Análisis de Riesgos Tecnológico, en la vida cotidiana

El equipo de Managed Threat Response (MTR) de Sophos advirtió a la industria sobre un nuevo peligroso truco del ransomware: cifrar los datos solo después de reiniciar los PC con Windows en “modo seguro”. Implementado recientemente por el ransomware “Snatch” desarrollado por los rusos , llamado así por la película de 2000 del mismo nombre, es efectivo contra gran parte del software de seguridad de endpoint, que a menudo no se carga cuando el modo seguro está en funcionamiento. Todo ello a pesar del hecho de que en los ataques del mundo real analizados por MTR, Snatch comienza como muchas otras campañas de ransomware que actualmente apuntan a redes empresariales. Los atacantes buscan puertos de Escritorio Remoto (RDP) débilmente protegidos para abrirse paso en los servidores de Azure, un punto de apoyo que usan para moverse lateralmente a los controladores de dominios de Windows, a menudo pasando semanas reuniendo información. En un ataque de red, los ataca

Microsoft recomienda aplicar dos parches de seguridad publicados este martes en su boletín de seguridad de diciembre: una vulnerabilidad que permite que un atacante remoto realice un ataque de denegación de servicio (DoS) sobre el protocolo RDP y otra que permite elevación de privilegios a modo kernel. Con el lanzamiento de las actualizaciones de seguridad de diciembre de 2019 , Microsoft lanzó 2 avisos y actualizaciones para 36 vulnerabilidades. De estas vulnerabilidades, 7 se clasifican como Críticas, 27 como Importantes, 1 como Moderadas y una como Baja. Vulnerabilidad en RDP permite DoS Identificada como CVE-2019-1453 , esta vulnerabilidad existe debido a una validación insuficiente de la entrada proporcionada por el usuario dentro de la implementación del Protocolo de escritorio remoto (RDP). Un atacante remoto puede enviar solicitudes especialmente diseñadas al sistema afectado y realizar un ataque de denegación de servicio. Vulnerabilidad de elevación de

Microsoft implementó en el otoño de 2015 un programa de actualización gratuito para que máquinas con licencias de Windows 7 o Windows 8.1 pudieran migrar al nuevo sistema operativo que acababa de lanzar al mercado: Windows 10. Y todavía funciona (oficiosamente y mediante un método concreto) lo que puede venir bien a ese grupo de usuarios preocupados por el inminente final del soporte técnico de Windows 7 , pero que no quieren gastar 120 euros para comprar una licencia retail de Windows 10. Aunque el programa del Windows 10 gratis iba a durar solo un año, fue ampliado oficialmente hasta finales de 2017. En los meses siguientes, a medida que Microsoft iba lanzando nuevas versiones del sistema, los usuarios comprobaron como la actualización gratuita todavía era posible y por varios métodos, como el de las «tecnologías de asistencia», una excepción para los usuarios con problemas de vista u oído que necesitaran las nuevas funciones de accesibilidad

El equipo de investigación de vpnMentor descubrió una base de datos perteneciente a la compañía de comunicaciones estadounidense TrueDialog . El equipo de investigación descubrió la brecha en la base de datos de TrueDialog como parte de un gran proyecto de mapeo web. Los investigadores usan el escaneo de puertos para examinar bloques de IP particulares y probar vulnerabilidades en los sistemas. TrueDialog proporciona soluciones de mensajes de texto SMS a empresas en los EE. UU. Y la base de datos en cuestión estaba vinculada a muchos aspectos de su negocio. Este fue un gran descubrimiento del equipo dirigido por Noam Rotem y Ran Locar, con una gran cantidad de datos privados expuestos, incluyendo decenas de millones de mensajes de texto SMS . TrueDialog tiene su sede en Austin, Texas, EE.UU., y ha existido por más de 10 años. Se especializa en la creación de soluciones de SMS para grandes y pequeñas empresas. Existen varios programas de SMS diferentes que incluyen mensa

