viernes, 31 de marzo de 2023

d3dcompiler_47.dll el archivo peligroso y malicioso que esta firmado por Microsoft

Los actores de amenazas utilizaron una pieza de software de comunicación corporativa muy apreciada de 3CX, según los expertos en seguridad. En particular, los informes indican que se utilizó un cliente de escritorio para el servicio 3CX VoIP (Voz sobre Protocolo de Internet) para apuntar específicamente a los clientes de 3CX.

Se cree que el ataque es un proceso de varias partes, con la primera etapa utilizando una versión pirateada de la aplicación de escritorio 3CX. Aunque el archivo.exe y el paquete MSI tienen el mismo nombre, investigaciones preliminares indican que el paquete MSI es el que puede incluir DLL que se han modificado maliciosamente.

El comienzo del proceso de infección ocurre cuando 3CXDesktopApp.exe carga el archivo ffmpeg.dll. Después de eso, ffmpeg.dll leerá el código encriptado de d3dcompiler_47.dll y luego lo decodificará. Parece que el código descifrado es la carga útil de la puerta trasera que intenta visitar la página de IconStorage GiHub para acceder a un archivo ICO que contiene el servidor C&C cifrado al que se conecta la puerta trasera para adquirir la carga útil final probable.

No es una coincidencia que los actores de amenazas responsables de este ataque eligieran estas dos DLL (ffmpeg y d3dcompiler_47) como objetivos para su ataque. La aplicación en cuestión, conocida como 3CXDesktopApp, fue desarrollada usando el framework de código abierto Electron. Ambas bibliotecas en cuestión a menudo se distribuyen junto con el tiempo de ejecución de Electron. Como resultado, es muy poco probable que despierten sospechas en el entorno de los clientes individuales. Además, el archivo manipulado, d3dcompiler 47, está firmado con un certificado que se le otorgó a Microsoft Corporation, y los detalles de la firma digital para Windows reflejan que no hay problemas asociados a la firma.

En este caso, la “pistola humeante” fue una combinación de shellcode encriptado RC4 que se insertó en el apéndice de firma de d3dcompiler y una referencia a la biblioteca d3dcompiler que se introdujo en la biblioteca ffmpeg. Ambas cosas se agregaron a la biblioteca ffmpeg.

Windows mostrará una notificación que dice que “la firma digital del elemento no se validó” cada vez que se actualice un ejecutable firmado, pero a pesar de que somos conscientes de que se modificó la DLL d3dcompiler_47.dll, Windows continuó mostrándola como firmada. Esto es a pesar de que somos conscientes del hecho de que fue modificado.

Parece que la DLL está abusando de la falla CVE-2013-3900, que se conoce como “vulnerabilidad de validación de firma WinVerifyTrust”.

El 10 de diciembre de 2013, Microsoft fue la primera empresa en divulgar públicamente esta vulnerabilidad. En ese momento, la compañía explicó que es posible agregar contenido a la sección de firma del código de autenticación de un EXE (la estructura del CERTIFICADO WIN) en un ejecutable firmado sin invalidar la firma.

Microsoft tomó la decisión final de hacer que la corrección fuera opcional, muy probablemente porque invalidaría los ejecutables genuinos y firmados que contenían datos en el bloque de firma de un ejecutable. Como resultado, Microsoft tomó la decisión de hacer que la actualización fuera opcional.

De acuerdo con la divulgación hecha por Microsoft para el CVE-2013-3900, la compañía cambió la forma en que se verifican las firmas para los archivos binarios firmados con el formato de firma Windows Authenticode con el lanzamiento de una actualización el 10 de diciembre de 2013. Esta actualización estuvo disponible para todas las versiones compatibles de Microsoft Windows.

Esta modificación se puede activar de forma voluntaria si se desea. Cuando se habilita el nuevo comportamiento para la verificación de firma de Windows Authenticode, Windows ya no considerará los archivos binarios no compatibles como firmados y ya no permitirá que se almacene información innecesaria en WIN. Estructura del CERTIFICADO.

Aunque han pasado cerca de 10 años desde que se descubrió la vulnerabilidad, y aunque se sabe que varios actores de amenazas la están explotando, el remedio sigue siendo una función opcional que solo se puede activar modificando manualmente el Registro de Windows. Para empeorar las cosas, incluso si agrega las entradas del Registro para aplicar la actualización, se eliminarán después de actualizar a Windows 11, lo que hace que su dispositivo sea vulnerable una vez más.

Las empresas que posiblemente se vean afectadas deben dejar de usar de inmediato la versión vulnerable del software, dlls si es factible e implementar parches o medidas de mitigación, si están disponibles. El personal de TI y de seguridad también debe buscar compilaciones y binarios comprometidos probados y observar actividad anormal en los procesos de 3CX, con una atención particular en el tráfico de C&C.

Mientras tanto, la activación de la supervisión del comportamiento en las soluciones de seguridad puede ayudar a determinar si se está produciendo o no un ataque dentro del sistema.

El cargo d3dcompiler_47.dll el archivo peligroso y malicioso que esta firmado por Microsoft apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 30 de marzo de 2023

Estas vulnerabilidades de Samba permiten que los servidores sean hackeados

Samba es un proyecto de software gratuito que se ejecuta en sistemas operativos similares a UNIX y admite el protocolo de intercambio de archivos de Windows. Este protocolo alguna vez se llamó SMB, pero se le cambió el nombre a CIFS un poco más tarde. Las computadoras que ejecutan GNU/Linux, Mac OS X o Unix en general pueden percibirse como servidores o comunicarse con otras computadoras en redes basadas en Windows de esta manera, lo que hace posible que estas máquinas realicen cualquiera de las funciones.

Recientemente se descubrió que Samba tiene varias fallas de seguridad, cualquiera de las cuales podría permitir que un atacante obtenga acceso a datos confidenciales. Esto representa un peligro sustancial para la seguridad del sistema.

CVE-2023-0614 (PUNTUACIÓN CVSSV3 DE 7,7): SE PUEDEN ENCONTRAR ATRIBUTOS LDAP DE AD CON CONTROL DE ACCESO

Se descubrió la vulnerabilidad conocida como CVE-2023-0614, y permite a los atacantes acceder y posiblemente obtener información privada, como claves de recuperación de BitLocker, desde un Samba AD DC. Como el remedio para la vulnerabilidad anterior, CVE-2018-10919, fue inadecuado, las empresas que almacenan dichos secretos en su Samba AD deben asumir que se han visto comprometidos y necesitan ser reemplazados.

Impacto: la exposición de información secreta tiene el potencial de resultar en el acceso no autorizado a recursos confidenciales, lo que representa una grave amenaza para la seguridad de la organización.

Todos los lanzamientos de Samba desde la versión 4.0 se ven afectados por este problema.

Workaround: La solución que se propone es evitar almacenar información sensible en Active Directory, a excepción de contraseñas o claves que son esenciales para el funcionamiento de AD. Están en la lista de atributos secretos codificados, por lo que no son vulnerables a la vulnerabilidad.

CVE-2023-0922 (PUNTUACIÓN CVSSV3 DE 5,9): 

Están en la lista de atributos secretos codificados, por lo que no son vulnerables a la vulnerabilidad.
Esta vulnerabilidad, identificada como CVE-2023-0922, afecta a la herramienta administrativa Samba AD DC conocida como samba-tool. De forma predeterminada, esta herramienta transmite las credenciales en texto sin formato cada vez que se utiliza para realizar operaciones en un servidor LDAP remoto. Cuando se usa samba-tool para restablecer la contraseña de un usuario o agregar un nuevo usuario, se activa esta vulnerabilidad. Teóricamente, podría permitir que un atacante intercepte las contraseñas recién establecidas mediante el análisis del tráfico de la red.

La transmisión de contraseñas en texto plano abre la posibilidad de acceso no deseado a información crítica y pone en riesgo la seguridad de toda la red.

Todas las versiones de Samba lanzadas después de la 4.0 están incluidas en esta categoría.

Solución alternativa: para reducir el riesgo de explotar este problema, cambie el archivo smb.conf para incluir la línea “client ldap sasl wrap = seal” o agregue la opción —option=clientldapsaslwrapping=sign a cada invocación de samba-tool o ldbmodify que establece una contraseña.

Como ocurre con las vulnerabilidades de otro software, las de Samba pueden poner en grave riesgo la seguridad de una organización. Se recomienda encarecidamente a los administradores de Samba que actualicen a estas versiones o que instalen el parche tan pronto como sea razonablemente práctico.

El cargo Estas vulnerabilidades de Samba permiten que los servidores sean hackeados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 29 de marzo de 2023

La cuarta compañía farmacéutica más grande advierte sobre la pérdida de ingresos después de un gran ataque de ransomware

La banda de hackers informáticos conocida como Alphv afirma haber irrumpido en la red de Sun Pharmaceutical Industries Ltd. y robado más de 17 terabytes de datos, incluida la información personal de más de 1500 trabajadores, algunos de los cuales se encontraban en Estados Unidos y Europa.

Los hackers afirman que intentaron extorsionar a la empresa a través de una “conversación”, pero la empresa se negó a interactuar con ellos. Sun Pharmaceuticals no respondió a las afirmaciones de los piratas informáticos.

Los hackers afirman que Sun Pharmaceuticals minimizó deliberadamente la importancia de la fuga de datos al afirmar en público que solo se trataba de un “pequeño problema”.

Además, los hackers afirman que el personal de tecnología de la información de la empresa intenta continuamente arrestar a los delincuentes que operan dentro de la red de la empresa colocando una variedad de trampas trampa.

En presentaciones ante la Bolsa de Valores de Bombay, Sun Pharmaceuticals, que es la cuarta empresa farmacéutica genérica especializada más grande del mundo, dijo que se están realizando intentos para contener y eliminar el ransomware, y que se ha contratado a una empresa de seguridad cibernética para ayudar a reaccionar ante el situación. Los medicamentos farmacéuticos fabricados por esta corporación con sede en Mumbai se vendieron en más de cien países diferentes en 2022, lo que generó ventas por $ 5 mil millones. Tiene en nómina a más de 37.000 trabajadores.

La empresa ha reconocido que una pandilla de ransomware anónimo se ha atribuido la responsabilidad del ataque; sin embargo, no han identificado al grupo. El 24 de marzo, la infame organización de ransomware Black Cat/AlphV publicó información sobre la empresa en su sitio de filtración.

Los hackers han amenazado con publicar material relacionado con el presunto estudio de dopaje de la empresa, y lo han amenazado muchas veces. 

La supuesta violación de datos en Sun Pharmaceutical Industries Ltd. puede tener repercusiones graves y de gran alcance en caso de que se confirme que ocurrió.

El precio de las acciones de Sun Pharma fue más bajo de lo esperado cuando comenzó la negociación en Mumbai. Sin embargo, cotizaba a 980,30 rupias, una ganancia del 0,8%, en el BSE a las 9:40 de la mañana después de recuperarse de sus pérdidas. El BSE Sensex tuvo una ganancia del 0,4%.

Esto llega en un momento en que existe un riesgo creciente de que se lleven a cabo ataques similares contra la industria de la salud en la India, que es la industria que más ha sido atacada, seguida de la educación, la investigación, el gobierno y las fuerzas armadas.

En comparación con otras industrias en la India, el sector de la salud tuvo la mayor cantidad de ataques cibernéticos. En 2022, una organización en India fue atacada un promedio de 1866 veces por semana. En 2022, hubo un aumento interanual del 38 % en el número de ciberataques globales.

El cargo La cuarta compañía farmacéutica más grande advierte sobre la pérdida de ingresos después de un gran ataque de ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 28 de marzo de 2023

Hackear redes WI-FI WPA1, WPA2 Y WPA3 usando la vulnerabilidad del estándar WI-FI 802.11

Un adversario puede eludir el cifrado de algunas comunicaciones explotando una falla en el protocolo 802.11 generalizado, que les permite hacerlo. Los investigadores universitarios que hicieron el descubrimiento afirman que la falla permite a un adversario “engañar a los puntos de acceso para que se filtren marcos en texto sin formato, o encriptados usando el grupo o una clave de cero”.

Debido a que es una falla en el protocolo Wi-Fi , impacta en más de una implementación. El 27 de marzo de 2023 se puso a disposición del público un artículo académico innovador con el provocativo título “Framing Frames: Bypassing Wi-Fi Encryption by Manipulating Transmission Queues”. Este documento reveló fallas en el estándar Wi-Fi 802.11. Debido a estas vulnerabilidades, un atacante podría hacerse pasar por un cliente inalámbrico objetivo y redirigir tramas que ya están en las colas de transmisión de un punto de acceso a un dispositivo que controla el atacante. En esta publicación, analizan el funcionamiento de este ataque oportunista e investigaremos las muchas medidas preventivas que se pueden tomar para proteger su red de este peligro.

El ataque, que recibió el nombre de “MacStealer”, está dirigido contra las redes Wi-Fi que incluyen usuarios internos hostiles y aprovecha las omisiones de aislamiento del cliente (CVE-2022-47522). Incluso si los clientes no pueden comunicarse entre sí, puede interceptar la comunicación en la capa MAC. Las redes Wi-Fi que utilizan el aislamiento del cliente, la inspección ARP dinámica (DAI) y otros mecanismos destinados a evitar que los clientes se ataquen entre sí son susceptibles a este problema.

La primera empresa en reconocer la falla fue Cisco, que dijo que los ataques descritos en el artículo de investigación podrían ser efectivos contra los dispositivos Cisco Wireless Access Point y los productos Cisco Meraki con capacidades inalámbricas. Cisco fue la primera empresa en admitir el problema.

Los procesos de autenticación de clientes y enrutamiento de paquetes en las redes Wi-Fi funcionan de forma independiente, lo que es la causa raíz del agujero de seguridad conocido como CVE-2022-47522. Se requiere el uso de contraseñas, usuarios, ID 802.1X y/o certificados para la autenticación, aunque las direcciones MAC son las que determinan cómo se enrutan los paquetes. Esta inconsistencia puede ser aprovechada por un infiltrado malicioso que desconecta a la víctima de la red y luego se vuelve a conectar a ella utilizando la dirección MAC de la víctima y las credenciales del atacante. Como consecuencia de esto, cualquier paquete que todavía esté en camino a la víctima, como los datos de un sitio web, será recibido por el atacante.

Las siguientes son las tres etapas básicas de este ataque:

El atacante esperará a que la víctima se conecte a un punto de acceso (AP) susceptible, momento en el que el atacante enviará una solicitud a un servidor de Internet. Por ejemplo, el atacante puede enviar una solicitud HTTP a un sitio web que solo muestra texto sin formato.
Robar la información de identificación de la víctima: el perpetrador del ataque elimina la conexión de red de la víctima antes de que el AP tenga la oportunidad de procesar la respuesta del servidor. Después de eso, el atacante crea una versión falsa de la dirección MAC de la víctima e inicia sesión en la red con sus propias credenciales.
Interceptar la respuesta: en este paso, el punto de acceso (AP) empareja las claves de cifrado del atacante con la dirección MAC de la víctima. Esto le da al atacante la capacidad de interceptar cualquier tráfico pendiente que esté destinado a la víctima.
Es fundamental tener en cuenta que la comunicación que está siendo interceptada puede estar protegida por un cifrado de capa superior, como el proporcionado por TLS y HTTPS. Por lo tanto, independientemente de si se utiliza o no un cifrado de capa superior, este enfoque aún puede descubrir la dirección IP con la que está hablando una víctima. Esto, a su vez, expone los sitios web que está viendo una víctima, lo que, por sí solo, podría considerarse información confidencial.

Todas las redes corporativas WPA1, WPA2 y WPA3 son vulnerables al ataque exactamente de la misma manera. Esto se debe al hecho de que el ataque no utiliza ninguna función criptográfica de Wi-Fi; más bien, aprovecha la forma en que una red decide a qué paquetes de cliente se deben transmitir, lo que a veces se conoce como enrutamiento.

En resumen, el ataque descrito en el estudio “Framing Frames” es una vulnerabilidad preocupante que presenta la posibilidad de que los adversarios puedan interceptar y tal vez leer información confidencial que se transmite a través de redes Wi-Fi. Es esencial que las empresas tomen todas las medidas necesarias, como implementar medidas de seguridad sólidas y utilizar las mitigaciones que se han recomendado, para garantizar la seguridad de sus redes.

El uso de la autenticación 802.1X y las extensiones RADIUS son dos métodos que se pueden utilizar para detener el robo de direcciones MAC. Salvaguardar la dirección MAC de la puerta de enlace, implementar Managed Frame Protection (802.11w) y hacer uso de redes de área local virtual (VLAN) son mitigaciones viables. El uso de técnicas de aplicación de políticas mediante un sistema como Cisco Identity Services Engine (ISE), que puede limitar el acceso a la red mediante el uso de tecnologías Cisco TrustSec o Software Defined Access (SDA), es algo que Cisco recomienda a sus clientes. Cisco también recomienda implementar la seguridad de la capa de transporte para cifrar los datos mientras están en tránsito, si es factible hacerlo. Esto evitaría que un atacante utilice los datos que ha recopilado.

El cargo Hackear redes WI-FI WPA1, WPA2 Y WPA3 usando la vulnerabilidad del estándar WI-FI 802.11 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 27 de marzo de 2023

Hackear teléfonos de forma remota sin tocar a través de un nuevo ataque de ultrasonido inaudible

El troyano invisible de ultrasonido cercano, o NUIT, fue desarrollado por un equipo de investigadores de la Universidad de Texas en San Antonio y la Universidad de Colorado Colorado Springs como una técnica para transmitir en secreto órdenes dañinas a los asistentes de voz en teléfonos inteligentes y altavoces inteligentes.

Si ves videos en YouTube en tu televisor inteligente, entonces ese televisor debe tener un altavoz, ¿verdad? Según Guinevere Chen, profesora asociada y coautora del artículo de NUIT, “el sonido de las órdenes dañinas de NUIT [será] inaudible, y puede atacar su teléfono móvil y conectarse con su Asistente de Google o dispositivos Alexa”. “Eso también puede suceder en Zooms durante las reuniones. Durante la reunión, si alguien dejara de silenciarse, podría implantar la señal de ataque que le permitiría piratear su teléfono, que se colocó junto a su computadora.

El ataque funciona mediante la reproducción de sonidos cercanos a las frecuencias ultrasónicas, pero no exactamente, por lo que aún pueden ser reproducidos por hardware comercial, utilizando un altavoz, ya sea el que ya está integrado en el dispositivo de destino o cualquier cosa cercana. Si la primera instrucción maliciosa es silenciar las respuestas del dispositivo, las acciones posteriores, como abrir una puerta o desactivar un sistema de alarma, pueden iniciarse sin previo aviso si el primer comando fue silenciar el dispositivo en primer lugar.

“Esto no es solo un problema con software o software malicioso. Es un ataque contra el hardware que hace uso de Internet. Según Chen, la no linealidad del diseño del micrófono es el defecto que el fabricante debe corregir para eliminar la vulnerabilidad. “Entre los 17 dispositivos inteligentes que evaluamos, [solo] los dispositivos Apple Siri necesitan la voz del usuario, mientras que otros dispositivos de asistente de voz pueden activarse usando cualquier voz o la voz de un robot”, escriben los autores del estudio.

El uso de auriculares es la recomendación de Chen para cualquier persona preocupada por el ataque NUIT, a pesar de que una defensa genuina contra NUIT implicaría el uso de hardware personalizado. Ella indica que el riesgo de ser atacado por NUIT se reduce si no utiliza el altavoz para emitir sonido. “Al usar auriculares, hay un límite en la cantidad de sonido que se puede enviar al micrófono, ya que el volumen del sonido que sale de los auriculares es demasiado bajo. En el caso de que el micrófono no pueda captar la orden inaudible subversiva, la NUIT no podrá activar maliciosamente el asistente de voz subyacente.

El cargo Hackear teléfonos de forma remota sin tocar a través de un nuevo ataque de ultrasonido inaudible apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

El código fuente de Twitter se filtró en GitHub, revelando información patentada y fallas de seguridad

El gigante de las redes sociales Twitter sufrió recientemente un revés significativo cuando partes significativas de su código fuente se publicaron en línea y se hicieron públicos.
La corporación procedió de inmediato a notificar a GitHub, una plataforma de colaboración en línea para ingenieros de software, sobre una violación de derechos de autor para eliminar el código robado del sitio. No se sabe cuánto tiempo estuvo disponible el código en línea, aunque parece haber sido accesible al público durante varios meses.

Twitter ha presentado una petición ante el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California solicitando que el tribunal exija a GitHub que revele la identidad de la persona responsable de difundir el código, así como de cualquier otro usuario que lo haya descargado.

Según dos fuentes que han sido informadas sobre la investigación interna, “Twitter inició una investigación sobre la filtración, y los funcionarios que manejan el tema han adivinado que quienquiera que haya estado involucrado abandonó la empresa con sede en San Francisco el año pasado”.

Una de las principales preocupaciones de Twitter es que el código que fue robado tiene fallas de seguridad que podrían proporcionar a los ciberdelincuentes u otras partes con intenciones maliciosas las herramientas para acceder a los datos del usuario o tal vez derribar el sitio web por completo. A la organización le preocupa que la filtración pueda dar lugar a una filtración de datos o a un ciberataque, los cuales podrían ser muy perjudiciales para la imagen de la empresa y podrían provocar importantes pérdidas financieras.

La divulgación del código fuente de Twitter llega en un momento en que la empresa ya está lidiando con problemas financieros y estructurales cada vez mayores.

Elon Musk, quien compró Twitter en octubre por $ 44 mil millones, ha estado intentando cambiar la suerte de la red social durante los últimos meses al reducir gastos, ofrecer nuevas funciones e invitar a los usuarios que habían sido prohibidos en el pasado.

No obstante, el servicio ha experimentado un número cada vez mayor de interrupciones y los anunciantes, que son la principal fuente de ingresos de la empresa, no han querido publicar anuncios en el sitio web.

La firma de redes sociales ha sufrido un duro golpe como resultado de la divulgación pública del código fuente de Twitter. Twitter tiene que abordar tanto el problema de la filtración como las posibles fallas de seguridad que se han puesto de manifiesto como resultado de la filtración.

La organización es responsable de garantizar la privacidad de los datos de sus usuarios y la seguridad de su plataforma. Twitter no solo tiene que encontrar soluciones a sus problemas estructurales y financieros, sino que también necesita recuperar la confianza de sus usuarios y anunciantes

El cargo El código fuente de Twitter se filtró en GitHub, revelando información patentada y fallas de seguridad apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

sábado, 25 de marzo de 2023

La mejor herramienta gratuitita para la detección de incidentes cibernéticos en Microsoft Azure, Azure active directory y Microsoft 365

Goose Tool es una nueva herramienta gratuita que puede ayudar a los defensores de la red a identificar posibles actividades maliciosas en los entornos de Microsoft Azure, Azure Active Directory y Microsoft 365. Fue desarrollado por CISA y está disponible en su sitio web. La herramienta Unidentified Goose, que se desarrolló con la ayuda de Sandia National Laboratories, brinda a los defensores de la red técnicas únicas de autenticación y recopilación de datos que pueden usarse cuando investigan y analizan sus servicios en la nube de Microsoft. 
Según CloudVulnDB, un proyecto abierto que rastrea las vulnerabilidades que afectan a los principales proveedores de la nube, existe un largo historial de graves fallas de seguridad que afectan al buque insignia de Redmond, Azure, y los defensores se han quejado durante mucho tiempo de la falta de información sobre posibles infecciones.

La herramienta Untitled Goose es un instrumento poderoso y adaptable de investigación y respuesta a incidentes. Cuando los defensores de la red interrogan y analizan los entornos de Microsoft Azure, Azure Active Directory (AAD) y Microsoft 365 (M365), la herramienta les proporciona nuevos métodos de autenticación y recopilación de datos para usar en el proceso. Estos métodos se pueden utilizar para detectar actividad potencialmente maliciosa. Goose, que fue creado por CISA en colaboración con Sandia National Laboratories, se puede descargar de forma gratuita desde el repositorio CISA GitHub .

Se alienta a los defensores de la red a utilizar la herramienta Untitled Goose para realizar las siguientes tareas:

• Exportar y revisar los registros de auditoría e inicio de sesión de AAD; Registro de auditoría unificado (UAL) de M365; registros de actividad de Azure; Alertas de Microsoft Defender para IoT (internet de las cosas); y datos de Microsoft Defender for Endpoint (MDE) para actividades sospechosas.
• Realice investigaciones sobre las configuraciones de AAD, M365 y Azure, así como consulte y exporte datos relacionados.
Al intentar sondear un inquilino grande de M365 mediante la UAL, los defensores de la red pueden descubrir que la recopilación manual de todos los eventos a la vez no es una opción práctica. Untitled Goose Tool implementa estrategias creativas de recopilación de datos mediante el uso de mecanismos únicos. Las siguientes son algunas de las capacidades que tienen los defensores de la red al usar esta herramienta:

• Extraer artefactos en la nube de los entornos AAD, Azure y M365 de Microsoft sin realizar más análisis.
• Use el método de pastoreo de ganso para hacer límites de tiempo en la UAL.
• Utilice Goosey Hok para extraer datos mientras permanece dentro de los límites de tiempo asignados.
• Consultar y recopilar datos utilizando capacidades de límite de tiempo comparables para datos MDE.
Compatibilidad
Los entornos Azure, Azure AD y M365 del usuario se pueden usar con la herramienta Untitled Goose.
Requisitos previos
Se requiere la versión 3.7, 3.8 o 3.9 de Python para ejecutar Untitled Goose Tool. El CISA sugiere utilizar esta tecnología dentro de un entorno virtual.

La organización gubernamental dijo que los administradores de redes en la nube pueden usar la herramienta para extraer artefactos en la nube de los sistemas AAD, Azure y M365 de Microsoft sin tener que realizar más análisis.

El cargo La mejor herramienta gratuitita para la detección de incidentes cibernéticos en Microsoft Azure, Azure active directory y Microsoft 365 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 24 de marzo de 2023

La grave vulnerabilidad de WooCommerce permite tomar control de sitios web de WordPress

Se ha encontrado una falla grave en WooCommerce, un complemento popular para administrar negocios en línea que se basa en la plataforma WordPress. Esta falla podría permitir que los ciberdelincuentes tomen el control de los sitios web. Sin embargo, el equipo de WooCommerce ha proporcionado correcciones y los atacantes pueden aplicar ingeniería inversa al parche. Los detalles técnicos relacionados con la vulnerabilidad aún no se han revelado. Actualmente hay aproximadamente 500 000 instalaciones activas del complemento WooCommerce Payments, que es el componente que incluye la vulnerabilidad. Los creadores de WooCommerce han declarado que los proveedores de alojamiento de WordPress administrado, como WordPress.com, Pressable y WPVIP, han actualizado automáticamente los sitios web alojados en sus plataformas. Pero, si los otros sitios web aún no tienen activadas las actualizaciones automáticas, los administradores de esos sitios web deben aplicar de inmediato la actualización específica para su versión.

Cualquier versión de WooCommerce Payments que se haya creado después de la 4.8.0, que se publicó a fines de septiembre, es susceptible a la vulnerabilidad. Automattic puso a disposición las siguientes versiones actualizadas: 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 y 5.6.2.

Tan pronto como se haya instalado una versión parcheada de WooCommerce, los administradores de los sitios web que usan WooCommerce deben verificar sus sitios en busca de usuarios administradores o publicaciones inusuales. Los creadores de WooCommerce sugieren que, en caso de que se descubra un comportamiento sospechoso en un sitio web, se cambien las contraseñas de todos los usuarios administrativos del sitio, además de las credenciales de la API para WooCommerce y las pasarelas de pago.

Según los creadores de WooCommerce, “las contraseñas de los usuarios de WordPress se codifican con sales, lo que significa que el valor hash final es increíblemente difícil de descifrar”. “Esta solución utiliza un hash salado para proteger no solo su contraseña como usuario administrativo, sino también las credenciales de todos los demás usuarios de su sitio web, incluidos los clientes. Si bien es concebible que un atacante se haya aprovechado de esta vulnerabilidad para adquirir una versión codificada de su contraseña que se guardó en su base de datos, el valor hash en sí mismo debería ser imposible de descifrar para que sus contraseñas permanezcan seguras y no se puedan usar de manera no autorizada. .” Sin embargo, es importante tener en cuenta que esto solo se aplica a los hash de las contraseñas que se guardan con el método de autenticación predeterminado que viene con WordPress. Es posible que algunos otros complementos utilicen la base de datos para almacenar credenciales, tokens y claves de API sin tener que codificarlos primero. Los administradores deben examinar qué información potencialmente confidencial se almacena en sus bases de datos y rotar toda esa información.

WooCommerce ha dicho que no cree que esta vulnerabilidad se haya utilizado para comprometer los datos de la tienda o del cliente. No obstante, los comerciantes pueden desear ver cómo evoluciona este evento, ya que podría afectar su negocio. El problema se informó de manera confidencial a través del programa de recompensas por errores que Automattic mantiene en HackerOne. Incluso si los detalles técnicos aún no se han hecho públicos, la política de divulgación establece que esto debería suceder dentro de las próximas dos semanas. Sin embargo, los expertos de Sucuri han señalado anteriormente que la vulnerabilidad probablemente estaba en un archivo llamado class-platform-checkout-session.php, que parece haber sido completamente eliminado de la versión parcheada. Porque estos hackers competentes ya saben dónde buscar.

El cargo La grave vulnerabilidad de WooCommerce permite tomar control de sitios web de WordPress apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 23 de marzo de 2023

5 Prácticas recomendadas para proteger los sistemas de gestión de acceso e identidad (IAM)

El término “gestión de identidad y acceso” o “IAM” se refiere a un marco de procedimientos corporativos, regulaciones y tecnología que respaldan la gestión de identidades digitales para garantizar que los usuarios solo obtengan acceso a los datos cuando tengan las credenciales correctas. La gestión de acceso e identidad se abrevia como “IAM”. Además de los usuarios reales, IAM también cubre cuentas de servicio y cuentas del sistema, las cuales son muy importantes para IAM administradores para manejar dentro de sus respectivos negocios. Es esencial realizar un inventario, una auditoría y un control frecuentes de todas estas identidades y el acceso que tienen para garantizar que se lleva a cabo una gestión eficaz de la identidad y el acceso, incluidos los permisos y el estado activo. Manejar la complejidad cada vez mayor de las identidades digitales puede ser una tarea difícil, particularmente considerando el impulso de los negocios hacia la nube y los entornos informáticos híbridos. A pesar de esto, la necesidad de gestión de acceso e identidad es más vital ahora que nunca. Durante los últimos años,

Los ataques pueden provenir de una amplia variedad de fuentes, incluidos estados-nación, organizaciones terroristas, delincuentes organizados, hacktivistas y personas con la intención de dañar o robar información. Las organizaciones son vulnerables a este tipo de ataques y causan vergüenza a una empresa o grupo. Además, las empresas pueden ser objeto de ataques cuando un usuario de confianza es el responsable de poner en peligro los datos confidenciales (por ejemplo, una amenaza interna). Las habilidades, los objetivos y las estrategias utilizadas por la amplia gama de actores de amenazas son bastante diversas. Por ejemplo, los actores del estado-nación tienen enormes recursos a su disposición y pueden idear estrategias plurianuales para adquirir acceso a los recursos esenciales. Los enfoques indirectos, como aprovechar la cadena de suministro, son otra opción abierta para ellos.
Al hacer uso de fallas conocidas en IAM, un actor malintencionado puede obtener el mismo nivel de acceso a los recursos que los usuarios normales al imitar el comportamiento normal, lo que dificulta la identificación del actor malintencionado. Debido a esto, el actor malicioso tiene más tiempo para obtener acceso a los recursos y aumentar los privilegios para lograr un acceso permanente.
Por ejemplo, una advertencia CISA reciente (AA21-321A)4 reveló que los actores de amenazas persistentes avanzadas (APT) patrocinados por el gobierno iraní están persiguiendo agresivamente una amplia variedad de objetivos en varios sectores de infraestructura crítica de EE. UU. aprovechando las vulnerabilidades de IAM para comprometer las credenciales, eleve los privilegios y cree nuevas cuentas de usuario en controladores de dominio, servidores, estaciones de trabajo y en directorios responsables de autenticar y autorizar usuarios y dispositivos. Estos actores pueden usar este acceso para lanzar más ataques, como la exfiltración o el cifrado de datos confidenciales, la instalación de ransomware o la extorsión.

Las siguientes mejores prácticas y estrategias de mitigación de riesgos sugeridas por CISA brindan sugerencias que ayudan a combatir los peligros potenciales para el IAM al desalentarlo, prevenirlo, detectarlo, limitar el daño que causa y responder a él.

GOBERNANZA DE IDENTIDADES

El gobierno de la identidad puede definirse como el proceso mediante el cual una organización centraliza y orquesta la administración de sus cuentas de usuario y servicio de acuerdo con las reglas que ha establecido. El gobierno de la identidad ofrece a las empresas más información sobre las identidades de los usuarios y las credenciales de acceso que tienen, así como controles mejorados para identificar y evitar el acceso ilegal. Se compone de una colección de procedimientos y regulaciones que abordan la división de responsabilidades, la gestión de roles, el registro, la revisión de acceso, el análisis y la generación de informes.

ENDURECIMIENTO AMBIENTAL

Para fortalecer el entorno operativo de la empresa, primero se debe garantizar que las bases y las implementaciones de IAM se hayan protegido, garantizado y confiable de manera adecuada. El grado de endurecimiento requerido variará dependiendo de lo que se proteja. Por ejemplo, los sistemas de emisión de credenciales que proporcionan certificados digitales criptográficos o almacenes de contraseñas son más importantes, ya que garantizan la autenticación de toda una organización. La implementación de técnicas criptográficas también debe ser adecuada para garantizar el grado de seguridad que requiere el sistema y que se presume que existe.

LA COMBINACIÓN DE IDENTITY FEDERATION Y SINGLE SIGN-ON

La federación de identidades que emplea SSO dentro y/o entre empresas, incluido el empleo de proveedores de identidad, reduce los riesgos mediante la gestión centralizada de las variaciones en las políticas y los niveles de riesgo en las organizaciones y elimina la adopción generalizada y la dependencia de las identidades locales. Sin especificar oficialmente las reglas y los grados de confianza y seguridad entre organizaciones o entre diferentes proveedores de identidad dentro de una organización, una organización es vulnerable a ataques que se basan en fallas en cada sistema de administración de acceso de identidad federado. Al centralizar la administración y el control de la autenticación y el acceso a través de muchos sistemas y de numerosos proveedores de identidad, el inicio de sesión único (SSO) ofrece una capacidad para mitigar los riesgos. Si se implementa de manera efectiva,

UN SISTEMA DE AUTENTICACIÓN MULTIFACTOR

Los nombres de usuario y las contraseñas han sido los pilares principales de la autenticación de usuarios desde que surgieron los sistemas informáticos multiusuario. MFA significa autenticación de múltiples factores, y es un método que se utiliza para reforzar la seguridad del procedimiento de autenticación al obligar al usuario a proporcionar una serie de “factores” que se clasifican en una variedad de categorías. Los autenticadores para la autenticación multifactor (MFA) pueden implementarse como software que se instala en un teléfono móvil u otro dispositivo, o pueden implementarse como tokens de hardware especializados. Algunas soluciones de autenticación multifactor (MFA) están destinadas a fortalecer la seguridad de las contraseñas agregando un segundo elemento, mientras que otras, denominadas soluciones “sin contraseña”, tienen como objetivo eliminar por completo la necesidad de usar contraseñas. Las soluciones de autenticación multifactor (MFA) sin contraseña a menudo requieren el uso de dos factores en conjunto. Por ejemplo, una credencial criptográfica se puede almacenar en un token de hardware y el token se puede desbloquear usando un PIN memorizado.

SUPERVISIÓN Y AUDITORÍA DE IAM

La auditoría y el monitoreo de IAM no solo deben verificar el cumplimiento, sino que también deben observar indicadores de amenazas y acciones inusuales. Esto incluye el desarrollo, la recopilación y el análisis de registros, eventos y otra información para brindar los mejores métodos para descubrir transgresiones relacionadas con el cumplimiento y actividades sospechosas. Sin un programa eficiente de auditoría y monitoreo de IAM, las amenazas como la explotación del acceso privilegiado por parte de personas internas y el uso de credenciales robadas no se descubrirían de manera oportuna, si es que se descubrieron. Estas capacidades de auditoría y monitoreo pueden combinarse con herramientas automatizadas que coordinan las actividades de reacción para contrarrestar las amenazas contra el IAM.

El objetivo de este artículo fue ofrecer un conocimiento claro de cómo las diferentes mitigaciones combaten los riesgos y brindar consejos prácticos sobre lo que las empresas deben hacer ahora. Además, el estudio tuvo como objetivo proporcionar una comprensión clara de cómo varias mitigaciones contrarrestan las amenazas. Esto cubre lo siguiente:

• Realice una evaluación de sus capacidades IAM existentes y su posición frente al riesgo.
• Para aquellas partes del sistema que puedan necesitar algo de trabajo, elija, superponga, integre y configure adecuadamente soluciones seguras de acuerdo con los procedimientos recomendados descritos en este documento y en las recomendaciones citadas en él.
• Garantizar que se mantenga un grado adecuado de seguridad en todo momento para gestionar eficazmente el riesgo a lo largo de las operaciones en curso.
• Sea siempre consciente de la forma correcta de usar IAM y cualquier peligro potencial.

El cargo 5 Prácticas recomendadas para proteger los sistemas de gestión de acceso e identidad (IAM) apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 22 de marzo de 2023

Vulnerabilidad de Apache Tomcat revela las cookies de sesión de aplicación a los atacantes

Uno de los servidores web más populares y ampliamente utilizados para Java es Apache Tomcat . Es pequeño, simple de instalar y muy agradable para construir aplicaciones web Java. También se puede usar para crear aplicaciones un poco más sofisticadas que la aplicación JSP convencional en línea, ya que puede incluir implementaciones JSF como MyFaces, Primefaces, RichFaces y otras (biblioteca estándar, definida en J2EE para el desarrollo de aplicaciones web dinámicas usando Java).

Todo esto es muy beneficioso y, de hecho, muchos desarrolladores de aplicaciones web lo utilizan en sus equipos para poder desarrollar rápidamente y poder centrarse en lo que realmente les interesa: asegurarse de que la lógica de sus páginas y clases Java funciona como debería. Todo esto es muy beneficioso. Realmente es así de sencillo… un desarrollador de software normalmente no se preocupa por la seguridad del servidor Tomcat que ha instalado en la computadora que su empleador le ha proporcionado. De hecho, el concepto de seguridad le resulta tan extraño que ni siquiera se le pasa por la cabeza muy a menudo. Los entornos de servidor web HTTP “Java puro” están disponibles mediante el servidor Apache Tomcat, que incorpora las tecnologías de Jakarta Servlet, Jakarta Expression Language y WebSocket. Estas tecnologías permiten ejecutar código Java en estos entornos. Debido a esto, es una opción elegida con frecuencia entre los desarrolladores que desean usar Java para crear aplicaciones en línea.

Se ha determinado que hasta las versiones 8.5.85/9.0.71/10.1.5/11.0.0-M2 inclusive de Apache Tomcat tienen una vulnerabilidad que se ha calificado como problemática (software de servidor de aplicaciones). Una característica no identificada del componente conocido como RemoteIpFilter Handler está rota como resultado de este error. La manipulación con una entrada desconocida da como resultado una vulnerabilidad que implica la transmisión no segura de credenciales. El nombre de usuario y la contraseña no están adecuadamente protegidos cuando se envían desde el cliente al servidor a través de las páginas de inicio de sesión, que no utilizan las medidas de seguridad adecuadas.

Las cookies de sesión generadas por Apache Tomcat versiones 11.0.0-M1 a 11.0.0.-M2, 10.1.0-M1 a 10.1.5, 9.0.0-M1 a 9.0.71 y 8.5.0 a 8.5.85 no se incluyen el atributo seguro cuando se usa junto con las solicitudes recibidas de un proxy inverso a través de HTTP y que tenían el encabezado X-Forwarded-Proto establecido en https. Debido a esto, el agente de usuario podría enviar la cookie de sesión a través de una conexión no segura. Por lo tanto, esto podría ser peligroso.


La vulnerabilidad se reveló el 22 de marzo de 2023. El aviso ahora está disponible para descargar enlists.apache.org, donde también se comparte. Desde el 21 de marzo de 2023, esta vulnerabilidad tiene asignado el identificador CVE-2023-28708. No hay una descripción técnica ni un exploit que sea de fácil acceso para el público. El método de ataque recibió la designación de T1557 por el proyecto MITRE ATT&CK.

Esta vulnerabilidad puede solucionarse actualizando a la versión 8.5.86, 9.0.72, 10.1.6 o 11.0.0-M3, respectivamente.

El cargo Vulnerabilidad de Apache Tomcat revela las cookies de sesión de aplicación a los atacantes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 21 de marzo de 2023

¿Cómo fue hackeado el fabricante lider de cajeros automáticos de criptomonedas y se robaron millones de fondos?

General Bytes, un fabricante líder de cajeros automáticos (ATM) de criptomonedas, fue víctima de una brecha de seguridad que resultó en la pérdida de más de $1.5 millones en Bitcoin. General Bytes informó originalmente del evento en su cuenta oficial de Twitter. Según la empresa, los atacantes explotaron una vulnerabilidad en la interfaz de servicio principal que utilizan los cajeros automáticos de Bitcoin para enviar videos, lo que les permitió cargar un script de JavaScript y ejecutarlo con derechos de usuario de batm.

Según la firma, “el atacante buscó en el espacio de direcciones IP de alojamiento en la nube de Digital Ocean y descubrió servicios CAS operativos en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean”.

Como resultado de la ejecución del código, los atacantes obtuvieron acceso a la base de datos, así como a las claves API para acceder al dinero en las carteras calientes y los intercambios. El atacante aprovechó la interfaz de servicio maestro para cargar de forma remota un programa Java, obteniendo acceso a los derechos de usuario de BATM, la base de datos y las claves API necesarias para acceder al dinero en las carteras e intercambios activos.

Como consecuencia, el pirata informático obtuvo acceso a los usuarios, hash de contraseñas, desactivó la verificación de dos factores y envió fondos desde billeteras calientes.

El pirata informático logró robar 56,28 bitcoins, con un valor de alrededor de $ 1,5 millones, así como liquidar otras criptomonedas, incluidas ETH, USDT, BUSD, ADA, DAI, DOGE, SHIB y TRX. Los activos robados no se han movido de la dirección de bitcoin desde el 18 de marzo y ciertas monedas digitales se han transferido a otros destinos, incluida una plataforma comercial descentralizada.

Además, los atacantes obtuvieron la “capacidad de acceder a los registros de eventos de la terminal y buscar cada ocurrencia cuando los usuarios escanearon la clave privada en el cajero automático”, información que registraron las versiones anteriores del software del cajero automático.

“El 18 de marzo, recomendamos a todos nuestros clientes que tomen medidas rápidas para salvaguardar sus finanzas e información personal”, tuiteó General Bytes.

La firma ha revelado las direcciones de billetera y tres direcciones IP utilizadas por el atacante en la violación. Sin embargo, según ciertas fuentes, el nodo completo de la empresa es lo suficientemente seguro como para evitar el acceso no deseado al efectivo.

La empresa publicó información sobre las acciones que los clientes deben tomar para proteger sus servidores GB ATM (CAS) en un aviso de seguridad que documenta el evento, enfatizando que incluso aquellos que no se vieron afectados por el incidente deben adoptar las medidas de seguridad sugeridas.

“Por favor, mantenga su CAS protegido por un firewall y una VPN”. Los terminales también deben usar VPN para conectarse a CAS. Con una VPN/Firewall, los atacantes del Internet abierto no pueden acceder y explotar su servidor. Si su servidor se vio comprometido, reinstale todo el servidor, incluido el sistema operativo”, aconseja la empresa.

El fabricante de cajeros automáticos criptográficos emitió un parche de seguridad CAS y aconsejó a los consumidores que consideren todas las contraseñas de usuario y las claves API para los intercambios y las billeteras calientes como comprometidas y que las reemplacen. “Aún no tenemos las estadísticas finales”, dijo General Bytes. Actualmente estamos recopilando información de los operadores. Todavía estamos lidiando con daños de aproximadamente 56 BTC a partir de hoy.

El cargo ¿Cómo fue hackeado el fabricante lider de cajeros automáticos de criptomonedas y se robaron millones de fondos? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 17 de marzo de 2023

La nueva versión black del ransomware Lockbit es aún más destructiva y difícil de detectar

Un aviso conjunto de la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) tiene como objetivo distribuir información sobre indicadores conocidos de compromiso del ransomware LockBit 3.0. (IOC) y técnicas (TTP) que se descubrieron durante las investigaciones del FBI en marzo de 2023.

El ransomware LockBit 3.0 es una continuación de los programas de ransomware LockBit 2.0 y LockBit. Utiliza un modelo de Ransomware-as-a-Service (RaaS) para llevar a cabo sus actividades y funciones como un modelo RaaS. LockBit ha estado funcionando como una variante de ransomware basada en afiliados desde enero de 2020; los afiliados que implementan LockBit RaaS utilizan una amplia variedad de TTP para dirigirse a una amplia variedad de empresas y organizaciones de infraestructura crítica, lo que puede dificultar la defensa efectiva de las redes informáticas o mitigar sus efectos.

LockBit 3.0, también conocido como “LockBit Black”, es una versión actualizada del ransomware que es más modular y escurridizo que sus versiones anteriores. También tiene características con el malware conocido como Blackmatter y Blackcat.

Durante el proceso de compilación, LockBit 3.0 se personaliza con una amplia variedad de variables, cada una de las cuales influye en la forma en que opera el ransomware. Durante el proceso de puesta en acción del ransomware dentro de un entorno que pertenece a una víctima, se pueden dar numerosos argumentos para ajustar aún más el comportamiento del malware. Por ejemplo, LockBit 3.0 permite la aceptación de argumentos adicionales para algunas acciones, como el movimiento lateral y el reinicio en modo seguro (consulte los parámetros de la línea de comandos de LockBit en Indicadores de compromiso). Si un afiliado de LockBit no tiene acceso al ransomware LockBit 3.0 sin contraseña, entonces la ejecución del ransomware necesitará el ingreso de un argumento de contraseña. Aquellos que están afiliados a LockBit 3.0 pero no ingresan la contraseña correcta no podrán llevar a cabo el ransomware. Una clave criptográfica, la contraseña se utiliza para decodificar el ejecutable LockBit 3.0. LockBit 3.0 puede evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 es capaz de evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 es capaz de evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 cambiará dependiendo de la clave criptográfica que se usó para el cifrado mientras se crea simultáneamente un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 cambiará dependiendo de la clave criptográfica que se usó para el cifrado mientras se crea simultáneamente un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware.

LockBit 3.0 solo infectará equipos que no tengan una configuración de idioma que sea compatible con una lista de exclusión que se haya especificado. Un indicador de configuración que se estableció por primera vez en el momento de la compilación decidirá en última instancia si un idioma del sistema se verifica o no cuando realmente se usa en tiempo de ejecución. En la lista de idiomas que no se pueden usar no se limitan, pero incluyen, rumano (hablado en Moldavia), árabe (hablado en Siria) y tártaro (Rusia). LockBit 3.0 detendrá la ejecución si se encuentra un idioma de la lista de exclusión [T1614.001], pero no infectará el sistema.

Para disminuir el riesgo de ataques de ransomware y disminuir su gravedad cuando ocurren, el FBI, CISA y MS-ISAC aconsejan a las empresas que pongan en práctica las mitigaciones.

El cargo La nueva versión black del ransomware Lockbit es aún más destructiva y difícil de detectar apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 16 de marzo de 2023

Vulnerabilidades de día cero permiten hackear teléfonos Samsung, Vivo y Pixel remotamente, solo con el número de la víctima

Se descubrió que los módems Exynos fabricados por Samsung Semiconductor tenían dieciocho vulnerabilidades de día cero, según lo revelado por Project Zero. La ejecución remota de código de Internet a banda base fue posible debido a las cuatro vulnerabilidades que se consideraron las más graves entre estas dieciocho fallas (CVE-2023-24033 y otras tres vulnerabilidades a las que aún no se les han asignado CVE-ID). Pruebas realizadas por Project Zero han demostrado que las cuatro vulnerabilidades antes mencionadas hacen posible que un atacante comprometa remotamente un teléfono a nivel de banda base sin ninguna interacción por parte del usuario; todo lo que se requiere es que el atacante conozca el número de teléfono de la víctima. Anticipamos que los adversarios altamente competentes podrían diseñar rápidamente un exploit operativo para comprometer los dispositivos afectados de manera sigilosa y remota si solo tuvieran acceso a modestos recursos adicionales de investigación y desarrollo.

Las otras catorce vulnerabilidades similares (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 y nueve vulnerabilidades adicionales a las que aún no se les han otorgado CVE-ID) no eran tan graves ya que necesitaban un operador de red móvil hostil o un atacante con acceso local al dispositivo.

La lista de conjuntos de chips Exynos que son susceptibles a estas vulnerabilidades se puede encontrar en el aviso publicado por Samsung Semiconductor. Según la información obtenida de fuentes públicas que proporcionan una asignación de chipsets a dispositivos, es probable que los siguientes dispositivos se vean afectados:

Dispositivos de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04 de Samsung;

Dispositivos de las series S16, S15, S6, X70, X60 y X30 de Vivo

Dispositivos de las series Pixel 6 y Pixel 7 de Google

Cualquier dispositivo portátil que use el chipset Exynos W920 y vehículos que usen el chipset Exynos Auto T5123.

Los plazos para que los parches aborden estas vulnerabilidades diferirán según el fabricante. Mientras tanto, aquellos que tienen dispositivos que son vulnerables pueden protegerse de las vulnerabilidades de ejecución remota de código de banda base desactivando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) en la configuración de sus dispositivos.

Debido a la combinación inusual del nivel de acceso que brindan estas vulnerabilidades y la velocidad a la que creen que se podría crear un exploit operativo confiable, el equipo de seguridad de Google decidió hacer una excepción a su política de divulgación estándar y retrasar la divulgación de la cuatro vulnerabilidades más severas. Esta decisión se tomó porque el equipo de seguridad de Google cree que se podría crear un exploit operativo confiable con relativa rapidez.

Sin embargo, mantendrán su tradición de apertura al publicar públicamente las exclusiones de la política de divulgación y, una vez que se hayan identificado todas las inquietudes, agregarán estos problemas a la lista. Cinco de las catorce vulnerabilidades restantes (CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075 y CVE-2023-24076) han superado el límite normal de 90 días de Project Zero y han sido revelado públicamente en su rastreador de problemas. Las otras nueve vulnerabilidades se divulgarán públicamente en ese momento si aún no se han solucionado.

El equipo de seguridad de Google recomienda encarecidamente a los usuarios finales que actualicen sus dispositivos tan pronto como sea posible para garantizar que estén utilizando las versiones más recientes, que corrigen las fallas de seguridad que se han hecho públicas, así como las que no se han hecho públicas. hecho público. Es muy importante mantener la vigilancia y adoptar las medidas de seguridad adecuadas para salvaguardar la información personal y los dispositivos eléctricos de posibles riesgos de seguridad.

El cargo Vulnerabilidades de día cero permiten hackear teléfonos Samsung, Vivo y Pixel remotamente, solo con el número de la víctima apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 15 de marzo de 2023

El nuevo malware de cryptojacking puede hackear clústeres de Kubernetes usando este sencillo truco

Dero es una criptomoneda relativamente nueva que pone un fuerte énfasis en la privacidad. Utiliza tecnología de gráficos acíclicos dirigidos (DAG), lo que le permite afirmar que sus transacciones son completamente anónimas. La combinación de anonimato y una mayor relación de recompensas lo hace potencialmente atractivo para las organizaciones de cryptojacking en comparación con Monero, que es la moneda que utilizan con mayor frecuencia los atacantes o grupos que realizan operaciones mineras. CrowdStrike ha descubierto la primera operación de cryptojacking de Dero dirigida a la infraestructura de Kubernetes . 

También se descubrió una operación de cryptojacking usando Monero; esta operación está al tanto del esfuerzo de Dero y está compitiendo activamente con él. La campaña de Monero extrae XMR en el host elevando sus privilegios mediante el uso de DaemonSets y montando el host como usuario raíz.

Los atacantes se dirigieron específicamente a los clústeres de Kubernetes que se ejecutan en puertos no estándar al escanear y ubicar los clústeres de Kubernetes vulnerables expuestos que tenían la configuración de autenticación —anonymous-auth=true. Esta configuración permite el acceso anónimo a la API de Kubernetes y fue el objetivo de la atención de los atacantes. Es posible que un usuario con acceso adecuado exponga por error una API segura de Kubernetes en el host donde opera kubectl ejecutando el comando “Proxy de Kubectl”. Este es un enfoque menos aparente para exponer el clúster seguro de Kubernetes sin autenticación. La interfaz de programación de aplicaciones del plano de control de Kubernetes no proporciona acceso anónimo listo para usar en Kubernetes. Sin embargo, dado que la elección de hacer seguro por defecto el valor predeterminado se retrasó,

Después del primer compromiso con la API de Kubernetes, el atacante instalará a continuación un DaemonSet de Kubernetes con el nombre “proxy-api”. En cada nodo del clúster de Kubernetes, el DaemonSet instala un pod que contiene código malicioso. Esto facilita que los atacantes realicen una operación de cryptojacking utilizando simultáneamente los recursos de todos los nodos de la red. Los esfuerzos de minería que realizan las cápsulas se donan a un fondo comunitario. Este grupo luego divide la recompensa (en forma de moneda Dero) entre todos sus contribuyentes de manera equitativa a través de sus propias billeteras digitales.

Una vez que el grupo vulnerable de Kubernetes se vio comprometido, los atacantes no intentaron pivotar, ya sea moviéndose lateralmente para atacar recursos adicionales o escaneando Internet en busca de descubrimiento. Este es un patrón que es común entre muchas campañas de cryptojacking que se han observado en la naturaleza.

Además, los atacantes no intentaron eliminar ni interferir en el funcionamiento del clúster. En cambio, usaron un DaemonSet para minar Dero. El nombre del DaemonSet se disfrazó como “proxy-api”, y el nombre del minero fue “pausa”, las cuales son frases que se ven a menudo en los registros de Kubernetes.

Estos comportamientos dirigidos parecen definir el objetivo de esta campaña, que es que los atacantes solo buscan minar para Dero. Esta es la conclusión que se puede extraer de las acciones que se han llevado a cabo. Como resultado, tenemos razones para creer que un actor de cryptojacking impulsado por ganancias financieras es el responsable de esta iniciativa.

Los atacantes se han aprovechado del hecho de que Kubernetes se ha convertido en el orquestador de contenedores más popular del mundo para centrar su atención en configuraciones erróneas, fallas de diseño y vulnerabilidades de día cero dentro de Kubernetes y Docker.

El cargo El nuevo malware de cryptojacking puede hackear clústeres de Kubernetes usando este sencillo truco apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 14 de marzo de 2023

Vulnerabilidades críticas en SAP con puntaje CVSS > 9.5

En su Security Patch Day de marzo de 2023 , el fabricante alemán de software corporativo SAP anunció un total de 19 nuevas notas de seguridad, cinco de las cuales fueron designadas como “críticas”. Las vulnerabilidades de seguridad en los productos de SAP son grandes objetivos para los actores de amenazas, ya que estos productos son ampliamente utilizados por grandes empresas de todo el mundo y pueden servir como puntos de entrada a sistemas increíblemente valiosos.

Con un total de 425.000 clientes en 180 países, SAP es, con mucho, el proveedor de software de planificación de recursos empresariales (ERP) más exitoso del mundo. Productos como ERP, SCM, PLM y CRM son utilizados por más del 90 por ciento de las empresas de Forbes Global 2000.

Para evitar el robo de datos, los ataques de ransomware y la interrupción de procesos y operaciones de misión crítica, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) recomendó a los administradores en febrero de 2022 que corrigieran una serie de vulnerabilidades graves que afectan a las aplicaciones comerciales de SAP.

Una vulnerabilidad de corrupción de memoria en SAPOSCOL es una de las vulnerabilidades de alta gravedad que SAP ha parcheado. Otras vulnerabilidades de alta gravedad incluyen una vulnerabilidad de cruce de directorios en SAP NetWeaver AS para ABAP y ABAP Platform, un problema de falsificación de solicitud del lado del servidor (SSRF) en SAP NetWeaver AS para ABAP y ABAP Platform, y un problema con SAP NetWeaver AS para ABAP y Plataforma ABAP.

Una de las principales vulnerabilidades se llama CVE-2023-25616 y es una vulnerabilidad de inyección de código en SAP Business. El puntaje CVSS para este problema es 9.9.

Business Intelligence Platform (CMC) de objetos, que afecta a las versiones 420 y 430. La ejecución de un objeto de programa puede provocar una vulnerabilidad conocida como inyección de código, que le da al atacante la posibilidad de obtener acceso a recursos a los que solo se puede acceder con privilegios adicionales.

El control de acceso incorrecto en SAP NetWeaver AS para Java ha sido citado como la causa de la segunda falla de seguridad grave, a la que se le asignó el identificador CVE-2023-23857 y recibió una puntuación CVSS de 9,9. Un atacante no autenticado puede aprovechar la vulnerabilidad conectándose a una interfaz abierta y utilizando una API abierta de nombres y directorios para obtener acceso a los servicios. Estos servicios se pueden usar para llevar a cabo operaciones no autorizadas que tienen un impacto en los usuarios y servicios en múltiples sistemas. En caso de que el exploit tenga éxito, el atacante tiene la capacidad de acceder y alterar cierta información confidencial. Pero, el exploit también puede usarse para bloquear cualquier componente u operación del sistema, dejándolo inutilizable o no disponible.

La tercera vulnerabilidad grave es un problema de cruce de directorios en SAP NetWeaver AS para ABAP y ABAP Platform. Esta vulnerabilidad tiene una puntuación CVSS de 9,6. Un adversario que no tiene autorizaciones administrativas puede explotar la debilidad mediante el uso de una falla de cruce de directorios en un servicio que está expuesto a ellos para reescribir los archivos del sistema.

Con SAP ERP y S4HANA, la vulnerabilidad de cruce de directorios conocida como CVE-2023-27500 ha sido calificada como la cuarta vulnerabilidad más grave, con una puntuación CVSS de 9,6. (Programa SAPRSBRO).

CVE-2023-25617 es una vulnerabilidad de ejecución de comandos del sistema operativo que existe en SAP Business Objects Business Intelligence Platform. Tiene una puntuación CVSS de 9,0 y está clasificada como la quinta vulnerabilidad más importante (Adaptive Job Server). Cuando la ejecución de objetos de programa está habilitada, el error habilita la ejecución remota de comandos arbitrarios en Unix. Los usuarios autenticados con derechos de programación pueden aprovechar esta vulnerabilidad mediante el uso de Business Intelligence Launchpad, la Consola de administración central o una aplicación personalizada basada en el SDK público de Java.

El cargo Vulnerabilidades críticas en SAP con puntaje CVSS > 9.5 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente