jueves, 28 de diciembre de 2023

¿Cómo hackear Google Kubernetes Engine (GKE)? Protección contra amenazas de GKE

Una investigación reciente realizada por la Unidad 42 de Palo Alto Networks ha descubierto una cadena de escalada de privilegios duales en Google Kubernetes Engine (GKE). Esta vulnerabilidad, que surge de configuraciones específicas en el agente de registro FluentBit y Anthos Service Mesh (ASM) de GKE, presenta un riesgo de seguridad significativo, que podría permitir a los atacantes acceso no autorizado a los clústeres de Kubernetes .

Descripción general de Kubernetes y GKE: Kubernetes, la plataforma de contenedores de código abierto más adoptada, se utiliza para la implementación y administración de aplicaciones. GKE, Kubernetes Engine de Google, ofrece funciones y capacidades adicionales, lo que mejora la implementación y la gestión de los clústeres de Kubernetes. Sin embargo, la complejidad de los entornos de Kubernetes a menudo los hace susceptibles a violaciones de seguridad debido a una mala configuración y privilegios excesivos.

PROBLEMAS EN FLUENTBIT Y ANTHOS SERVICE MESH:

  • FluentBit : la configuración predeterminada de FluentBit, un procesador y reenviador de registros liviano, incluye un montaje de volumen que proporciona acceso innecesario al directorio del pod, incluidos los tokens de cuenta de servicio proyectados.
  • Anthos Service Mesh (ASM) : el DaemonSet de la interfaz de red de contenedores (CNI) de ASM conserva permisos excesivos después de la instalación, que pueden explotarse para crear un nuevo pod con privilegios elevados.

VULNERABILIDAD DE FLUENTBIT

La vulnerabilidad descrita en el contenedor FluentBit dentro de un clúster de Kubernetes es un problema importante. Esta vulnerabilidad surge de la forma en que FluentBit está configurado para acceder a los volúmenes dentro del clúster. Analicemos esta vulnerabilidad y sus implicaciones:

COMPRENDER LA VULNERABILIDAD

  1. Configuración de montaje de volumen de FluentBit :
    • Mala configuración : FluentBit está montado con acceso al /var/lib/kubelet/podsvolumen. Este directorio contiene subdirectorios para cada pod que se ejecuta en un nodo.
    • Acceso a datos confidenciales : dentro del directorio de cada pod, hay un kube-api-accessvolumen que almacena tokens de cuenta de servicio proyectados. Estos tokens se utilizan para autenticarse con la API de Kubernetes y son muy confidenciales.
  2. Explotación de la mala configuración :
    • Compromiso de FluentBit : si un atacante obtiene acceso al contenedor de FluentBit, puede aprovechar esta configuración errónea.
    • Acceso a tokens : el atacante puede acceder a cualquier token de cuenta de servicio de los pods en el mismo nodo.
    • Suplantación y acceso no autorizado : al utilizar estos tokens, el atacante puede hacerse pasar por pods con distintos niveles de privilegios, obteniendo potencialmente acceso no autorizado al servidor API de Kubernetes.
  3. Alcance del ataque :
    • Mapeo del clúster : el atacante podría enumerar todos los pods en ejecución en el clúster ( get podscomando), lo que le permitiría mapear todo el clúster.
    • Potencial de escalada de privilegios : dependiendo de los permisos asociados con los tokens comprometidos, el atacante podría escalar sus privilegios dentro del clúster.
    • Acciones dañinas : el atacante podría realizar diversas acciones dañinas, como robo de datos, interrupción del servicio o explotación adicional de los recursos del clúster.

EL PAPEL DEL CONTENEDOR SIDECAR

  • Funcionalidad del contenedor sidecar : en una configuración típica de Kubernetes, se utiliza un contenedor sidecar como FluentBit para la recopilación de registros. Opera dentro del contexto de su pod, recopilando, analizando y reenviando registros desde el contenedor principal de la aplicación.
  • No se necesita acceso directo a la API : el contenedor sidecar generalmente no requiere acceso directo al servidor API de Kubernetes. Utiliza la infraestructura de Kubernetes para acceder a archivos de registro y metadatos de tiempo de ejecución del contenedor.

VULNERABILIDADDE LA MALLA DE SERVICIO DE ANTHOS (ASM)

Imagine que está administrando un clúster de Kubernetes que utiliza Anthos Service Mesh (ASM) con el complemento CNI de Istio. El clúster alberga varias aplicaciones críticas para su organización.

CONFIGURACIÓN INICIAL

  • Instalación de ASM : durante la configuración de ASM, el DaemonSet Istio-cni-node se instala en el clúster.
  • Función de DaemonSet : este DaemonSet es responsable de instalar el complemento Istio CNI en cada nodo. También tiene un modo de reparación para manejar pods mal configurados.

LA FALLA

  • Permisos excesivos : después de la instalación, Istio-cni-node DaemonSet conserva permisos de alto nivel, que ya no son necesarios para su funcionamiento diario. Aquí es donde reside el defecto.

EJEMPLO DE EXPLOTACIÓN

  1. Entrada del atacante : un atacante, que ya tiene acceso limitado al clúster (tal vez como un usuario con pocos privilegios), descubre los permisos excesivos del DaemonSet de Istio-cni-node.
  2. Creando un Pod Poderoso :
    • El atacante crea un nuevo pod en el clúster y le asigna los mismos permisos que el DaemonSet de Istio-cni-node. Esto es posible debido a los permisos excesivos que aún posee DaemonSet.
    • Esta nueva cápsula, que podemos llamar una “cápsula poderosa”, ahora tiene capacidades mucho más allá de las que debería tener una cápsula normal.
  3. Uso indebido de permisos :
    • El atacante utiliza el potente pod para realizar acciones que normalmente están restringidas, como acceder a datos confidenciales o modificar configuraciones críticas.
    • El pod también podría manipular otros pods o servicios, interrumpir operaciones o incluso propagarse a otros nodos, intensificando el impacto del ataque.
  4. Escalada de privilegios :
    • Aprovechando las capacidades del potente pod, el atacante aumenta sus privilegios a los de administrador de clúster.
    • Con acceso a nivel de administrador, obtienen control total sobre el clúster de Kubernetes, lo que genera una grave violación de seguridad.

LA CADENA DE ESCALADA DE PRIVILEGIOS

La combinación de estos dos problemas se puede aprovechar en un ataque de segunda etapa para obtener el control total de un clúster de Kubernetes. El ataque implica explotar los permisos de FluentBit para leer tokens de cuentas de servicio proyectados y luego aprovechar los permisos posteriores a la instalación de ASM para escalar privilegios.

Analicemos esta cadena de ataques para comprender cómo un atacante podría escalar privilegios para convertirse en administrador del clúster:

DESGLOSE PASO A PASO DE LA CADENA DE ATAQUE

1. ACCESO INICIAL A TRAVÉS DEL CONTENEDOR FLUENTBIT

  • Requisito previo : el atacante necesita que la función Anthos Service Mesh esté habilitada en el clúster de Kubernetes.
  • Explotación de FluentBit : el atacante obtiene el control del contenedor FluentBit. FluentBit, al ser una herramienta de registro, a menudo tiene amplio acceso dentro de un clúster para fines de recopilación de registros.
  • Montaje de un volumen sensible : el atacante aprovecha FluentBit para montar el /var/lib/kubelet/podsvolumen que contiene el kube-api-access-<random-suffix>directorio. Este directorio contiene tokens de todos los pods de un nodo.

2. RECOLECCIÓN DE TOKENS EN TODO EL CLÚSTER

  • Aprovechando la naturaleza DaemonSet de FluentBit : dado que FluentBit se ejecuta como un DaemonSet (un pod en cada nodo), el atacante replica el compromiso inicial en cada nodo.
  • Mapeo del clúster : al hacerlo, el atacante puede acceder a tokens montados de otros pods en el clúster.
  • Apuntar al token del contenedor Istio-Installer : entre estos tokens, el atacante busca específicamente el token del contenedor Istio-Installer.

3. EXPLOTACIÓN DE LOS PERMISOS DE ASM CNI DAEMONSET

  • Creación de un nuevo pod : utilizando los permisos retenidos de ASM CNI DaemonSet, el atacante crea un nuevo pod en el kube-systemespacio de nombres.
  • Dirigirse a una cuenta de servicio potente : el objetivo es asociar este pod con una cuenta de servicio que tenga amplios privilegios.

4. ELEGIR LA CUENTA DE SERVICIO CRAC

  • Selección de CRAC : la cuenta de servicio ClusterRoleAggregationController (CRAC) es un objetivo principal debido a su capacidad para agregar permisos a las funciones del clúster.
  • Actualización de la función del clúster : el atacante modifica la función del clúster vinculada a la cuenta de servicio CRAC para obtener privilegios completos.

5. PASOS FINALES PARA OBTENER ACCESO DE ADMINISTRADOR DEL CLÚSTER

  • Montaje del token CRAC : el token de la cuenta de servicio CRAC se monta en el pod recién creado.
  • Explotar FluentBit nuevamente : el atacante luego explota la mala configuración de FluentBit para extraer el token CRAC de su módulo.
  • Uso del token CRAC : con el token CRAC, que tiene permisos de administrador del clúster, el atacante puede operar con control total sobre el clúster de Kubernetes.

RESPUESTA Y SOLUCIONES DE GOOGLE:

Google solucionó estos problemas de configuración el 14 de diciembre de 2023 con el lanzamiento de GCP-2023-047. Las correcciones implicaron eliminar el montaje de volumen /var/lib/kubelet/pod del pod Fluent Bit y modificar ClusterRole de ASM para eliminar permisos RBAC excesivos.