Sagi Shahar es un ingeniero de Google que desde hace algunos años lleva impartiendo un taller para escalado de privilegios de forma gratuita en varios eventos públicos y privados en Australia: Sydney - PlatypusCon (2017) Perth - BsidesPerth (2017) Brisbane - CrikeyCon (2018) El taller se basa en el árbol de ataque o mindmap que se muestra a continuación, que cubre todos los vectores de ataque conocidos (en ese momento) de escalada de privilegios de usuario local en los sistemas operativos Linux y Windows: Y lo bueno y por lo que os escribimos esta entrada, es porque además Sagi ha creado un repo en Github con todo el material necesario para que podamos montarlo y seguirlo en nuestras propias casas: https://github.com/sagishahar/lpeworkshop Material Workshop Slide Deck Exercise Worksheets ( Linux , Windows ) Lab VM for Linux Exercises (user:password321, root:password123) Kali VM for Linux/Windows Exercises (root:toor) Videos for Windows Exercises Tools

Investigadores de Blackberry Cylance Threat han descubierto recientemente código malicioso ofuscado dentro de archivos de audio en formato WAV. Al parecer, los archivos WAV incorporaban ocultos droppers para decodificar y ejecutar posteriormente código malicioso. <img data-attachment-id="37777" data-permalink="https://unaaldia.hispasec.com/2019/10/esteganografia-codigo-malicioso-oculto-en-archivos-de-audio-wav.html/stego" data-orig-file="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2019/10/stego.jpg?fit=854%2C232&amp;ssl=1" data-orig-size="854,232" data-comments-opened="1" data-image-meta="{&quot;aperture&quot;:&quot;0&quot;,&quot;credit&quot;:&quot;&quot;,&quot;camera&quot;:&quot;&quot;,&quot;caption&quot;:&quot;&quot;,&quot;created_timestamp&quot;:&quot;0&quot;,&quot;copyright&quot;:&quot;&quot;,&quot;focal_l

Después de que saliera a la luz la noticia de la masiva cantidad de datos expuestos por una empresa en Ecuador como consecuencia de una base de datos mal configurada, como profesional que trabaja en temas de seguridad informática tenía la esperanza de que el caso pudiera servir de aprendizaje para que las empresas en Latinoamérica comenzaran un proceso de verificación de sus implementaciones para asegurarse de no tener expuesta su información; pero al parecer, esto no pasó. Esta misma esperanza fue la que me llevó a pensar, después de los incidentes de Wannacry, hace ya más de dos años, que las empresas iban a corregir las vulnerabilidades en SMB actualizando sus sistemas operativos, pero al día de hoy seguimos viendo detecciones del exploit EternalBlue . Entonces, ¿están las empresas pensando en la seguridad de la información desde el diseño de sus proyectos? Colombia y un reciente caso de exposición de información personal de más de 2 millones de personas Hace una semanas, fuim

Una nueva campaña de malware fue identificada en la App Store, la tienda de aplicaciones de Apple. Una firma Wandera descubrió un paquete de 17 herramientas maliciosas , todas creadas por un mismo desarrollador. La firma explicó que esas aplicaciones fueron diseñadas para realizar fraudes publicitarios, generando conexiones frecuentes a sitios web. De esa forma, aquellas plataformas aumentan engañosamente la cantidad de visitantes y generan clics artificiales en anuncios. Apple dijo que 18 aplicaciones fueron eliminadas después del informe, pero Wandera parece creer que cuenta dos veces una de las aplicaciones, y la firma señaló en sus hallazgos que su "lista inicial de aplicaciones infectadas incluía dos instancias de la aplicación de puntuación 'CrickOne' que se alojó en diferentes tiendas de aplicaciones regionales y contiene metadatos distintos” . Tras la revisión, Wandera descubrió que esas aplicaciones usan la misma base de código. Este es el listado

Ya está disponible la descarga de Tails 4.0 , la nueva versión mayor de esta distribución especializada en privacidad y la que más cambios trae desde hace años, según informan sus desarrolladores en el anuncio oficial . En concreto, más de dos años, y es que desde que en junio de 2017 se lanzase Tails 3.0, la distribución se ha mantenido apegada a los repositorios de Debian 9. Así, la novedad más destacada de Tails 4.0 es el salto a Debian 10 , con todo lo que ello conlleva . Pero no es la única. Otras novedades de Tails 4.0 incluyen el cambio de gestor de contraseñas, de KeePassX a KeePassXC , debido a que goza de un desarrollado más activo; las habituales actualizaciones de Tor Browser y OnionShare, elementos indispensables en la experiencia que ofrece Tails; y así con un gran número de aplicaciones. Tails Greeter , el asistente de inicio de la distribución a través de cual se pueden configurar diferentes aspectos de la misma, también recibe mejoras, especialme

¿Quién encuentra más vulnerabilidades en los productos de Microsoft? ¿Qué porcentaje de vulnerabilidades son descubiertas por la propia Microsoft, empresas o brókeres de vulnerabilidades? ¿Cuántos fallos no se sabe quién los ha descubierto? En este informe hemos analizado lo datos de los últimos tres años y medio para entender quién resuelve qué en el mundo de los productos Microsoft y la gravedad de estos fallos. Asimismo, nos permite disponer de una visión interesante sobre quién investiga realmente los productos de Microsoft, los reporta de manera responsable, así como cuántas vulnerabilidades están acreditadas y cuántas no (lo que podría suponer que son descubiertas por atacantes). En este informe resolveremos las dudas de cuántos fallos encuentra Microsoft en su propio código, su gravedad, qué tendencia siguen y cuántos fallos son encontrados por terceros ya sea a través de programas de recompensa por vulnerabilidades o con sus propios medios. Hemos realizado algo muy simpl

Hace solo unos días, comenzaron a circular informes sobre la facilidad con que se podía pasar por alto la seguridad del sensor ultrasónico de huellas dactilares en la serie Samsung Galaxy S10 para desbloquear el dispositivo. Samsung ha prometido abordar el problema en una próxima actualización de software, pero mientras tanto, algunos bancos han tomado el asunto en sus propias manos al evitar que los propietarios de Galaxy S10 descarguen y usen sus aplicaciones desde Play Store o deshabiliten el inicio de sesión con huella digital opción. Aparentemente, todo lo que hay que hacer es colocar un protector de pantalla en la parte superior de la pantalla y presionar el área del sensor con cualquier dedo. Según algunos usuarios de Reddit del Reino Unido, dos instituciones bancarias del Reino Unido, NatWest y Nationwide Building Society, ya han implementado contramedidas destinadas a proteger a los usuarios afectados de Galaxy. En el caso de NatWest, su aplicación bancar

Vamos a ver una técnica llamada VBA stomping para generar documentos maliciosos (maldoc) original de Vesselin Bontchev . Básicamente consiste en quitar o modificar el código fuente de un documento de Microsoft Office dejando sólo una versión compilada de las macros llamada p-code . De esta manera, un atacante podrá bypassear la detección de maldocs basada en el análisis del código fuente. Primero, demostraremos la técnica con una macro simple y no maliciosa. Por ejemplo, con una simple macro que mostrará el texto "ABC" cuando se abre el documento: A continuación lo que intentaremos es modificar ese código fuente sin cambiar el p-code . En Office 2007 o superior el código fuente de VBA y el p-code generalmente se encuentran en un archivo llamado vbaProject.bin. Para modificar este archivo manualmente, primero debemos descomprimir el archivo comprimido .docm/.xlsm y luego abrir el archivo vbaProject.bin en un editor hexadecimal. En este ejemplo,

En los últimos tres años, casi dos terceras partes (60 por ciento) de las empresas han sufrido una vulneración de sus datos. Según un nuevo informe global de Bitdefender , a cuyo juicio las empresas que aún no han sido atacadas esperan vivir este problema en breve. De hecho, más de una tercera parte de los profesionales de la seguridad de la información (36 por ciento) encuestados para el informe, cuyos empleadores aún no han sido atacados, creen probable que en estos precisos momentos estén enfrentando una amenaza a la seguridad cibernética sin siquiera enterarse. "Y eso mantiene a la mitad de ellos despiertos por la noche" , afirma Bitdefender, al asegurar que más de la mitad (58%) de los ejecutivos teme que su empleador no esté preparado para enfrentarse a un ciberataque a escala global. Los profesionales de infosec se ocupan de una serie de diferentes dolores de cabeza en este momento, desde empleados desprevenidos, hasta una falta crónica de apoyo por

Por Esp. Ing. Pedro Albiol, Maestrando Ciberdefensa y Ciberseguridad de la UBA para Segu-Info Debido a que la nota sobre el apagón de Argentina tuvo una aceptación positiva, decidí ampliar los antecedentes de ciberataques sobre la grilla eléctrica, en especial atención sobre el peligroso malware Industroyer. ¿Puede un Malware atacar la red eléctrica? Técnicamente es posible y empíricamente está demostrado. A continuación, citaremos algunos antecedentes. Según una publicación de Motter y Lai (2002) sobre "Cascade-based attacks on complex networks" , sostienen que las redes del mundo real que poseen una distribución de cargas altamente heterogénea, como Internet y redes eléctricas, resultan particularmente vulnerables a los ataques que puede desencadenar una falla en cascada. Por ejemplo, en una red de transmisión de energía, cada estación de energía de nodo se ocupa de una carga de energía. La eliminación de nodos, (ya sea aleatorio o ataques intencionale

Ya están aquí las actualizaciones de cada mes y se puede decir que es bastante light . Ante todo y como recordatorio, Windows 7 y Windows Server 2008 R2 estarán fuera de soporte extendido y ya no recibirán actualizaciones a partir del 14 de enero de 2020. Este mes, de nuevo, parece que el protocolo RDP está en el punto de mira. Si bien esta vez no lo ha resuelto la propia Microsoft, se ha corregido preventivamente un problema grave de seguridad. Otros fallos graves están, como de costumbre, en el motor VBScript y Chakra. La buena noticia es que ninguna de las vulnerabilidades ha sido revelada con anterioridad ni se ha encontrado en forma de 0-Day (aprovechada por atacantes). Como curiosidad, se ha corregido CVE-2019-1319 , una elevación de privilegios acreditada a Polar Bear , la investigadora que durante los últimos meses, se ha dedicado a divulgar pruebas de concepto sin previo aviso que permitían elevar privilegios en Windows. Parece que esta vulnerabilidad no que

Frida es un framework que permite inyectar JavaScript para explorar aplicaciones nativas en Windows, MacOS, Linux, iOS, Android y QNX. Frida es un scripts de Greasemonkey para aplicaciones nativas o, en términos más técnicos, es un kit de herramientas de instrumentación de código dinámico. P ermite inyectar fragmentos de JavaScript o biblioteca propias en aplicaciones nativas en Windows, macOS, Linux, iOS, Android y QNX. Frida también le proporciona algunas herramientas simples creadas sobre la API de Frida. Se pueden usar tal cual, ajustarse a sus necesidades o servir como ejemplos de cómo usar la API. Tiene las siguientes características: Programable: inyectar scripts propios en los procesos y permite espiar las API de cifrado y rastrear el código de aplicaciones privadas, sin acceder el código fuente original. Portable: funciona en Windows, macOS, GNU/Linux, iOS, Android y QNX. Se puede instalar a través de npm , utilizarlo con PyPI o a través de Swift , co

El email llegó como cualquier otro, del presidente ejecutivo de la compañía para su director de finanzas. Oye, el trato está hecho. Por favor transfiere US$8 millones a esta cuenta para finalizar la adquisición lo antes posible. Hay que hacerlo antes de que termine el día. Gracias. El empleado no pensó que hubiera algo fuera de lo común con el mensaje y envió los fondos, cumpliendo una tarea más de su lista de pendientes antes de irse a casa. Pero las alarmas comenzaron a sonar cuando la compañía que estaba siendo adquirida llamó para preguntar por qué no habían recibido el dinero. Comenzaron a investigar. Definitivamente se habían transferido US$8 millones, pero ¿a dónde? Saltar las recomendaciones Parte del dinero pudo ser recuperado por los bancos, pero la mayoría fue robada por hackers que quizás liquidaron sus ganancias usando una elaborada red de lavado de dinero, o simplemente siguieron adelante para atacar a su próxima víctima. Mie