciendo referencia a las protestas de Estados Unidos relacionadas con la muerte de George Floyd el año pasado como un señuelo.

En otro caso, los certificados comprometidos pertenecientes a una empresa taiwanesa llamada Zealot Digital fueron abusados ​​para atacar organizaciones en Hong Kong con inyectores Crosswalk y Metasploit, así como ShadowPad , Paranoid PlugX y una nueva puerta trasera .NET llamada FunnySwitch.


La puerta trasera, que parece estar todavía en desarrollo, es capaz de recopilar información del sistema y ejecutar código JScript arbitrario. También comparte una serie de características comunes con Crosswalk, lo que lleva a los investigadores a creer que fueron escritas por los mismos desarrolladores.

Anteriormente, Paranoid PlugX se había relacionado con ataques a empresas de la industria de los videojuegos en 2017. Por lo tanto, el despliegue del malware a través de la infraestructura de red de Winnti da credibilidad a la "relación" entre los dos grupos.

"Winnti continúa buscando desarrolladores y editores de juegos en Rusia y en otros lugares", concluyeron los investigadores. "Los pequeños estudios tienden a descuidar la seguridad de la información, lo que los convierte en un objetivo tentador. Los ataques a los desarrolladores de software son especialmente peligrosos por el riesgo que representan para los usuarios finales, como ya sucedió en los conocidos casos de CCleaner y ASUS".

Vía: The Hacker News

Intel y Cybereason se han asociado para construir defensas anti-ransomware en los procesadores de clase empresarial Core vPro de undécima generación recientemente anunciados por el fabricante de chips .

Las mejoras de seguridad basadas en hardware están integradas en la plataforma vPro de Intel a través de su Hardware Shield y Threat Detection Technology (TDT), lo que permite la creación de perfiles y la detección de ransomware y otras amenazas que tienen un impacto en el rendimiento de la CPU.

Citar"La solución conjunta representa la primera instancia en la que el hardware de PC juega un papel directo en las defensas de ransomware para proteger mejor los terminales empresariales de ataques costosos", dijo Cybereason .

Exclusivo de vPro, Intel Hardware Shield brinda protección contra ataques a nivel de firmware dirigidos al BIOS , lo que garantiza que el sistema operativo (SO) se ejecute en hardware legítimo y minimice el riesgo de inyección de código malicioso al bloquear la memoria en el BIOS cuando el El software se está ejecutando para ayudar a evitar que el malware plantado comprometa el sistema operativo.

Intel TDT, por otro lado, aprovecha una combinación de datos de telemetría de CPU y heurística basada en aprendizaje automático para identificar comportamientos de ataque anómalos, incluido malware polimórfico, scripts sin archivos, minería de cifrado e infecciones de ransomware, en tiempo real.

"La unidad de supervisión del rendimiento de la CPU de Intel se encuentra debajo de las aplicaciones, el sistema operativo y las capas de virtualización del sistema y ofrece una representación más precisa de las amenazas activas en todo el sistema", dijo Intel . "A medida que las amenazas se detectan en tiempo real, Intel TDT envía una señal de alta fidelidad que puede desencadenar flujos de trabajo de corrección en el código del proveedor de seguridad".

El desarrollo se produce cuando los ataques de ransomware aumentaron enormemente el año pasado, impulsados ​​en parte por la pandemia COVID-19 , con un pago promedio que aumentó de aproximadamente $ 84,000 en 2019 a aproximadamente $ 233,000 el año pasado.

Las infecciones de ransomware también han provocado un aumento en la "doble extorsión", en la que los ciberdelincuentes roban datos confidenciales antes de implementar el ransomware y los mantienen como rehenes con la esperanza de que las víctimas paguen en lugar de correr el riesgo de que su información se haga pública, lo que socava completamente la práctica de recuperarse de copias de seguridad de datos y evitar pagar rescates.

Es más, los operadores de malware están extendiendo cada vez más su enfoque más allá del sistema operativo del dispositivo a capas inferiores para implementar potencialmente bootkits y tomar el control completo de un sistema infectado.

El mes pasado, los investigadores detallaron una nueva función " TrickBoot " en TrickBot que puede permitir a los atacantes inyectar código malicioso en el firmware UEFI / BIOS de un dispositivo para lograr la persistencia, evitar la detección y llevar a cabo campañas destructivas o centradas en el espionaje.

Citar"La protección multicapa de Cybereason, en colaboración con la tecnología Intel Threat Detection, permitirá una visibilidad completa para detectar y bloquear rápidamente los ataques de ransomware antes de que los datos se puedan cifrar o exfiltrar", dijeron las empresas.

Visto desde esa perspectiva, la colaboración entre Intel y Cybereason es un paso en la dirección correcta, lo que facilita la detección y erradicación del malware desde el nivel de chip hasta el punto final.


Vía: The Hacker Nnews

Los atacantes utilizan contraseñas filtradas para tomar el control de dispositivos IoT para realizar falsas denuncias y que acudan las fuerzas especiales al hogar de las víctimas.

Bromistas están comprometiendo dispositivos inteligentes hogareños con cámara y funcionalidad de voz para realizar falsas denuncias a los servicios de emergencias para que irrumpan en el domicilio de las víctimas. Además, en algunos casos reproducen la llegada del equipo SWAT al hogar de las personas utilizando los altavoces y las cámaras inteligentes comprometidas.

Así lo afirmó el FBI en un comunicado en el que advierte a los usuarios de dispositivos IoT con cámara y con funcionalidad de voz que fabricantes han notificado que atacantes han estado utilizando contraseñas de cuentas de correo filtradas -y que han sido reutilizadas en sus dispositivos IoT- para tomar el control de los dispositivos y de esta manera llevar adelante ataques de Swatting.

Los atacantes utilizan las contraseñas filtradas para acceder a los dispositivos IoT y tomar el control de sus funcionalidades para de esta manera llamar a los servicios de emergencia para que acuda el equipo SWAT al hogar de las víctimas.

Por Swatting se denomina a una modalidad que utilizan para realizar bromas de mal gusto en las que llaman a los equipos de las fuerzas especiales denunciando una emergencia para que acudan a la casa de las personas. El término Swatting deriva de SWAT, abreviación por la que se conoce en Estados Unidos a los equipos de elite de la policía para operaciones de alto riesgo.

Según explica el comunicado del FBI, estas bromas son consideradas crímenes serios que en algunos casos han tenido consecuencias violentas y que han llegado a poner en riesgo la vida de las personas.

Por su parte, el FBI está trabajando junto a los fabricantes para intentar advertir a los clientes acerca de este engaño y cómo evitar ser víctima, mientras que también está trabajando con las fuerzas de seguridad para que estén al tanto de la situación.

La recomendación para los usuarios que cuenten con dispositivos inteligentes en su hogar es que utilicen contraseñas complejas, fuertes y únicas para acceder a las cuentas de servicios en línea y que en la medida de lo posible activen el doble factor de autenticación en cada una de sus cuentas y dispositivos que estén conectados a Internet.

Vía: welivesecurity