CORRECCIONES Y MITIGACIONES IMPLEMENTADAS

1. ACTUALIZACIÓN DE LA CONFIGURACIÓN DE FLUENTBIT

  • Problema : Inicialmente, FluentBit tenía acceso excesivo debido a un montaje del volumen hostPath del /var/lib/kubelet/podsdirectorio, que incluía acceso a tokens confidenciales de cuentas de servicio.
  • Solución : el equipo de seguridad de Google restringió el acceso de FluentBit y eliminó el montaje de volumen innecesario. Este cambio garantiza que FluentBit solo pueda acceder a los registros que necesita para su funcionamiento, lo que reduce significativamente el riesgo de comprometer el token.

2. AJUSTE DE PERMISOS DE ANTHOS SERVICE MESH (ASM)

  • Problema : CNI DaemonSet de ASM tenía altos privilegios, como se identifica en un informe interno.
  • Acción tomada : antes del informe externo, Google ya estaba trabajando para reducir estos permisos.
  • Solución : Google modificó el ClusterRole de ASM y reestructuró algunas funcionalidades para eliminar permisos RBAC innecesarios. Este cambio aborda los permisos excesivos que anteriormente permitían una posible explotación.

IMPACTO DE LAS CORRECCIONES

  • Refuerzo de la seguridad : estas actualizaciones mejoran significativamente la seguridad de FluentBit y ASM dentro de los clústeres de Kubernetes, mitigando las vulnerabilidades específicas y fortaleciendo la postura de seguridad general contra amenazas similares.
  • Prevención de la escalada de privilegios : al rectificar estos problemas, Google ha cerrado efectivamente el vector de ataque que permitía la escalada a privilegios de administrador del clúster.
  • Gestión proactiva de vulnerabilidades : la respuesta de Google, especialmente su trabajo preventivo sobre los permisos de ASM, destaca la importancia de las evaluaciones de seguridad continuas y la gestión proactiva de vulnerabilidades.

IMPLICACIONES MÁS AMPLIAS PARA LA SEGURIDAD DE KUBERNETES

  • Monitoreo y auditoría continuos : los entornos de Kubernetes deben monitorearse y auditarse continuamente para detectar configuraciones incorrectas y permisos excesivos, especialmente para componentes con acceso de amplio alcance como DaemonSets.
  • Principio de privilegio mínimo : este principio debe aplicarse rigurosamente a todos los componentes de Kubernetes, garantizando que cada componente tenga solo los permisos necesarios para su función.
  • Parches y actualizaciones inmediatas : la actualización periódica de Kubernetes y sus componentes asociados es crucial para mantener la seguridad, ya que las vulnerabilidades se pueden descubrir y explotar rápidamente.

Este descubrimiento resalta la importancia de prácticas de seguridad vigilantes en entornos de nube. Kubernetes, aunque potente, puede ser vulnerable a ataques sofisticados debido a configuraciones erróneas y privilegios excesivos en los módulos del sistema. La respuesta proactiva de Google y el análisis detallado de Palo Alto Networks subrayan la necesidad continua de medidas de seguridad sólidas en las infraestructuras de la nube.

El cargo ¿Cómo hackear Google Kubernetes Engine (GKE)? Protección contra amenazas de GKE apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 20 de diciembre de 2023

¿Cómo enviar correos falsos/spoof desde dominios que tienen protecciones SPF y DKIM?

SMTP significa Protocolo simple de transferencia de correo. Es un protocolo utilizado para enviar correos electrónicos a través de Internet. SMTP opera en un modelo push, donde el servidor emisor envía el correo electrónico a un servidor receptor o a un servidor de correo intermediario. A continuación se muestran algunos conceptos básicos asociados con SMTP :

  1. Servidores de envío y recepción : SMTP implica al menos dos servidores: el servidor de correo de envío y el servidor de correo de recepción. El servidor emisor inicia el proceso.
  2. Puertos SMTP : normalmente, SMTP utiliza el puerto 25 para comunicación no cifrada y el puerto 587 para comunicación cifrada (STARTTLS). Algunos servidores también utilizan el puerto 465 para comunicaciones cifradas SSL/TLS.
  3. Comandos y respuestas SMTP : la comunicación SMTP se basa en comandos y respuestas. Los comandos comunes incluyen HELO(o EHLOpara SMTP extendido) MAIL FROMespecificar el remitente, RCPT TOel destinatario y DATAel cuerpo del correo electrónico. Las respuestas del servidor indican el éxito o el fracaso de estos comandos.
  4. MIME (Extensiones multipropósito de correo de Internet) : aunque SMTP se limita a enviar texto, los estándares MIME permiten a SMTP enviar otros tipos de datos como imágenes, audio y video codificándolos en formato de texto.
  5. Autenticación SMTP : se utiliza para autenticar a un usuario que desea enviar un correo electrónico. Ayuda a prevenir el acceso no autorizado al servidor de correo electrónico.
  6. Retransmisión SMTP : se refiere al proceso de transferir un correo electrónico de un servidor a otro. Cuando un servidor SMTP reenvía un correo electrónico a otro servidor para su posterior entrega, se denomina retransmisión.
  7. SMTP en clientes de correo electrónico : los clientes de correo electrónico (como Outlook, Thunderbird) utilizan SMTP para enviar correos electrónicos. Estos clientes requieren la configuración de los ajustes SMTP (dirección del servidor, puerto, autenticación) para enviar correos electrónicos.
  8. Limitaciones y seguridad : SMTP en sí no cifra el contenido del correo electrónico; depende de otros protocolos (como SSL/TLS) por motivos de seguridad. Además, SMTP no incluye inherentemente mecanismos sólidos para autenticar al remitente, lo que ha generado problemas como spam y phishing.
  9. Interacción con otros protocolos : SMTP se utiliza normalmente junto con POP3 o IMAP, que son protocolos utilizados para recuperar correos electrónicos de un servidor de correo.
  10. Uso en sistemas de correo electrónico modernos : a pesar de su antigüedad, SMTP sigue siendo una parte fundamental de la infraestructura de correo electrónico en Internet y se utiliza prácticamente en todos los sistemas de correo electrónico actuales.

CONTRABANDO SMTP

El contrabando SMTP se refiere a una técnica utilizada en la seguridad de la red para eludir las medidas de seguridad mediante la explotación de vulnerabilidades en el Protocolo simple de transferencia de correo (SMTP). SMTP es el protocolo estándar utilizado para enviar correos electrónicos a través de Internet. El contrabando en este contexto normalmente implica manipular la conversación SMTP de una manera que permita a un atacante inyectar comandos maliciosos o cargas útiles en un mensaje de correo electrónico. Estas cargas útiles pueden pasar desapercibidas para los sistemas de seguridad que no están configurados correctamente para manejar el tráfico SMTP anómalo.

Hay varias formas de ejecutar el contrabando SMTP:

  1. Inyección de comandos: al insertar comandos SMTP adicionales en los campos de mensaje (como los campos ‘MAIL FROM’ o ‘RCPT TO’), un atacante podría engañar a un servidor para que ejecute comandos que no debería.
  2. Inyección CRLF: los comandos SMTP suelen estar separados por un retorno de carro y un avance de línea (CRLF). Si un atacante puede inyectar secuencias CRLF en un mensaje, podría agregar comandos adicionales o modificar el comportamiento del servidor de correo electrónico.
  3. Contrabando de contenido: esto implica ocultar contenido malicioso dentro de un correo electrónico de una manera que evade la detección por parte de los sistemas de seguridad, que podrían escanear los correos electrónicos en busca de amenazas conocidas.

Mecanismos de autenticación de correo electrónico

Los mecanismos de autenticación de correo electrónico como SPF, DKIM y DMARC son cruciales en la lucha contra la suplantación de identidad y el phishing de correo electrónico. Ayudan a verificar la autenticidad del remitente y garantizar la integridad del mensaje. A continuación se ofrece una descripción básica de cada uno:

1. SPF (MARCO DE POLÍTICAS DEL REMITENTE)

  • Propósito : SPF se utiliza para evitar la falsificación de direcciones del remitente. Permite al propietario del dominio especificar qué servidores de correo pueden enviar correo electrónico en nombre de su dominio.
  • Cómo funciona : el propietario del dominio publica registros SPF en su DNS. Estos registros enumeran las direcciones IP de envío autorizadas. Cuando se recibe un correo electrónico, el servidor receptor verifica el registro SPF para verificar que el correo electrónico proviene de un servidor autorizado.
  • Limitaciones : SPF solo verifica el remitente del sobre (ruta de retorno) y no la dirección del encabezado (De:), que a menudo es lo que ve el destinatario.

2. DKIM (CORREO IDENTIFICADO CON CLAVES DE DOMINIO)

  • Propósito : DKIM proporciona una forma de validar la identidad de un nombre de dominio asociado con un mensaje mediante autenticación criptográfica.
  • Cómo funciona : el servidor de envío adjunta una firma digital vinculada al dominio en el encabezado del correo electrónico. Luego, el servidor receptor utiliza la clave pública del remitente (publicada en su DNS) para verificar la firma.
  • Ventajas : DKIM verifica que partes del correo electrónico (incluidos los archivos adjuntos) no hayan sido alteradas durante el tránsito.

3. DMARC (AUTENTICACIÓN, INFORMES Y CONFORMIDAD DE MENSAJES BASADOS ​​EN DOMINIO)

  • Propósito : DMARC se basa en SPF y DKIM. Permite al propietario del dominio especificar cómo se debe manejar un correo electrónico que no supere las comprobaciones de SPF y DKIM.
  • Cómo funciona : las políticas DMARC se publican en DNS. Estas políticas indican al servidor receptor qué hacer con el correo que no pasa las comprobaciones SPF o DKIM (por ejemplo, rechazar el correo, ponerlo en cuarentena o pasarlo con una nota).
  • Beneficios : DMARC también incluye capacidades de generación de informes, lo que permite a los remitentes recibir comentarios sobre cómo se maneja su correo electrónico.

EFICACIA COMBINADA

  • Funciones complementarias : SPF, DKIM y DMARC trabajan juntos para mejorar la seguridad del correo electrónico. SPF valida el servidor emisor, DKIM valida la integridad del mensaje y DMARC les dice a los receptores qué hacer si las otras comprobaciones fallan.
  • Combatir la suplantación de identidad y el phishing : al utilizar estos mecanismos, las organizaciones pueden reducir significativamente el riesgo de que sus dominios se utilicen para ataques de phishing y suplantación de correo electrónico.
  • Adopción y configuración : la configuración adecuada de estos protocolos es fundamental. Una configuración incorrecta puede provocar que los correos electrónicos legítimos sean rechazados o marcados como spam.

IMPLEMENTACIÓN

  • Registros DNS : los tres requieren la configuración de registros DNS. SPF y DMARC son registros de texto, mientras que DKIM utiliza un registro TXT para la clave pública.
  • Servidores y servicios de correo electrónico : muchos servidores y servicios de correo electrónico admiten estos protocolos, pero generalmente requieren que el administrador del dominio los instale y configure manualmente.

En general, SPF, DKIM y DMARC son herramientas esenciales en el conjunto de herramientas del administrador de correo electrónico para asegurar la comunicación por correo electrónico y proteger la reputación de un dominio.

En un descubrimiento innovador, Timo Longin, en colaboración con SEC Consult Vulnerability Lab, ha revelado una novedosa técnica de explotación en el ámbito de la seguridad del correo electrónico. Esta técnica, conocida como contrabando SMTP, representa una amenaza significativa para la comunicación global por correo electrónico al permitir que actores malintencionados envíen correos electrónicos falsificados desde prácticamente cualquier dirección de correo electrónico.

Descubrimiento del contrabando SMTP: El concepto de contrabando SMTP surgió de un proyecto de investigación dirigido por Timo Longin, una figura reconocida en la comunidad de ciberseguridad conocida por su trabajo sobre ataques al protocolo DNS. Esta nueva técnica aprovecha las diferencias en cómo los servidores SMTP interpretan las reglas del protocolo, permitiendo a los atacantes eludir los métodos estándar de autenticación de correo electrónico como SPF (Sender Policy Framework).

Cómo funciona el contrabando SMTP: El contrabando SMTP opera explotando las diferencias de interpretación del protocolo SMTP entre varios servidores de correo electrónico. Esto permite a los atacantes “contrabandear” o enviar correos electrónicos falsos que parecen provenir de fuentes legítimas, pasando así las comprobaciones de alineación del SPF. La investigación identificó dos tipos de contrabando SMTP: saliente y entrante, que afectan a millones de dominios y servidores de correo electrónico.

INFORMACIÓN TÉCNICA: COMPRENDER EN PROFUNDIDAD EL CONTRABANDO SMTP

Explotación del contrabando de SMTP: El contrabando de SMTP aprovecha las discrepancias en cómo los diferentes servidores de correo electrónico interpretan el protocolo SMTP. Específicamente, se dirige a la secuencia de fin de datos, que significa el final de un mensaje de correo electrónico. En una sesión SMTP estándar, esta secuencia está representada por una línea con solo un punto (.), precedida por un retorno de carro y un avance de línea (<CR><LF>.<CR><LF>). Sin embargo, las variaciones en la interpretación de esta secuencia pueden generar vulnerabilidades.

Contrabando saliente y entrante: La investigación identificó dos tipos de contrabando SMTP: saliente y entrante. El contrabando saliente implica enviar correos electrónicos desde un servidor comprometido, mientras que el contrabando entrante se refiere a recibir correos electrónicos en un servidor que malinterpreta la secuencia de fin de datos. Ambos tipos pueden aprovecharse para enviar correos electrónicos falsos que parecen provenir de fuentes legítimas.

EXPLOTACIÓN DE LAS COMPROBACIONES DE ALINEACIÓN DE SPF:

El concepto de “Explotación de las comprobaciones de alineación del SPF” en el contexto del contrabando SMTP gira en torno a la manipulación de las comprobaciones del Marco de políticas del remitente (SPF) para enviar correos electrónicos falsificados. SPF es un método de autenticación de correo electrónico diseñado para evitar la falsificación de la dirección del remitente. A continuación se ofrece una explicación detallada de cómo se pueden aprovechar las comprobaciones de alineación de SPF mediante el contrabando SMTP:

ENTENDIENDO EL SPF:

  1. Conceptos básicos de SPF : SPF permite a los propietarios de dominios especificar qué servidores de correo pueden enviar correos electrónicos en nombre de su dominio. Esto se hace publicando registros SPF en DNS. Cuando se recibe un correo electrónico, el servidor del destinatario verifica el registro SPF para verificar si el correo electrónico proviene de un servidor autorizado.
  2. Proceso de verificación de SPF : la verificación de SPF generalmente implica comparar la dirección IP del remitente (que se encuentra en el sobre SMTP) con las direcciones IP enumeradas en el registro SPF del dominio. Si la dirección IP coincide con una del registro SPF, el correo electrónico pasa la verificación SPF.

EXPLOTACIÓN MEDIANTE CONTRABANDO SMTP:

  1. Manipulación de la dirección ‘MAIL FROM’ : en el contrabando SMTP, los atacantes manipulan la dirección ‘MAIL FROM’ en el sobre SMTP. Esta dirección se utiliza para la validación de SPF. Al elaborar cuidadosamente esta dirección, los atacantes pueden pasar la verificación SPF incluso cuando envían desde un servidor no autorizado.
  2. Discrepancia entre ‘MAIL FROM’ y el encabezado ‘From’ : a menudo hay una discrepancia entre la dirección ‘MAIL FROM’ en el sobre SMTP (utilizado para comprobaciones SPF) y el encabezado ‘From’ en el cuerpo del correo electrónico (que ve el destinatario). El contrabando SMTP aprovecha esto configurando la dirección ‘MAIL FROM’ en un dominio que pasa la verificación SPF, mientras que el encabezado ‘From’ se falsifica para que parezca que el correo electrónico proviene de un dominio diferente, a menudo confiable.
  3. Omitir la alineación SPF : la clave de esta explotación es la diferencia en cómo los distintos servidores de correo interpretan y procesan las reglas del protocolo SMTP. Al introducir de contrabando comandos o datos adicionales, los atacantes pueden hacer que un correo electrónico parezca provenir de una fuente legítima, evitando así las comprobaciones de alineación del SPF.
  4. Consecuencias : esta explotación puede provocar ataques de phishing exitosos, ya que el correo electrónico parece provenir de una fuente confiable, a pesar de haber sido enviado desde un servidor no autorizado. Es más probable que los destinatarios confíen en estos correos electrónicos y actúen en consecuencia, lo que genera posibles violaciones de seguridad.

EXPERIMENTACIÓN TÉCNICA

El aspecto de “Experimentación técnica” de la investigación sobre el contrabando de SMTP realizada por SEC Consult implicó una serie de pruebas y análisis metódicos para comprender cómo los diferentes servidores de correo electrónico manejan el protocolo SMTP, centrándose particularmente en la secuencia de fin de datos.

OBJETIVO DE LA EXPERIMENTACIÓN:

El objetivo principal era identificar discrepancias en cómo los servidores SMTP de salida (envío) y de entrada (recepción) interpretan el protocolo SMTP, especialmente la secuencia de fin de datos. Esta secuencia es crucial ya que significa el final de un mensaje de correo electrónico.

CONFIGURACIÓN DEL EXPERIMENTO:

  1. Selección de proveedores de correo electrónico : los investigadores seleccionaron una variedad de proveedores de correo electrónico públicos que admiten envíos de correo a través de SMTP. Esto incluía servicios populares como Outlook.com, Gmail, GMX, iCloud y otros.
  2. Servidor de análisis SMTP : se configuró un servidor de análisis SMTP especializado para recibir correos electrónicos de estos proveedores. Este servidor jugó un papel fundamental al observar cómo los diferentes servidores SMTP manejan varios comandos y secuencias SMTP.
  3. Cliente de análisis SMTP : Se utilizó un cliente de análisis SMTP para enviar correos electrónicos a través de los servidores SMTP salientes de los proveedores seleccionados. Este cliente fue configurado para variar los comandos y secuencias SMTP utilizados en los correos electrónicos.

ÁREAS CLAVE DE ENFOQUE:

  1. Variaciones de secuencia de fin de datos : los investigadores experimentaron con diferentes secuencias de fin de datos, como <LF>.<LF>(avance de línea) en lugar de la estándar <CR><LF>.<CR><LF>(retorno de carro, avance de línea). El objetivo era ver si los servidores salientes procesarían estas secuencias no estándar de manera diferente.
  2. Respuestas del servidor al comando DATA : Se observaron diferentes respuestas de los proveedores de correo electrónico al comando DATA SMTP. Estas respuestas proporcionaron información sobre cómo cada servidor podría manejar las secuencias de fin de datos.
  3. Diferencias entre sistemas operativos : el experimento también consideró cómo los diferentes sistemas operativos interpretan “una línea por sí misma”. Por ejemplo, Windows utiliza <CR><LF>para indicar el final de una línea, mientras que los sistemas Unix/Linux utilizan <LF>. Esta diferencia podría afectar la forma en que los servidores de correo electrónico procesan la secuencia de fin de datos.

EJECUCIÓN DEL EXPERIMENTO:

  1. Envío de correos electrónicos de prueba : el cliente de análisis SMTP envió correos electrónicos de prueba a través de los servidores SMTP salientes de los proveedores seleccionados, utilizando varias secuencias de fin de datos.
  2. Observación de respuestas : el servidor de análisis SMTP entrante recibió estos correos electrónicos y registró cómo cada servidor saliente manejó las diferentes secuencias.
  3. Identificación de anomalías : los investigadores buscaron anomalías en las que los servidores salientes no interpretaban ni filtraban correctamente secuencias de fin de datos no estándar, y los servidores entrantes las aceptaban como válidas.

La experimentación reveló que algunos servidores SMTP no se ajustaban a la interpretación estándar del protocolo SMTP, particularmente en el manejo de secuencias de fin de datos. Esta no conformidad abrió la puerta al contrabando de SMTP, donde los atacantes podían insertar comandos SMTP adicionales en el contenido del correo electrónico.

ESTUDIO DE CASO: SERVIDOR SMTP GMX

Un ejemplo notable de contrabando SMTP se demostró utilizando el servidor SMTP de GMX. Los investigadores pudieron enviar un correo electrónico con una secuencia de fin de datos especialmente diseñada que el servidor GMX no filtró. Esto les permitió insertar comandos SMTP adicionales en el contenido del correo electrónico, que luego eran ejecutados por el servidor del destinatario, “contrabandeando” efectivamente comandos o contenido maliciosos.

TÉCNICA DE EXPLOTACIÓN:

  • Manipulación de la secuencia de fin de datos : los investigadores experimentaron con diferentes secuencias de fin de datos, como <LF>.<LF>en lugar de la estándar <CR><LF>.<CR><LF>.
  • Observación de la respuesta del servidor GMX : Se observó que cuando <LF>.<CR><LF>se enviaba una secuencia específica ( ) al servidor SMTP saliente de GMX, pasaba esta secuencia sin filtrar al servidor SMTP entrante.

CONTRABANDO SMTP EXITOSO:

  • Separación de los datos del mensaje : Al utilizar la <LF>.<CR><LF>secuencia, los investigadores pudieron ‘separar’ los datos del mensaje en el servidor SMTP entrante. Esto significaba que cualquier cosa que siguiera esta secuencia podría interpretarse como un comando SMTP independiente o contenido de correo electrónico adicional.
  • Demostración de vulnerabilidad : esta técnica permitió a los investigadores insertar de manera efectiva comandos SMTP adicionales en el contenido del correo electrónico, lo que demuestra un ataque de contrabando SMTP exitoso.

El primer exploit de contrabando SMTP exitoso del equipo de investigación se demostró utilizando el servidor SMTP de GMX. Este avance confirmó la viabilidad de la técnica y su potencial para comprometer la seguridad del correo electrónico a gran escala. El contrabando SMTP representa una nueva frontera en la suplantación de correo electrónico, desafiando las medidas de seguridad existentes y destacando la necesidad de una vigilancia continua en el ámbito de la ciberseguridad. El descubrimiento subraya la importancia de realizar auditorías y actualizaciones de seguridad periódicas para proteger contra amenazas emergentes. El descubrimiento del contrabando SMTP tiene importantes implicaciones para la seguridad del correo electrónico. Se identificaron vulnerabilidades en los principales servicios de correo electrónico, incluidos Microsoft y GMX, que se solucionaron rápidamente. Sin embargo, SEC Consult ha emitido una advertencia a las organizaciones que utilizan Cisco Secure Email, instándolas a actualizar sus configuraciones para mitigar esta vulnerabilidad.

MITIGACIONES TÉCNICAS Y DE SEGURIDAD:

  1. Parchear y actualizar sistemas : actualice y parchee periódicamente los servidores de correo electrónico y el software relacionado. Los proveedores deben asegurarse de que sus sistemas estén actualizados con los últimos parches de seguridad que aborden las vulnerabilidades conocidas, incluidas las relacionadas con el contrabando de SMTP.
  2. Mejore la autenticación de correo electrónico : implemente y aplique protocolos avanzados de autenticación de correo electrónico como DKIM (correo identificado con claves de dominio) y DMARC (autenticación, informes y conformidad de mensajes basados ​​en dominio). Estos protocolos proporcionan capas adicionales de verificación, asegurando que el remitente del correo electrónico sea legítimo y que el contenido del mensaje no haya sido manipulado.
  3. Configure los servidores de correo electrónico correctamente : asegúrese de que los servidores de correo electrónico, especialmente aquellos que manejan correos electrónicos entrantes y salientes, estén configurados correctamente para manejar los estándares del protocolo SMTP, particularmente la secuencia de fin de datos. Esto implica un estricto cumplimiento de las especificaciones del protocolo para evitar cualquier ambigüedad en la interpretación.
  4. Utilice soluciones avanzadas de filtrado de correo electrónico : emplee soluciones avanzadas de filtrado de correo electrónico que puedan detectar y bloquear correos electrónicos falsificados. Estas soluciones suelen utilizar el aprendizaje automático y otras técnicas avanzadas para identificar anomalías en los mensajes de correo electrónico que podrían indicar un intento de suplantación de identidad.
  5. Auditorías de seguridad periódicas : realice auditorías de seguridad periódicas de la infraestructura de correo electrónico para identificar y rectificar posibles vulnerabilidades. Esto debería incluir una revisión de las configuraciones del servidor, los mecanismos de autenticación y los protocolos de actualización.

El contrabando SMTP representa un avance significativo en la comprensión de las vulnerabilidades del protocolo de correo electrónico. Desafía los paradigmas de seguridad existentes y exige una reevaluación de las estrategias de seguridad del correo electrónico. Mientras la comunidad de ciberseguridad trabaja para abordar estas vulnerabilidades, este descubrimiento sirve como un recordatorio crucial de la naturaleza dinámica y evolutiva de las ciberamenazas.

El cargo ¿Cómo enviar correos falsos/spoof desde dominios que tienen protecciones SPF y DKIM? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 15 de diciembre de 2023

Ataque Silencioso por Correo CVE-2023-35628: Cómo Hackear Sin Hacer Clic en un Email en Outlook

CVE-2023-35628 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a la plataforma Microsoft Windows MSHTML, con una puntuación de vulnerabilidad común Puntuación del sistema (CVSS) de 8,1, lo que indica un alto nivel de riesgo. Esta falla es particularmente preocupante porque puede explotarse sin ninguna interacción por parte del usuario. La vulnerabilidad puede desencadenarse cuando Microsoft Outlook recupera y procesa un correo electrónico especialmente diseñado, incluso antes de que el correo electrónico se vea en el panel de vista previa de Outlook. Esto la convierte en una amenaza particularmente insidiosa, ya que los usuarios pueden no ser conscientes del peligro que acecha​​​​​​.

La naturaleza de CVE-2023-35628 permite que un atacante remoto y no autenticado ejecute código arbitrario en el sistema de la víctima. El exploit se puede iniciar enviando un correo electrónico especialmente diseñado, y se ha observado que es probable que las bandas de ransomware y otras entidades maliciosas encuentren esta vulnerabilidad como un objetivo atractivo. Aunque actualmente no se ha demostrado la madurez del código de explotación para CVE-2023-35628, lo que significa que es posible que aún no exista un método confiable para explotar esta vulnerabilidad en la naturaleza, el potencial de ejecución remota de código lo convierte en un problema crítico para todos los usuarios de Windows.​.

PLATAFORMA MSHTML

La vulnerabilidad en la plataforma MSHTML, específicamente CVE-2023-35628, se puede atribuir a varios factores que se encuentran comúnmente en las vulnerabilidades de software:

  1. Análisis y representación de contenido HTML: MSHTML, al ser un componente utilizado para analizar y representar contenido HTML en aplicaciones como Microsoft Outlook, procesa una gran cantidad de entradas que no son de confianza. Esta entrada, que a menudo incluye HTML complejo y contenido de secuencias de comandos, puede contener fallas o secuencias inesperadas que el software no maneja adecuadamente.
  2. Problemas de administración de la memoria: las vulnerabilidades a menudo surgen debido a problemas de administración de la memoria, como desbordamientos del búfer, errores de uso después de la liberación u otros problemas similares. Estos problemas pueden ocurrir cuando el software no asigna, administra o libera memoria correctamente al procesar contenido HTML. Los atacantes pueden aprovechar estas debilidades para ejecutar código arbitrario.
  3. Validación de entrada insuficiente: las vulnerabilidades del software también pueden deberse a una validación de entrada insuficiente. Si MSHTML no valida o desinfecta adecuadamente el contenido HTML que procesa, se podrían utilizar entradas maliciosas para desencadenar un exploit. Esto podría incluir secuencias de comandos especialmente diseñadas o estructuras HTML con formato incorrecto diseñadas para aprovechar las debilidades del analizador.
  4. Complejidad de los estándares web: la complejidad de los estándares web modernos también puede contribuir a las vulnerabilidades. A medida que los estándares evolucionan y se vuelven más complejos, resulta cada vez más difícil garantizar que cada aspecto del proceso de análisis y representación sea seguro contra todos los posibles vectores de ataque.
  5. Integración con clientes de correo electrónico: la integración de MSHTML con clientes de correo electrónico como Outlook añade otra capa de complejidad. Los correos electrónicos son un vector común para entregar contenido malicioso y el procesamiento automático de correos electrónicos (incluida la representación de contenido HTML) puede facilitar que los atacantes aprovechen las vulnerabilidades sin la interacción directa del usuario.

EL EXPLOIT SIN CLIC

Un exploit para la vulnerabilidad CVE-2023-35628 en la plataforma MSHTML de Windows normalmente implicaría algunos pasos clave, diseñados para aprovechar la naturaleza específica de esta falla. A continuación se ofrece una descripción general generalizada de cómo podría funcionar un exploit de este tipo:

  1. Elaboración de un correo electrónico malicioso: el atacante comienza creando un correo electrónico especialmente diseñado. Este correo electrónico contendría código malicioso o una carga útil diseñada para explotar la vulnerabilidad en la plataforma MSHTML. La naturaleza precisa de este código depende de las características específicas de la vulnerabilidad y se adaptaría para desencadenar la falla en MSHTML.
  2. Entrega de correo electrónico y procesamiento automático: el correo electrónico diseñado se envía al destino. En el caso de CVE-2023-35628, el aspecto crítico es que la vulnerabilidad se activa cuando Microsoft Outlook recupera y procesa el correo electrónico. Este procesamiento ocurre automáticamente, a menudo incluso antes de que el correo electrónico se muestre en el panel de vista previa de Outlook.
  3. Ejecución remota de código: al procesar el correo electrónico malicioso, se ejecuta el código de explotación. La ejecución de este código se produce dentro del contexto de la plataforma MSHTML, que es un componente clave utilizado por Outlook para representar contenido HTML en correos electrónicos.
  4. Tomar el control o dañar el sistema: una vez que se ejecuta el código, puede realizar diversas actividades maliciosas. Esto podría ir desde tomar el control del sistema del usuario, robar información confidencial, instalar malware o realizar otras acciones dañinas. El alcance del daño o control depende de la naturaleza de la carga útil y de los permisos disponibles para el proceso MSHTML.

La configuración de la memoria es una técnica de explotación avanzada que se utiliza a menudo en ciberataques sofisticados, en particular aquellos que involucran sistemas de software complejos y entornos seguros. Es un método utilizado por los atacantes para manipular el diseño o el estado de la memoria en una aplicación de destino para facilitar la explotación de vulnerabilidades. La configuración de la memoria puede ser parte de la explotación de vulnerabilidades como desbordamientos del búfer, errores de uso después de la liberación u otros problemas de corrupción de la memoria.

Aquí hay un ejemplo simplificado para ilustrar cómo podría funcionar la configuración de la memoria y su explotación:

  1. Identificación de una vulnerabilidad: primero, el atacante encuentra una vulnerabilidad en la aplicación de destino que puede aprovecharse para dañar la memoria. Por ejemplo, esto podría ser un desbordamiento del búfer, donde la aplicación no verifica la longitud de la entrada, lo que permite a un atacante escribir más datos en un búfer de los que puede contener.
  2. Analizar el diseño de la memoria: luego, el atacante estudia el diseño de la memoria de la aplicación para comprender cómo se almacenan y administran los datos. Esto implica identificar en qué parte de la memoria se encuentran los diferentes tipos de datos y cómo la aplicación accede a ellos.
  3. Configuración de la memoria: una vez que el atacante comprende bien el diseño de la memoria, comienza el proceso de configuración de la memoria. Esto implica elaborar entradas o acciones que modifiquen la memoria de la aplicación de forma controlada. Por ejemplo, podrían asignar y liberar memoria en un patrón específico para organizar fragmentos de memoria en el diseño deseado.
  4. Explotación de la vulnerabilidad: con la memoria configurada a su favor, el atacante explota la vulnerabilidad identificada. Usando el ejemplo de desbordamiento del búfer, podrían desbordar un búfer con datos que incluyen código malicioso (la carga útil) y direcciones o comandos cuidadosamente calculados que redirigen el flujo de ejecución de la aplicación a la carga útil.
  5. Ejecución de código arbitrario: si tiene éxito, el exploit permite que el código del atacante se ejecute con los privilegios de la aplicación de destino. Esto podría dar lugar a diversos resultados maliciosos, como el robo de datos, la instalación de malware o la obtención de control sobre el sistema.

Es importante tener en cuenta que la configuración de la memoria es un proceso complejo y técnico que requiere un conocimiento profundo tanto de la aplicación de destino como de las técnicas generales de explotación. Por lo general, se usa en escenarios donde los métodos de explotación estándar no son efectivos, a menudo debido a medidas de seguridad como la aleatorización del diseño del espacio de direcciones (ASLR) u otras protecciones.

Debido a la complejidad y al potencial de uso indebido, el código de explotación específico o las metodologías detalladas para la configuración de la memoria no se comparten públicamente. El objetivo de la investigación sobre ciberseguridad en esta área es comprender y mitigar estas amenazas avanzadas, garantizando que el software y los sistemas estén seguros contra posibles ataques.

Es importante señalar que la complejidad del exploit para CVE-2023-35628 se considera alta. Se requieren conocimientos y técnicas específicos, particularmente relacionados con la configuración de la memoria, para explotar con éxito la vulnerabilidad. Esta complejidad podría limitar la explotación a atacantes más hábiles.

La complejidad del ataque se considera alta debido a la dependencia de técnicas complejas de configuración de memoria para explotar con éxito la vulnerabilidad. A pesar de esta complejidad, el alto impacto de la vulnerabilidad requiere atención y acción inmediatas. Microsoft ha abordado esta falla en sus actualizaciones del martes de parches de diciembre de 2023, recomendando a los usuarios que actualicen sus sistemas como medida preventiva.​.

Es importante tener en cuenta que CVE-2023-35628 es solo una de varias vulnerabilidades abordadas en las actualizaciones del martes de parches de diciembre de 2023. Otras vulnerabilidades notables incluyen CVE-2023-35630 y CVE-2023-35641, que son vulnerabilidades de ejecución remota de código que afectan a Microsoft Internet Connection Sharing (ICS) con una puntuación CVSS de 8,8, y una vulnerabilidad crítica de suplantación de identidad en Microsoft Power Platform Connector (CVE- 2023-36019) con una puntuación CVSS de 9,6​​.

MITIGACIÓN Y ALCANCE

La vulnerabilidad CVE-2023-35628, que es una falla crítica de ejecución remota de código en la plataforma MSHTML de Windows, afecta a una variedad de productos de Microsoft, incluidos Office 365 y versiones locales. Esta vulnerabilidad es importante debido a su potencial para permitir la explotación tan pronto como Outlook recupera y procesa un correo electrónico malicioso especialmente diseñado, incluso antes de que el usuario interactúe con el correo electrónico. Esto significa que la explotación podría ocurrir sin ninguna acción por parte del usuario, ni siquiera requerir el Panel de vista previa en Outlook.

En términos de impacto en Office 365 y entornos locales, es importante tener en cuenta que Outlook, entre otras aplicaciones, utiliza el motor de navegador propietario MSHTML, que es el componente afectado por esta vulnerabilidad, para representar contenido HTML. El hecho de que este motor permanezca instalado en Windows, independientemente del estado de Internet Explorer 11, significa que los sistemas en los que Internet Explorer 11 se ha desactivado por completo siguen siendo vulnerables hasta que se aplique un parche.

Para abordar esta vulnerabilidad, Microsoft lanzó parches como parte de su martes de parches de diciembre de 2023. Estos parches son esenciales para mitigar el riesgo que plantea esta vulnerabilidad y están disponibles para varias versiones de Windows y componentes de software relacionados. Dada la naturaleza crítica de esta vulnerabilidad y su impacto potencial en la confidencialidad, integridad y disponibilidad, se recomienda encarecidamente que los usuarios y administradores de Office 365 y entornos locales apliquen estas actualizaciones con prontitud.

El martes de parche de diciembre de 2023 de Microsoft abordó un total de 34 vulnerabilidades, incluida esta vulnerabilidad crítica de RCE en MSHTML. Cabe destacar que no hubo parches de seguridad para Exchange, SharePoint, Visual Studio/.NET o SQL Server en este ciclo de actualización en particular.

Los detalles sobre los parches y las versiones específicas a las que se aplican se pueden encontrar en los boletines de seguridad y la documentación de soporte de Microsoft. Para los usuarios y administradores, es fundamental revisar estos recursos y garantizar que se apliquen todas las actualizaciones de seguridad aplicables para proteger contra posibles vulnerabilidades.

Dada la gravedad y la facilidad con la que se puede explotar esta vulnerabilidad, es crucial que los usuarios de Windows, particularmente aquellos que usan Microsoft Outlook, se aseguren de que sus sistemas estén actualizados con los últimos parches de seguridad proporcionados por Microsoft. Es recomendable realizar una revisión periódica de las estrategias de parcheo y de los métodos generales de ciberseguridad para mantener una postura de seguridad sólida.

El cargo Ataque Silencioso por Correo CVE-2023-35628: Cómo Hackear Sin Hacer Clic en un Email en Outlook apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 12 de diciembre de 2023

Consejos para eliminar troyanos de Mac de forma segura

Los troyanos son una de las amenazas más comunes en Internet y afectan tanto a empresas como a particulares. Si bien muchos ataques se dirigieron a usuarios de Windows o PC en el pasado, un aumento en los usuarios de Mac ha aumentado los ataques a macOS, lo que hace que los leales a Apple sean vulnerables a este riesgo de seguridad. Además, los dispositivos móviles, como teléfonos y tabletas, también son vulnerables a los troyanos.

El primer paso es saber si estamos infectados, y cómo eliminar un troyano en nuestro Mac. Para ellos debemos buscar algunos de los mismos signos reveladores de software malicioso

¿Cómo sé si estoy infectado con un troyano?

Algunos troyanos pueden propagarse e infectar el sistema sin que el usuario se dé cuenta. Otros deben instalarse manualmente en la computadora como cualquier otro software. En cualquier caso, los síntomas que nuestro equipo tendrá serán muy similares a estos: 

  1. Rendimiento deficiente del dispositivo. ¿Tu computadora o dispositivo móvil funciona lentamente o falla con más frecuencia de lo habitual?.
  1. Comportamiento extraño del dispositivo. ¿Se están ejecutando programas que tú no iniciaste u otros procesos inexplicables ejecutándose en tu dispositivo?.
  1. Interrupciones de ventanas emergentes y spam. ¿Estás notando un aumento en las interrupciones debido a ventanas emergentes del navegador o correo no deseado?.

¿Cómo eliminar un troyano de Mac?

Los troyanos funcionan de la misma manera que otros virus informáticos y, por lo tanto, deben eliminarse de su computadora con la ayuda de un software de seguridad de confianza. Nunca debemos intentar eliminar un troyano manualmente, ya que podríamos provocar otros problemas graves y daños al sistema. 

Ten en cuenta que aunque un antispyware avanzado puede ayudarnos sobre cómo eliminar un troyano, cualquiera de estas amenazas se actualiza constantemente. Lo recomendable es practicar hábitos seguros en línea. Donde la conciencia y la educación sobre ciberseguridad son herramientas básicas para proteger nuestros sistemas y datos frente a posibles ataques.

 Soluciones para protegerse en el futuro

Para mantenernos a salvo de este tipo de ataques en el futuro, existen algunas prácticas recomendadas además de instalar software de ciberseguridad para protegerse:

  • Nunca abras un archivo adjunto ni ejecutes un programa que te hayan enviado en un correo electrónico de remitente desconocido.
  • Asegúrate de tener un antivirus troyano instalado y ejecutándose en tu computadora.
  • Utiliza un cortafuegos o firewall que actúe como una barrera contra accesos no autorizados y posibles ataques maliciosos.
  • Utiliza un administrador de contraseñas para generar contraseñas fuertes y únicas que reduzcan el riesgo de violaciones de seguridad.
  • Cuidado con las descargas y las redes Wi-Fi públicas. Evita riesgos descargando archivos solo de fuentes confiables y utilizando conexiones seguras en redes Wi-Fi públicas. 
  • Mantente atento a las solicitudes de conexión remota. Asegúrate de conocer y confiar en la fuente antes de permitir conexiones remotas, y utiliza medidas de autenticación seguras.

Y por último, protege tus datos importantes realizando copias de seguridad de forma regular. En caso de un incidente de seguridad o pérdida de información, contar con copias actualizadas te permitirá recuperar la información valiosa.

El cargo Consejos para eliminar troyanos de Mac de forma segura apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 11 de diciembre de 2023

Cómo Evadir EDRs y Antivirus Usando Estos 8 Ataques de Inyección de Procesos

En el panorama en constante evolución de la ciberseguridad, los investigadores descubren continuamente nuevos métodos que desafían los mecanismos de defensa existentes. Un estudio reciente realizado por SafeBreach, líder en investigación de ciberseguridad, ha sacado a la luz una novedosa técnica de inyección de procesos que explota los grupos de subprocesos de Windows, revelando vulnerabilidades en las soluciones actuales de detección y respuesta de endpoints (EDR). Esta investigación innovadora no sólo demuestra la sofisticación de las posibles amenazas cibernéticas, sino que también subraya la necesidad de estrategias defensivas avanzadas en el mundo digital. La explotación del grupo de subprocesos es difícil de detectar para los EDR porque utiliza mecanismos legítimos del sistema con fines maliciosos. Los EDR a menudo buscan patrones conocidos de actividad maliciosa, pero cuando el malware secuestra procesos legítimos o inyecta código a través de comportamientos esperados del sistema, como aquellos que involucran grupos de subprocesos, puede mezclarse sin generar alarmas. Esencialmente, estas técnicas no dejan los rastros típicos para los que los EDR están programados para identificar, lo que les permite operar bajo el radar.

COMPRENSIÓN DEL PROCESO DE INYECCIÓN:

La inyección de procesos es una técnica que suelen utilizar los ciberatacantes para ejecutar código malicioso dentro del espacio de memoria de un proceso legítimo. Al hacerlo, pueden evadir la detección y obtener acceso no autorizado a los recursos del sistema. Tradicionalmente, este método implica tres pasos clave: asignar memoria en el proceso de destino, escribir el código malicioso en este espacio asignado y luego ejecutar el código para llevar a cabo el ataque.

EL PAPEL DE LOS GRUPOS DE SUBPROCESOS DE WINDOWS:

Un elemento central de esta nueva técnica es la explotación de los grupos de subprocesos de Windows. Los grupos de subprocesos en Windows son integrales para administrar subprocesos de trabajo, que se utilizan para realizar diversas tareas en segundo plano. Estos grupos gestionan de manera eficiente la ejecución de múltiples subprocesos, lo que reduce la sobrecarga asociada con la creación y destrucción de subprocesos. En escenarios legítimos, los grupos de subprocesos mejoran el rendimiento y la capacidad de respuesta de las aplicaciones. Los grupos de subprocesos de Windows son una característica del sistema que se utiliza para administrar múltiples subprocesos de manera eficiente. Estos grupos permiten la ejecución de subprocesos de trabajo que realizan tareas en segundo plano, optimizando el uso de los recursos del sistema. Los grupos de subprocesos son parte integral del sistema operativo Windows y son utilizados por varias aplicaciones para realizar tareas asincrónicas.

La investigación de SafeBreach profundiza en cómo estos grupos de subprocesos pueden manipularse con fines maliciosos. Al explotar los mecanismos que gobiernan las operaciones del grupo de subprocesos, los atacantes pueden inyectar código malicioso en otros procesos en ejecución, eludiendo las medidas de seguridad tradicionales. Esta técnica presenta un desafío importante para las soluciones EDR existentes, que generalmente están diseñadas para detectar formas más convencionales de inyección de procesos. A continuación se muestran algunos ejemplos de tales manipulaciones:

  1. Insertar elementos de trabajo maliciosos:
    • Los atacantes pueden insertar elementos de trabajo maliciosos en el grupo de subprocesos. Estos elementos de trabajo son esencialmente tareas programadas para ser ejecutadas por los subprocesos de trabajo del grupo. Al insertar un elemento de trabajo que contiene código malicioso, un atacante puede ejecutar este código bajo la apariencia de un proceso legítimo.
  2. Secuestro de hilos de trabajadores:
    • Un atacante podría secuestrar los subprocesos de trabajo de un grupo de subprocesos. Al tomar el control de estos subprocesos, el atacante puede redirigir su flujo de ejecución para ejecutar código malicioso. Este método puede resultar particularmente eficaz porque los subprocesos de trabajo son componentes confiables dentro del sistema.
  3. Explotación de colas de temporizador:
    • Los grupos de subprocesos de Windows utilizan colas de temporizador para programar tareas que se ejecutarán en momentos específicos. Un atacante podría aprovechar estas colas de temporizador para programar la ejecución de código malicioso en un momento predeterminado, evitando potencialmente algunos controles de seguridad basados ​​en el tiempo.
  4. Manipulación de devoluciones de llamadas de finalización de E/S:
    • Los grupos de subprocesos manejan devoluciones de llamadas de finalización de E/S, que son funciones llamadas cuando se completa una operación de E/S. Al manipular estas devoluciones de llamada, un atacante puede ejecutar código arbitrario en el contexto de una rutina de finalización de E/S legítima.
  5. Abusar de las llamadas a procedimientos asincrónicos (APC):
    • Si bien no están directamente relacionados con los grupos de subprocesos, los atacantes pueden utilizar llamadas a procedimientos asincrónicos, que son mecanismos para ejecutar código de forma asincrónica en el contexto de un subproceso en particular, junto con la manipulación del grupo de subprocesos para ejecutar código malicioso.
  6. Manipulación de trabajadores en la fábrica:
    • La fábrica de trabajadores en un grupo de subprocesos gestiona los subprocesos de los trabajadores. Al manipular la fábrica de trabajadores, los atacantes pueden controlar potencialmente la creación y gestión de subprocesos de trabajo, permitiéndoles ejecutar tareas maliciosas.
  7. Inserción remota de elemento de trabajo TP_TIMER:
    • Esto implica crear un objeto de temporizador en el grupo de subprocesos y luego manipularlo para ejecutar código malicioso. El temporizador se puede configurar para que se active a intervalos específicos, ejecutando el código malicioso repetidamente.
  8. Manipulación de colas:
    • Los atacantes pueden manipular las colas utilizadas por los grupos de subprocesos para priorizar o retrasar determinadas tareas. Al hacerlo, pueden asegurarse de que sus tareas maliciosas se ejecuten en el momento en que es más probable que pasen desapercibidas.

Estos ejemplos ilustran la versatilidad y el potencial sigilo del uso de grupos de subprocesos de Windows con fines maliciosos. La explotación de estos componentes integrales del sistema plantea un desafío importante para las defensas de ciberseguridad, y requiere mecanismos avanzados de detección y prevención. Los siguientes elementos de trabajo del grupo de subprocesos se pueden programar en Windows. Así es como cada uno podría ser potencialmente vulnerable a los ataques:

  1. Sobrescritura de rutina de inicio de Worker Factory : sobrescribir la rutina de inicio puede redirigir los subprocesos de trabajo para ejecutar código malicioso.
  2. Inserción de TP_WORK : al insertar objetos TP_WORK, los atacantes podrían ejecutar código arbitrario en el contexto de un subproceso del grupo de subprocesos.
  3. Inserción TP_WAIT : la manipulación de objetos de espera puede desencadenar la ejecución de código malicioso cuando se cumplen ciertas condiciones.
  4. Inserción TP_IO : al interceptar o insertar objetos de finalización de IO, los atacantes podrían ejecutar código en respuesta a las operaciones de IO.
  5. Inserción de TP_ALPC : los atacantes podrían insertar objetos ALPC (llamada a procedimiento local avanzado) para ejecutar el código al llegar el mensaje.
  6. Inserción TP_JOB : los trabajos pueden asociarse con acciones maliciosas, ejecutadas cuando ocurren ciertos eventos relacionados con el trabajo.
  7. Inserción TP_DIRECT : la inserción directa permite la ejecución inmediata de código, del que se puede abusar para ejecutar malware.
  8. Inserción TP_TIMER : los atacantes pueden utilizar temporizadores para programar la ejecución de cargas útiles maliciosas en momentos específicos.

Estas vulnerabilidades generalmente surgen del hecho de que los grupos de subprocesos ejecutan funciones de devolución de llamada, que los atacantes pueden manipular para señalar su código, logrando así la ejecución del código dentro del contexto de un proceso legítimo.

IMPLICACIONES PARA LAS SOLUCIONES DE DETECCIÓN Y RESPUESTA DE ENDPOINTS (EDR)

La investigación realizada por SafeBreach Labs probó las variantes recientemente descubiertas de Pool Party con cinco soluciones EDR líderes: Palo Alto Cortex, SentinelOne EDR, CrowdStrike Falcon, Microsoft Defender For Endpoint y Cybereason EDR. El resultado fue sorprendente, ya que ninguna de las soluciones EDR probadas fue capaz de detectar o prevenir las técnicas de ataque Pool Party. Esto subraya la necesidad de una innovación continua en los mecanismos de defensa de la ciberseguridad para seguir el ritmo de la evolución de las amenazas. La explotación de grupos de subprocesos de Windows para la inyección de procesos, como se destaca en el artículo de SafeBreach, tiene implicaciones importantes para las soluciones de detección y respuesta de endpoints (EDR). Estas implicaciones requieren una reevaluación y mejora de las estrategias actuales de EDR:

  1. Desafío a los métodos de detección tradicionales:
    • Las soluciones EDR tradicionales a menudo se basan en la detección basada en firmas y en patrones de comportamiento conocidos para identificar amenazas. Sin embargo, la manipulación de los grupos de subprocesos de Windows representa un vector de ataque más sofisticado que puede no detectarse fácilmente mediante estos métodos convencionales. Esto exige un avance en las tecnologías de detección.
  2. Necesidad de un monitoreo más profundo del sistema:
    • Las soluciones EDR ahora deben considerar un monitoreo más profundo del sistema, centrándose particularmente en los aspectos internos de los sistemas operativos, como las actividades del grupo de subprocesos, la creación de subprocesos y los patrones de ejecución. Este nivel de monitoreo puede ayudar a identificar anomalías que son indicativas de explotación del grupo de subprocesos.
  3. Mejora de las capacidades de análisis del comportamiento:
    • Los sistemas EDR necesitan mejorar sus capacidades de análisis de comportamiento para detectar actividades inusuales que podrían significar una amenaza. Esto incluye la supervisión de irregularidades en el uso del grupo de subprocesos, ejecución inesperada de código dentro de los grupos de subprocesos y otras anomalías que se desvían del comportamiento normal del sistema.
  4. Integración de heurística avanzada:
    • La integración de heurísticas avanzadas y algoritmos de aprendizaje automático puede ayudar a que las soluciones EDR sean más proactivas a la hora de detectar métodos de ataque nuevos y sofisticados. Estas tecnologías pueden aprender de los patrones de ataque en evolución y adaptar sus mecanismos de detección en consecuencia.
  5. Mejorar las estrategias de respuesta:
    • Además de la detección, las soluciones EDR deben mejorar sus estrategias de respuesta ante este tipo de amenazas. Esto incluye medidas de contención automatizadas, erradicación rápida de amenazas y procesos de recuperación eficientes para minimizar el impacto de un ataque.
  6. Colaboración e intercambio de inteligencia sobre amenazas:
    • Los proveedores de EDR y los expertos en ciberseguridad deben colaborar y compartir activamente inteligencia sobre amenazas. Al comprender las últimas tendencias y técnicas de ataque, como las que implican la explotación de grupos de subprocesos, las soluciones EDR pueden estar mejor equipadas para protegerse contra ellos.
  7. Educar a los usuarios y administradores:
    • Las soluciones EDR también deberían centrarse en educar a los usuarios y administradores de sistemas sobre estas nuevas amenazas. La concienciación puede desempeñar un papel crucial en la detección temprana y la respuesta a ataques sofisticados.
  8. Actualizaciones periódicas y gestión de parches:
    • La actualización continua y la gestión de parches son cruciales. Las soluciones EDR deben garantizar que estén actualizadas con las últimas definiciones de amenazas y que puedan identificar vulnerabilidades en los sistemas que necesitan parches o actualizaciones.
  9. Enfoque de confianza cero:
    • Implementar un enfoque de confianza cero puede resultar beneficioso. Las soluciones EDR deben tratar cada proceso e hilo como una amenaza potencial hasta que se verifiquen, garantizando estrictos controles de acceso y monitoreo en todos los niveles.
  10. Capacidades forenses:
    • Mejorar las capacidades forenses es esencial para el análisis posterior al incidente. Comprender cómo se llevó a cabo un ataque, incluida la explotación del grupo de subprocesos, puede proporcionar información valiosa para fortalecer las estrategias de EDR.

En resumen, la explotación de grupos de subprocesos de Windows para la inyección de procesos presenta un desafío complejo para las soluciones EDR, que requiere un cambio hacia estrategias de ciberseguridad más avanzadas, inteligentes e integrales.

MITIGACIÓN

Mitigar las amenazas que implican la explotación de grupos de subprocesos de Windows para la inyección de procesos requiere un enfoque multifacético, que combine soluciones tecnológicas avanzadas con prácticas de seguridad proactivas. Aquí hay algunas posibles medidas y recomendaciones:

  1. Algoritmos de detección mejorados:
    • Las soluciones de detección y respuesta de puntos finales (EDR) deben incorporar algoritmos avanzados capaces de detectar comportamientos anómalos asociados con la manipulación del grupo de subprocesos. Esto incluye patrones de actividad inusuales en subprocesos de trabajo y cambios inesperados en las configuraciones del grupo de subprocesos.
  2. Monitoreo profundo del sistema:
    • Implemente un monitoreo profundo de los aspectos internos del sistema, centrándose especialmente en los grupos de subprocesos y las actividades de los subprocesos de los trabajadores. El monitoreo debe incluir la creación de elementos de trabajo, modificaciones a las colas de temporizadores y los patrones de ejecución de subprocesos.
  3. Auditorías de seguridad periódicas:
    • Realizar auditorías periódicas de seguridad de los sistemas para identificar posibles vulnerabilidades. Esto incluye revisar y actualizar las configuraciones de los grupos de subprocesos y garantizar que los parches y actualizaciones de seguridad se apliquen con prontitud.
  4. Inteligencia avanzada sobre amenazas:
    • Utilice herramientas avanzadas de inteligencia de amenazas para mantenerse informado sobre nuevas vulnerabilidades y técnicas de ataque que involucran grupos de subprocesos. Esta inteligencia se puede utilizar para actualizar las medidas defensivas continuamente.
  5. Capacitación y concientización de los empleados:
    • Eduque al personal y a los empleados de TI sobre las últimas amenazas a la ciberseguridad, incluidas aquellas que involucran la explotación de grupos de subprocesos. La concienciación puede ayudar a la detección temprana y la prevención de tales ataques.
  6. Análisis de comportamiento y heurística:
    • Implemente soluciones de seguridad que utilicen análisis de comportamiento y heurística para detectar patrones inusuales que puedan indicar explotación del grupo de subprocesos. Este enfoque puede identificar ataques que los métodos tradicionales basados ​​en firmas podrían pasar por alto.
  7. Arquitectura de confianza cero:
    • Adopte una arquitectura de confianza cero en la que los sistemas no confíen automáticamente en ninguna entidad dentro o fuera de la red. Este enfoque puede limitar el impacto de un ataque restringiendo el acceso y los permisos únicamente a los recursos esenciales.
  8. Actualizaciones periódicas de software:
    • Asegúrese de que todo el software, especialmente los sistemas operativos y las herramientas de seguridad, se actualicen periódicamente. Las actualizaciones suelen incluir parches para vulnerabilidades conocidas que podrían explotarse.
  9. Aislamiento de Procesos Sensibles:
    • Aísle procesos sensibles en entornos seguros para reducir el riesgo de que la manipulación del grupo de subprocesos afecte las operaciones críticas. Esto puede incluir el uso de máquinas virtuales o contenedores para mayor seguridad.
  10. Planificación de respuesta a incidentes:
    • Desarrollar y mantener un plan sólido de respuesta a incidentes que incluya procedimientos para abordar la explotación del grupo de subprocesos. Este plan debe incluir pasos para la contención, erradicación, recuperación y análisis posterior al incidente.

Al implementar estas medidas, las organizaciones pueden fortalecer sus defensas contra ataques sofisticados que explotan los grupos de subprocesos de Windows, mejorando así su postura general de ciberseguridad.

El cargo Cómo Evadir EDRs y Antivirus Usando Estos 8 Ataques de Inyección de Procesos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 6 de diciembre de 2023

Más de 86000 routers en riesgo: ¿el suyo es uno de ellos? Vulnerabilidades impactantes en enrutadores OT/IoT ampliamente utilizados

La investigación Sierra:21 – Living on the Edge” presenta un análisis de las vulnerabilidades encontradas en los enrutadores celulares Sierra Wireless AirLink, que son ampliamente utilizados en entornos OT/IoT (Tecnología Operacional/Internet de las Cosas) para conectar redes locales críticas a Internet. Forescout Vedere Labs identificó 21 nuevas vulnerabilidades en estos enrutadores, así como en ciertos componentes de código abierto utilizados en ellos, como TinyXML y OpenNDS.

  • El estudio se centra en los enrutadores celulares Sierra Wireless AirLink, cruciales para conectar redes OT/IoT a Internet.
  • Estos enrutadores se utilizan en varios sectores de infraestructura crítica, incluidos la fabricación, la atención médica, el gobierno, la energía, el transporte y los servicios de emergencia.
  • Sierra Wireless, OpenNDS y Nodogsplash han parcheado varias vulnerabilidades, pero persisten desafíos debido al abandono de proyectos como TinyXML.

DEFECTOS Y EJEMPLOS

Las vulnerabilidades se agrupan en cinco categorías de impacto:

  1. Ejecución remota de código (RCE): los atacantes pueden tomar el control total de un dispositivo inyectando código malicioso.
  2. Cross-Site Scripting (XSS): esto permite la inyección de código malicioso en los clientes que navegan por la aplicación ACEmanager, lo que podría provocar el robo de credenciales.
  3. Denegación de servicio (DoS): estas vulnerabilidades se pueden utilizar para bloquear ACEmanager, haciéndolo inaccesible o provocando que se reinicie automáticamente.
  4. Acceso no autorizado: esto implica fallas de diseño, como credenciales codificadas y claves privadas, que podrían permitir a los atacantes realizar ataques de intermediario o recuperar contraseñas.
  5. Omisiones de autenticación: permiten a los atacantes omitir el servicio de autenticación del portal cautivo y conectarse directamente a la red WiFi protegida.

Gravedad de las vulnerabilidades : entre estas 21 vulnerabilidades, una es de gravedad crítica, nueve tienen una gravedad alta y once tienen una gravedad media. Estas vulnerabilidades podrían permitir a los atacantes robar credenciales, tomar el control de un enrutador mediante la inyección de código malicioso, persistir en el dispositivo y utilizarlo como punto de acceso inicial a redes críticas.

Sectores afectados : Los dispositivos afectados se encuentran en múltiples sectores de infraestructura crítica. Estos incluyen manufactura, atención médica, instalaciones gubernamentales y comerciales, distribución de energía y energía, transporte, sistemas de agua y aguas residuales, comercio minorista, servicios de emergencia y seguimiento de vehículos. Además, estos enrutadores se utilizan para transmitir video para vigilancia remota y conectar vehículos policiales a redes internas.

Grado de exposición : más de 86.000 enrutadores vulnerables están expuestos en línea. En particular, se ha confirmado que menos del 10% de estos enrutadores expuestos cuentan con parches contra vulnerabilidades conocidas encontradas desde 2019, lo que indica una gran superficie de ataque. Además, el 90% de los dispositivos que exponen una interfaz de gestión específica (comandos AT a través de Telnet) han llegado al final de su vida útil, lo que significa que no pueden recibir más parches.

Los ejemplos específicos incluyen:

  • CVE-2023-40458: ACEmanager entra en un bucle infinito al analizar documentos XML con formato incorrecto, lo que provoca DoS.
  • CVE-2023-40459: Una desreferencia de puntero NULL en ACEmanager durante la autenticación del usuario, lo que genera DoS limitado.
  • CVE-2023-40460: Los atacantes pueden cargar documentos HTML para reemplazar páginas web legítimas en ACEmanager, lo que genera ataques XSS.
  • CVE-2023-40461 y CVE-2023-40462: problemas con la carga de certificados de cliente y claves TLS de cliente en ACEmanager, lo que permite la inyección de código JavaScript.
  • CVE-2023-40463: Hash codificado de la contraseña raíz en ALEOS, lo que permite el acceso raíz no autorizado.
  • CVE-2023-40464: Certificado y clave privada SSL predeterminados en ALEOS, lo que permite la suplantación y el rastreo/suplantación de tráfico.

MITIGACIÓN O SOLUCIÓN ALTERNATIVA

  • El parcheo es esencial. Sierra Wireless ha lanzado versiones actualizadas de ALEOS que contienen correcciones.
  • Cambie los certificados SSL predeterminados.
  • Deshabilite servicios innecesarios como portales cautivos, Telnet y SSH.
  • Implemente firewalls de aplicaciones web para protegerse contra vulnerabilidades basadas en web.
  • Utilice sistemas de detección de intrusiones compatibles con OT/IoT para monitorear las conexiones de red.

CONCLUSIÓN

  • Las vulnerabilidades en la infraestructura de red OT/IoT son una preocupación importante y, a menudo, no se solucionan.
  • Menos del 10% de los enrutadores expuestos en línea cuentan con parches contra vulnerabilidades conocidas.
  • Los dispositivos integrados tardan en abordar las vulnerabilidades e implementar mitigaciones de exploits.
  • Las correcciones incompletas pueden provocar nuevos problemas, como se ve con CVE-2023-40460, que se originan a partir de una corrección incompleta de una vulnerabilidad anterior.
  • Los fabricantes deben comprender y abordar las causas fundamentales de las vulnerabilidades para encontrar soluciones efectivas a largo plazo.

El cargo Más de 86000 routers en riesgo: ¿el suyo es uno de ellos? Vulnerabilidades impactantes en enrutadores OT/IoT ampliamente utilizados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 5 de diciembre de 2023

¿Cómo sitios como AskGamblers ayudan a los jugadores de iGaming a encontrar plataformas seguras?

Los casinos en línea se han convertido en parte integral del entretenimiento de los españoles. Desde tragaperras y loterías hasta juegos de mesa como póker, blackjack y ruletas; estas plataformas cuentan con una enorme variedad de títulos con los cuales pasar una tarde de ocio.

No obstante, muchos fanáticos de las apuestas se lo piensan dos veces antes de registrarse y depositar fondos debido al miedo de ser víctimas de estafas cibernéticas. Para ese tipo de problemas existen plataformas que se dedican a la evaluación de estos casinos online para determinar si son confiables o no.

En este artículo analizaremos algunos de los principales aspectos que dichas plataformas observan al evaluar los casinos online españoles.

Referencias y opiniones de sitios web de iGaming seguros

El primer punto que debemos observar es la existencia de una sección de opiniones que otros usuarios han ofrecido acerca de los casinos online con respecto a los servicios de estos sitios de apuestas. 

En este contexto, los sitios web seguros de iGaming como AskGamblers ofrecen respuestas sobre las opiniones de dichos usuarios que, frecuentemente, sirven como solución a los problemas que estos presentaron en la plataforma.

Por ejemplo, algunos apostadores reclaman que un casino no les permitió retirar sus fondos completamente. Luego de una investigación por parte de los expertos de iGaming de estas plataformas, se confirmó que el casino sí permitía realizar retiros sin problemas, pero que el monto aplicado por el usuario era demasiado elevado e infringía los términos y condiciones del sitio.

Licencias

Este es sin duda uno de los aspectos más estrictos cuando se trata de confiabilidad, pues los casinos online solo pueden operar en línea si poseen una licencia de juegos. Aquellas plataformas que operan sin ninguna licencia de juego es una alerta roja que todo apostador debe evitar para no ser víctimas de estafas.

En el caso particular de España, solo los casinos con una licencia emitida por la Dirección General de Ordenación del Juego (DGOJ) puede operar en el territorio. Otros países cuentan con sus propios organismos regulatorios nacionales, como la Comisión del Juego de Reino Unido o la Dirección General de Juegos y Sorteos de México.

Del mismo modo, hay países como Chile y Perú que no cuentan con un organismo regulatorio nacional. En esos casos, las licencias reconocidas internacionalmente de Malta o Curazao suelen ser suficiente para demostrar la legitimidad de una plataforma.

Chat en vivo

Esta sencilla herramienta tiene dos importantes propósitos dentro de un casino en línea. En primer lugar, funciona como un enlace directo con el casino para responder dudas y preguntas asociadas con la plataforma. Y en segundo lugar, es una excelente herramienta para resolver problemas asociadas a los juegos, depósitos o retiros dentro del sitio.

Aquellas plataformas con un servicio de chat en vivo 24/7 suelen ser mejor calificadas que aquellas que trabajan con horario limitado. También se aprecia que estos servicios se encuentren disponibles en español, problema que es muy común en sitios que operan con una licencia de juegos internacional.

Encriptados de seguridad

Es aquí donde los jugadores dudan antes de tomar una acción, después de todo, hablamos de transferir dinero real a una plataforma que no sabemos si es legítima.

Los sitios más seguros siempre tendrán a la mano protocolos de seguridad para la protección de los fondos y datos personales de sus clientes. Los encriptados SSL y TLS son la primera línea de defensa que los casinos aplican para lograr dicha protección, el cual es un sistema de seguridad de nivel bancario que evita que terceros no autorizados accedan a la información financiera de un apostador.

Cuando se trata de protección de datos personales, muchos casinos en línea —si no es que todos— cuentan con un protocolo conocido como «Know Your Customer» (KYC), cuya finalidad es identificar a los usuarios y evitar que sus datos personales sean divulgados con estafadores.

Juego responsable

Todo casino de reputación debe contar con medidas de juego responsable, especialmente en España donde la ludopatía es una crisis que el gobierno ha enfrentado durante los últimos años.

Las herramientas de juego responsable de los casinos pueden variar según la propuesta de cada plataforma y sus licencias, pero las más comunes que podemos encontrar son:

  • Límites de apuesta
  • Límites de sesión
  • Límites de pérdida
  • Control de realidad
  • Tiempo fuera
  • Autoexclusión

Además de estas herramientas, los casinos también comparten información de plataformas que pueden ayudar a los apostadores a regular sus actividades de juego, como Jugar Bien si estás en España o el sitio oficial de la Gambling Commission de Reino Unido.

Conclusión

Sitios como AskGamblers buscan que sus visitantes encuentren aquel casino que sea capaz de cumplir sus expectativas, que ofrezcan una amplia gama de juegos y que puedan protegerlos de posibles estafas. Por ello, seguir su consejo es el paso necesario para encontrar los casinos online más seguros de España y el mundo.

El cargo ¿Cómo sitios como AskGamblers ayudan a los jugadores de iGaming a encontrar plataformas seguras? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente