Todo lo que necesitas saber sobre tecnología

Etiqueta: seguridad de información Página 1 de 36

Nueva estafa de phishing utiliza dibujos de Google y enlaces acortados de WhatsApp

Nueva estafa de phishing utiliza dibujos de Google y enlaces acortados de WhatsApp

08 de agosto de 2024Ravie LakshmananSeguridad de redes / Seguridad en la nube Los investigadores de ciberseguridad han descubierto una nueva campaña de phishing que aprovecha los dibujos de Google y los enlaces acortados generados a través de WhatsApp para evadir la detección y engañar a los usuarios para que hagan clic en enlaces falsos diseñados para robar información confidencial. «Los atacantes eligieron un grupo de los sitios web más conocidos en informática para crear la amenaza, incluidos Google y WhatsApp para alojar los elementos de ataque, y un imitador de Amazon para recopilar la información de la víctima», dijo el investigador de Menlo Security, Ashwin Vamshi. «Este ataque es un gran ejemplo de una amenaza Living Off Trusted Sites (LoTS)». El punto de partida del ataque es un correo electrónico de phishing que dirige a los destinatarios a un gráfico que parece ser un enlace de verificación de cuenta de Amazon. Este gráfico, por su parte, está alojado en Google Drawings, en un aparente esfuerzo por evadir la detección. El abuso de servicios legítimos tiene ventajas obvias para los atacantes, ya que no sólo son una solución de bajo coste, sino que, lo que es más importante, ofrecen una forma clandestina de comunicación dentro de las redes, ya que es poco probable que sean bloqueados por productos de seguridad o cortafuegos. «Otra cosa que hace que Google Drawings sea atractivo al principio del ataque es que permite a los usuarios (en este caso, el atacante) incluir enlaces en sus gráficos», dijo Vamshi. «Esos enlaces pueden pasar fácilmente desapercibidos para los usuarios, sobre todo si sienten una sensación de urgencia en torno a una amenaza potencial para su cuenta de Amazon». Los usuarios que terminan haciendo clic en el enlace de verificación son llevados a una página de inicio de sesión de Amazon similar, con la URL creada sucesivamente utilizando dos acortadores de URL diferentes: WhatsApp («l.wl»).[.]co») seguido de qrco[.]de — como una capa adicional de ofuscación y engaño a los escáneres de URL de seguridad. La página falsa está diseñada para recopilar credenciales, información personal y detalles de tarjetas de crédito, después de lo cual las víctimas son redirigidas a la página de inicio de sesión de Amazon suplantada original. Como paso adicional, la página web se vuelve inaccesible desde la misma dirección IP una vez que se han validado las credenciales. La revelación se produce cuando los investigadores han identificado una laguna en los mecanismos anti-phishing de Microsoft 365 que podría ser abusada para aumentar el riesgo de que los usuarios abran correos electrónicos de phishing. El método implica el uso de trucos CSS para ocultar el «First Contact Safety Tip», que alerta a los usuarios cuando reciben correos electrónicos de una dirección desconocida. Microsoft, que ha reconocido el problema, aún no ha publicado una solución. «El First Contact Safety Tip se antepone al cuerpo de un correo electrónico HTML, lo que significa que es posible alterar la forma en que se muestra mediante el uso de etiquetas de estilo CSS», dijo la empresa de ciberseguridad austriaca Certitude. «Podemos llevar esto un paso más allá y falsificar los íconos que Microsoft Outlook agrega a los correos electrónicos cifrados y/o firmados». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los ataques a versiones inferiores de Windows pueden exponer los sistemas parcheados a vulnerabilidades antiguas

Los ataques a versiones inferiores de Windows pueden exponer los sistemas parcheados a vulnerabilidades antiguas

8 de agosto de 2024Ravie LakshmananSeguridad/Vulnerabilidad de Windows Microsoft dijo que está desarrollando actualizaciones de seguridad para abordar dos lagunas que, según dijo, podrían aprovecharse para realizar ataques de degradación contra la arquitectura de actualización de Windows y reemplazar las versiones actuales de los archivos del sistema operativo con versiones anteriores. Las vulnerabilidades se enumeran a continuación: CVE-2024-38202 (puntuación CVSS: 7,3): vulnerabilidad de elevación de privilegios de Windows Update Stack CVE-2024-21302 (puntuación CVSS: 6,7): vulnerabilidad de elevación de privilegios de Windows Secure Kernel Mode El descubrimiento y la notificación de las fallas se atribuyen al investigador de SafeBreach Labs Alon Leviev, quien presentó los hallazgos en Black Hat USA 2024 y DEF CON 32. CVE-2024-38202, que tiene su raíz en el componente Windows Backup, permite a un «atacante con privilegios de usuario básicos reintroducir vulnerabilidades previamente mitigadas o eludir algunas características de Virtualization Based Security (VBS)», dijo el gigante tecnológico. Sin embargo, señaló que un atacante que intente aprovechar la falla tendría que convencer a un administrador o un usuario con permisos delegados para que realice una restauración del sistema que active inadvertidamente la vulnerabilidad. La segunda vulnerabilidad también se refiere a un caso de escalada de privilegios en sistemas Windows que admiten VBS, lo que permite a un adversario reemplazar versiones actuales de archivos de sistema de Windows por versiones obsoletas. Las consecuencias de CVE-2024-21302 son que podría utilizarse como arma para reintroducir fallas de seguridad previamente abordadas, eludir algunas características de VBS y exfiltrar datos protegidos por VBS. Leviev, quien detalló una herramienta llamada Windows Downdate, dijo que podría usarse para convertir una «máquina Windows completamente parcheada en susceptible a miles de vulnerabilidades pasadas, convirtiendo las vulnerabilidades corregidas en vulnerabilidades de día cero y haciendo que el término ‘completamente parcheado’ no tenga sentido en cualquier máquina Windows del mundo». La herramienta, agregó Leviev, podría «tomar el control del proceso de Windows Update para crear degradaciones completamente indetectables, invisibles, persistentes e irreversibles en componentes críticos del sistema operativo, lo que me permitió elevar privilegios y eludir las funciones de seguridad». Además, Windows Downdate es capaz de eludir los pasos de verificación, como la verificación de integridad y la aplicación de Trusted Installer, lo que permite de manera efectiva degradar componentes críticos del sistema operativo, incluidas las bibliotecas de vínculos dinámicos (DLL), los controladores y el núcleo NT. Además, los problemas podrían explotarse para degradar el proceso de modo de usuario aislado de Credential Guard, el núcleo seguro y el hipervisor de Hyper-V para exponer vulnerabilidades de escalada de privilegios anteriores, así como deshabilitar VBS, junto con funciones como la integridad del código protegido por hipervisor (HVCI). El resultado neto es que un sistema Windows completamente parcheado podría volverse susceptible a miles de vulnerabilidades pasadas y convertir las deficiencias corregidas en días cero. Estas degradaciones tienen un impacto adicional en el sistema operativo, ya que informa que el sistema está completamente actualizado, al mismo tiempo que impide la instalación de futuras actualizaciones e inhibe la detección por parte de herramientas de recuperación y análisis. «El ataque de degradación que logré realizar en la pila de virtualización dentro de Windows fue posible debido a un fallo de diseño que permitió que los niveles/anillos de confianza virtuales menos privilegiados actualizaran los componentes que residen en niveles/anillos de confianza virtuales más privilegiados», dijo Leviev. «Esto fue muy sorprendente, dado que las características de VBS de Microsoft se anunciaron en 2015, lo que significa que la superficie de ataque de degradación que descubrí ha existido durante casi una década». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Profesores universitarios en la mira de un grupo de ciberespionaje norcoreano

Profesores universitarios en la mira de un grupo de ciberespionaje norcoreano

08 de agosto de 2024Ravie LakshmananAtaque cibernético / Espionaje cibernético El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado a un nuevo conjunto de ataques dirigidos al personal universitario, investigadores y profesores con fines de recopilación de inteligencia. La empresa de ciberseguridad Resilience dijo que identificó la actividad a fines de julio de 2024 después de observar un error de seguridad de operaciones (OPSEC) cometido por los piratas informáticos. Kimsuky, también conocido con los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima, es solo uno de los innumerables equipos cibernéticos ofensivos que operan bajo la dirección del gobierno y el ejército de Corea del Norte. También es muy activo, y a menudo aprovecha las campañas de phishing selectivo como punto de partida para ofrecer un conjunto cada vez mayor de herramientas personalizadas para realizar reconocimientos, robar datos y establecer un acceso remoto persistente a los hosts infectados. Los ataques también se caracterizan por el uso de hosts comprometidos como infraestructura de prueba para implementar una versión ofuscada del shell web de Green Dinosaur, que luego se utiliza para realizar operaciones con archivos. El uso del shell web por parte de Kimuksy fue destacado previamente por el investigador de seguridad blackorbird en mayo de 2024. El acceso proporcionado por Green Dinosaur se utiliza luego para cargar páginas de phishing preconstruidas que están diseñadas para imitar portales de inicio de sesión legítimos para Naver y varias universidades como la Universidad de Dongduk, la Universidad de Corea y la Universidad de Yonsei con el objetivo de capturar sus credenciales. A continuación, las víctimas son redirigidas a otro sitio que apunta a un documento PDF alojado en Google Drive que pretende ser una invitación al Foro de agosto del Instituto Asan de Estudios Políticos. «Además, en los sitios de phishing de Kimsuky, hay un kit de herramientas de phishing no específico para el objetivo para recopilar cuentas de Naver», dijeron los investigadores de Resilience. «Este conjunto de herramientas es un proxy rudimentario similar a Evilginx para robar cookies y credenciales de los visitantes y muestra ventanas emergentes que indican a los usuarios que deben iniciar sesión nuevamente porque se interrumpió la comunicación con el servidor». El análisis también ha arrojado luz sobre una herramienta PHPMailer personalizada utilizada por Kimsuky llamada SendMail, que se emplea para enviar correos electrónicos de phishing a los objetivos que utilizan cuentas de Gmail y Daum Mail. Para combatir la amenaza, se recomienda que los usuarios habiliten la autenticación multifactor (MFA) resistente al phishing y examinen las URL antes de iniciar sesión. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Vulnerabilidad de navegador de hace 18 años afecta dispositivos MacOS y Linux

Vulnerabilidad de navegador de hace 18 años afecta dispositivos MacOS y Linux

08 de agosto de 2024Ravie LakshmananVulnerabilidad / Seguridad del navegador Los investigadores de ciberseguridad han descubierto un nuevo «Día 0.0.0.0» que afecta a todos los navegadores web principales y que los sitios web maliciosos podrían aprovechar para violar las redes locales. La vulnerabilidad crítica «expone una falla fundamental en la forma en que los navegadores manejan las solicitudes de red, lo que potencialmente otorga a los actores maliciosos acceso a servicios confidenciales que se ejecutan en dispositivos locales», dijo Avi Lumelsky, investigador de Oligo Security. La empresa israelí de seguridad de aplicaciones dijo que las implicaciones de la vulnerabilidad son de gran alcance y que se derivan de la implementación inconsistente de los mecanismos de seguridad y la falta de estandarización en diferentes navegadores. Como resultado, una dirección IP aparentemente inofensiva como 0.0.0.0 podría usarse como arma para explotar servicios locales, lo que resulta en acceso no autorizado y ejecución remota de código por parte de atacantes fuera de la red. Se dice que la falla ha existido desde 2006. 0.0.0.0 Day afecta a Google Chrome/Chromium, Mozilla Firefox y Apple Safari, lo que permite que los sitios web externos se comuniquen con el software que se ejecuta localmente en MacOS y Linux. No afecta a los dispositivos Windows, ya que Microsoft bloquea la dirección IP a nivel del sistema operativo. En particular, Oligo Security descubrió que los sitios web públicos que usan dominios que terminan en «.com» pueden comunicarse con los servicios que se ejecutan en la red local y ejecutar código arbitrario en el host del visitante utilizando la dirección 0.0.0.0 en lugar de localhost/127.0.0.1. También es una evasión del acceso a la red privada (PNA), que está diseñado para prohibir que los sitios web públicos accedan directamente a los puntos finales ubicados dentro de redes privadas. Es probable que cualquier aplicación que se ejecute en el host local y se pueda acceder a través de 0.0.0.0 sea susceptible a la ejecución remota de código, incluidas las instancias locales de Selenium Grid al enviar una solicitud POST a 0.0.0[.]0:4444 con una carga útil diseñada. En respuesta a los hallazgos en abril de 2024, se espera que los navegadores web bloqueen por completo el acceso a 0.0.0.0, lo que desaprobará el acceso directo a los puntos finales de la red privada desde sitios web públicos. «Cuando los servicios usan localhost, asumen un entorno restringido», dijo Lumelsky. «Esta suposición, que puede (como en el caso de esta vulnerabilidad) ser errónea, da como resultado implementaciones de servidor inseguras». «Al usar 0.0.0.0 junto con el modo ‘no-cors’, los atacantes pueden usar dominios públicos para atacar servicios que se ejecutan en localhost e incluso obtener ejecución de código arbitrario (RCE), todo mediante una única solicitud HTTP». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Una parte (muy importante) de un marco CTEM completo

Una parte (muy importante) de un marco CTEM completo

08 de agosto de 2024The Hacker NewsGestión de amenazas cibernéticas En los últimos años, han surgido más de unas pocas categorías nuevas de soluciones de seguridad con la esperanza de detener una ola interminable de riesgos. Una de estas categorías es la Validación de seguridad automatizada (ASV), que proporciona la perspectiva del atacante sobre las exposiciones y equipa a los equipos de seguridad para validar continuamente las exposiciones, las medidas de seguridad y la remediación a escala. La ASV es un elemento importante de cualquier estrategia de ciberseguridad y, al proporcionar una imagen más clara de las posibles vulnerabilidades y exposiciones en la organización, los equipos de seguridad pueden identificar debilidades antes de que puedan explotarse. Sin embargo, confiar únicamente en la ASV puede ser limitante. En este artículo, analizaremos cómo la combinación de la información detallada sobre vulnerabilidades de la ASV con el análisis más amplio del panorama de amenazas proporcionado por el Marco de gestión continua de la exposición a amenazas (CTEM) puede empoderar a sus equipos de seguridad para tomar decisiones más informadas y asignar recursos de manera eficaz. (¿Quiere obtener más información sobre CTEM? Consulte esta guía completa para comenzar a usar CTEM). Antecedentes: ASV ofrece una vista integral ASV es un elemento fundamental de cualquier programa de ciberseguridad moderno. Puede bloquear ataques de alto impacto, mediante el uso de la validación para filtrar exposiciones que no comprometan sus activos críticos y para verificar la remediación que reduce el riesgo. También puede aumentar la eficiencia al verificar automáticamente que los controles de seguridad estén configurados correctamente, lo que ahorra tiempo en el análisis y la remediación de exposiciones de bajo riesgo. Y optimiza la efectividad al garantizar que su inversión en herramientas de seguridad sea efectiva para bloquear ciberataques y cumplir con las políticas y regulaciones. (Pssst, XM Cyber ​​​​acaba de ser nombrado «el líder indiscutible» en el Informe ASV Radar 2024 de Frost & Sullivan. ¿Quiere saber por qué? ¡Lea el informe aquí!) Al automatizar el proceso de validación, puede reducir la dependencia de las pruebas manuales, ahorrando tiempo y recursos al mismo tiempo que aumenta la precisión y la cobertura. Adoptar un enfoque proactivo como este permite a las organizaciones detectar y remediar las brechas de seguridad, manteniendo la protección contra las amenazas emergentes. Además: ASV proporciona una visión integral. Los métodos de seguridad tradicionales pueden pasar por alto activos ocultos o no tener en cuenta las vulnerabilidades ocultas en las cuentas de usuario o las políticas de seguridad. ASV elimina estos puntos ciegos al realizar un inventario completo, lo que permite a los equipos de seguridad abordar las debilidades antes de que los atacantes puedan aprovecharlas. ASV va más allá del simple descubrimiento. Las soluciones ASV analizan las vulnerabilidades dentro de cada activo y las priorizan en función de su impacto potencial en los activos críticos. Esto permite a los equipos de seguridad centrar sus esfuerzos en las amenazas más urgentes. ASV es superescalable. La escalabilidad de ASV lo hace adecuado para organizaciones de todos los tamaños. Para los equipos más pequeños, ASV automatiza las tareas que consumen mucho tiempo asociadas con el descubrimiento de activos y la evaluación de vulnerabilidades, liberando recursos escasos para otras actividades. Para las grandes empresas, ASV ofrece la escala necesaria para gestionar de forma eficaz su superficie de ataque en constante expansión. ASV se alinea con los marcos regulatorios. Iniciativas como la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), la Directiva de Seguridad Nacional e Información (NIS2) y el Reglamento General de Protección de Datos (GDPR) abogan por una validación continua de la postura de seguridad de una organización. Implementar una solución ASV demuestra esfuerzos hacia el cumplimiento de estos y otros marcos. Y, sin embargo… ASV por sí solo no es suficiente La validación de la superficie de ataque es una solución sólida que proporciona una vista integral de la superficie de ataque de una organización, prioriza las vulnerabilidades en función del riesgo y automatiza las tareas para mejorar la eficiencia. Es una herramienta valiosa, pero no es suficiente por sí sola como base para una estrategia de ciberseguridad completa y efectiva. Se centra en ciertos riesgos, pero no necesariamente le brinda una imagen completa de su estado de seguridad. Sin verificar su superficie de ataque e identificar las vulnerabilidades que podrían dañar a su organización, confiar solo en ASV puede dejar a los equipos de seguridad en la oscuridad. Además, algunas herramientas ASV utilizadas en entornos reales pueden poner en peligro las operaciones comerciales o brindarles a los cibercriminales una forma de ingresar más adelante. Por eso, su integración en un marco más amplio (como el marco de Gestión Continua de la Exposición a Amenazas, CTEM) es esencial para maximizar los beneficios y mitigar las posibles limitaciones. Cómo encaja ASV en CTEM Desde su creación en 2022, el marco de Gestión Continua de la Exposición a Amenazas (CTEM) ha demostrado ser una estrategia muy eficaz para mitigar los riesgos y mejorar la postura de seguridad. A diferencia de otros enfoques aislados, CTEM ofrece una estrategia de ciberseguridad proactiva que trasciende la mera identificación de vulnerabilidades. Compuesto por cinco etapas interconectadas (determinación del alcance, descubrimiento, priorización, validación[sí, ahí es donde «vive» ASV]) y movilización, CTEM identifica y prioriza continuamente las amenazas a su negocio, lo que permite a los equipos de seguridad y TI movilizarse en torno a los problemas con mayor impacto y solucionarlos primero. Al aprovechar las capacidades de ASV para cumplir con el cuarto paso del marco CTEM, las organizaciones pueden comprender cómo pueden ocurrir los ataques y la probabilidad de que ocurran. Y lo que es más importante, al combinarlo con la evaluación de exposición que se lleva a cabo en el tercer paso de CTEM (puede leer todo sobre este tercer paso de CTEM, la priorización, aquí) las exposiciones de alto impacto se pueden identificar y abordar de la manera más eficiente. ASV combinado con las capacidades de evaluación de exposición ayuda a las organizaciones a bloquear ataques de alto impacto y obtener una eficiencia de remediación que, por sí sola, simplemente no puede ofrecer. ASV: poner la «V» en el cuarto paso de CTEM, Validación Esta perspectiva más amplia que ofrece CTEM complementa las fortalezas de ASV y permite una priorización de amenazas más precisa, una remediación más eficiente y una postura de seguridad general más sólida. ASV es simplemente más valioso y confiable cuando se integra con el descubrimiento, la evaluación y la priorización integrales de vulnerabilidades y exposiciones en todo el entorno híbrido. La integración de ASV en CTEM permite a las organizaciones aprovechar las fortalezas de ambos enfoques. Juntos, permiten a los equipos de seguridad tomar decisiones informadas, asignar recursos de manera efectiva y reducir el riesgo general para la organización. La combinación de ASV con CTEM permite a las organizaciones lograr un enfoque más integral, proactivo y eficaz para gestionar los riesgos cibernéticos. Puede que le interese la serie sobre las 5 etapas de CTEM. En esta serie de blogs, proporcionamos una comprensión completa de cada etapa para que las organizaciones puedan adaptar la adopción de CTEM a sus necesidades y objetivos: ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Perspectivas exclusivas sobre inteligencia artificial de última generación y capacitación de vanguardia en SANS Network Security 2024

Perspectivas exclusivas sobre inteligencia artificial de última generación y capacitación de vanguardia en SANS Network Security 2024

08 de agosto de 2024The Hacker NewsInteligencia artificial / Seguridad de redes ¡La experiencia inmersiva que tendrá lugar este septiembre en Las Vegas! En una era de incesantes amenazas a la ciberseguridad y rápidos avances tecnológicos, mantenerse a la vanguardia no solo es una necesidad, sino fundamental. SANS Institute, la principal autoridad mundial en capacitación en ciberseguridad, se complace en anunciar Network Security 2024, un evento histórico diseñado para capacitar a los profesionales de la ciberseguridad con habilidades, conocimientos y perspectivas innovadoras. Este evento, que se llevará a cabo del 4 al 9 de septiembre de 2024 en el Caesars Palace de Las Vegas y en línea, promete brindar experiencias de aprendizaje y oportunidades de networking incomparables, garantizando la accesibilidad para los asistentes de todo el mundo. Un punto destacado transformador del evento de este año incluye una conferencia magistral centrada en la IA a cargo de Daniel Miessler, fundador de Unsupervised Learning y creador de Fabric AI. En su discurso de apertura, «Cómo ejecutar su programa de seguridad utilizando IA antes de que alguien más lo haga», Daniel explorará cómo la IA se puede integrar sin problemas en los programas de seguridad para optimizar la eficiencia, la preparación y revelar estrategias prácticas para mantenerse a la vanguardia en el cambiante panorama de la ciberseguridad. Para los profesionales de la ciberseguridad ansiosos por avanzar en sus carreras, Network Security 2024 ofrece una oportunidad única de sumergirse en un rico entorno de aprendizaje. Con más de 45 cursos especializados y más de 40 certificaciones GIAC, todos impartidos por expertos de renombre mundial, los asistentes se sumergirán en habilidades prácticas y conocimientos que se pueden aplicar de inmediato, lo que garantiza un impacto real al regresar al lugar de trabajo. La Cumbre de Ciberseguridad con IA, programada para el 8 y 9 de septiembre, es otra piedra angular de Network Security 2024. Esta cumbre profundiza en los últimos avances en IA en ciberseguridad y presenta sesiones sobre ingeniería social, desarrollo de falsificaciones profundas y mucho más. Por primera vez, SANS Institute presentará tres aldeas cibernéticas inmersivas. Estos entornos dinámicos están diseñados para el aprendizaje interactivo y práctico y la colaboración, lo que permite a los participantes participar en ejercicios prácticos y simulaciones que reflejan escenarios del mundo real. Los asistentes pondrán a prueba sus habilidades en simulaciones dinámicas y desafíos como las competencias Capture-the-Flag y el torneo Core NetWars. Estos eventos brindan una plataforma emocionante para que los profesionales de la ciberseguridad demuestren su experiencia y sus habilidades para resolver problemas en un entorno competitivo. Para celebrar el 35.° aniversario del SANS Institute, todos los asistentes presenciales recibirán un Cyber ​​Bundle exclusivo y gratuito. Este incluye un complemento único de 3 partes para su experiencia: curso OnDemand extendido, laboratorios y acceso al contenido después del evento del autor del curso, AIS247: AI Security Essentials for Business Leaders, más la admisión al evento AI Cybersecurity Summit @Night, que enriquece aún más la experiencia de aprendizaje en el sitio. Las opciones de experiencia están disponibles tanto en persona en Caesars Palace, Las Vegas, NV, como en línea en vivo. Asegure su lugar en Network Security 2024 hoy y dé el siguiente paso en su carrera en ciberseguridad. Para obtener más información sobre el evento y registrarse, visite [SANS Network Security 2024 Event Page]¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Falla de seguridad crítica en WhatsUp Gold bajo ataque activo

Falla de seguridad crítica en WhatsUp Gold bajo ataque activo

08 de agosto de 2024Ravie LakshmananVulnerabilidad / Seguridad de la red Una falla de seguridad crítica que afecta a Progress Software WhatsUp Gold está registrando intentos de explotación activos, por lo que es esencial que los usuarios actúen rápidamente para aplicar la última versión. La vulnerabilidad en cuestión es CVE-2024-4885 (puntuación CVSS: 9,8), un error de ejecución de código remoto no autenticado que afecta a las versiones de la aplicación de monitoreo de red lanzadas antes de 2023.1.3. «WhatsUp.ExportUtilities.Export.GetFileWithoutZip permite la ejecución de comandos con privilegios iisapppool\\nmconsole», dijo la compañía en un aviso publicado a fines de junio de 2024. Según la investigadora de seguridad Sina Kheirkhah del Summoning Team, la falla reside en la implementación del método GetFileWithoutZip, que no realiza una validación adecuada de las rutas proporcionadas por el usuario antes de su uso. Un atacante podría aprovechar este comportamiento para ejecutar código en el contexto de la cuenta de servicio. Desde entonces, Kheirkhah ha publicado un exploit de prueba de concepto (PoC). La Fundación Shadowserver dijo que ha observado intentos de explotación contra la falla desde el 1 de agosto de 2024. «A partir del 1 de agosto, vemos intentos de devolución de llamada de explotación /NmAPI/RecurringReport CVE-2024-4885 (hasta ahora 6 IP de origen)», dijo en una publicación en X. La versión 2023.1.3 de WhatsUp Gold soluciona dos fallas más críticas CVE-2024-4883 y CVE-2024-4884 (puntuaciones CVSS: 9,8), las cuales también permiten la ejecución remota de código no autenticado a través de NmApi.exe y Apm.UI.Areas.APM.Controllers.CommunityController, respectivamente. Progress Software también se ha ocupado de un problema de escalada de privilegios de alta gravedad (CVE-2024-5009, puntuación CVSS: 8,4) que permite a los atacantes locales elevar sus privilegios en las instalaciones afectadas aprovechando el método SetAdminPassword. Dado que los actores de amenazas suelen aprovechar las fallas de Progress Software con fines maliciosos, es esencial que los administradores apliquen las últimas actualizaciones de seguridad y permitan el tráfico solo desde direcciones IP confiables para mitigar las amenazas potenciales. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El FBI y la CISA advierten sobre el ransomware BlackSuit que exige hasta 500 millones de dólares

El FBI y la CISA advierten sobre el ransomware BlackSuit que exige hasta 500 millones de dólares

08 de agosto de 2024Ravie LakshmananInfraestructura crítica / Malware La cepa de ransomware conocida como BlackSuit ha exigido hasta 500 millones de dólares en rescates hasta la fecha, y una demanda de rescate individual alcanzó los 60 millones de dólares. Eso es según un aviso actualizado de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI). «Los actores de BlackSuit han mostrado su voluntad de negociar los montos de pago», dijeron las agencias. «Los montos de los rescates no son parte de la nota de rescate inicial, sino que requieren una interacción directa con el actor de la amenaza a través de una URL .onion (accesible a través del navegador Tor) proporcionada después del cifrado». Los ataques que involucran ransomware se han dirigido a varios sectores de infraestructura crítica que abarcan instalaciones comerciales, atención médica y salud pública, instalaciones gubernamentales y fabricación crítica. Se trata de una evolución del ransomware Royal, que aprovecha el acceso inicial obtenido a través de correos electrónicos de phishing para desactivar el software antivirus y exfiltrar datos confidenciales antes de implementar finalmente el ransomware y cifrar los sistemas. Otras vías de infección habituales incluyen el uso del Protocolo de escritorio remoto (RDP), la explotación de aplicaciones vulnerables que dan a Internet y el acceso adquirido a través de intermediarios de acceso inicial (IAB). Se sabe que los actores de BlackSuit utilizan software y herramientas legítimos de monitorización y gestión remota (RMM) como el malware SystemBC y GootLoader para mantener la persistencia en las redes de las víctimas. «Se ha observado que los actores de BlackSuit utilizan SharpShares y SoftPerfect NetWorx para enumerar las redes de las víctimas», señalaron las agencias. «También se han encontrado en los sistemas de las víctimas la herramienta de robo de credenciales Mimikatz, disponible públicamente, y las herramientas de recolección de contraseñas de Nirsoft. A menudo se utilizan herramientas como PowerTool y GMER para matar procesos del sistema». La CISA y el FBI han advertido de un aumento de los casos en los que las víctimas reciben comunicaciones telefónicas o por correo electrónico de los actores de BlackSuit en relación con el ataque y el rescate, una táctica que cada vez adoptan más las bandas de ransomware para aumentar la presión. «En los últimos años, los actores de amenazas parecen estar cada vez más interesados ​​no solo en amenazar a las organizaciones directamente, sino también a las víctimas secundarias», dijo la firma de ciberseguridad Sophos en un informe publicado esta semana. «Por ejemplo, como se informó en enero de 2024, los atacantes amenazaron con ‘atacar’ a los pacientes de un hospital oncológico y enviaron mensajes de texto amenazantes a la esposa de un director ejecutivo». Eso no es todo. Los actores de amenazas también han afirmado que evalúan los datos robados en busca de evidencia de actividad ilegal, incumplimiento normativo y discrepancias financieras, llegando incluso al extremo de afirmar que un empleado de una organización comprometida había estado buscando material de abuso sexual infantil publicando el historial de su navegador web. Estos métodos agresivos no solo pueden usarse como una herramienta adicional para obligar a sus objetivos a pagar, sino que también infligen daño a la reputación al criticarlos por ser poco éticos o negligentes. El desarrollo se produce en medio de la aparición de nuevas familias de ransomware como Lynx, OceanSpy, Radar, Zilla (una variante del ransomware Crysis/Dharma) y Zola (una variante del ransomware Proton) en la red, incluso cuando los grupos de ransomware existentes están constantemente evolucionando su modus operandi incorporando nuevas herramientas a su arsenal. Un ejemplo de caso es Hunters International, que ha sido observado utilizando un nuevo malware basado en C# llamado SharpRhino como vector de infección inicial y un troyano de acceso remoto (RAT). Una variante de la familia de malware ThunderShell, se distribuye a través de un dominio de typosquatting que se hace pasar por la popular herramienta de administración de red Angry IP Scanner. Vale la pena señalar que se han detectado campañas de malvertising que distribuyen el malware tan recientemente como enero de 2024, según eSentire. El RAT de código abierto también se llama Parcel RAT y SMOKEDHAM. «Al ejecutarse, establece persistencia y proporciona al atacante acceso remoto al dispositivo, que luego se utiliza para avanzar en el ataque», dijo el investigador de Quorum Cyber, Michael Forret. «Usando técnicas nunca antes vistas, el malware puede obtener un alto nivel de permiso en el dispositivo para garantizar que el atacante pueda continuar con su ataque con una interrupción mínima». Se estima que Hunters International es una nueva marca del ahora desaparecido grupo de ransomware Hive. Detectado por primera vez en octubre de 2023, se ha atribuido la responsabilidad de 134 ataques en los primeros siete meses de 2024. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los fallos del correo web de Roundcube permiten a los piratas informáticos robar correos electrónicos y contraseñas

Los fallos del correo web de Roundcube permiten a los piratas informáticos robar correos electrónicos y contraseñas

07 de agosto de 2024Ravie LakshmananSeguridad del correo electrónico / Vulnerabilidad Los investigadores de ciberseguridad han revelado detalles de fallas de seguridad en el software de correo web Roundcube que podrían explotarse para ejecutar JavaScript malicioso en el navegador web de una víctima y robar información confidencial de su cuenta en circunstancias específicas. «Cuando una víctima ve un correo electrónico malicioso en Roundcube enviado por un atacante, el atacante puede ejecutar JavaScript arbitrario en el navegador de la víctima», dijo la empresa de ciberseguridad Sonar en un análisis publicado esta semana. «Los atacantes pueden aprovechar la vulnerabilidad para robar correos electrónicos, contactos y la contraseña de correo electrónico de la víctima, así como para enviar correos electrónicos desde la cuenta de la víctima». Tras una divulgación responsable el 18 de junio de 2024, las tres vulnerabilidades se han abordado en las versiones 1.6.8 y 1.5.8 de Roundcube publicadas el 4 de agosto de 2024. La lista de vulnerabilidades es la siguiente: CVE-2024-42008: una falla de secuencias de comandos entre sitios a través de un archivo adjunto de correo electrónico malicioso entregado con un encabezado Content-Type peligroso CVE-2024-42009: una falla de secuencias de comandos entre sitios que surge del posprocesamiento de contenido HTML desinfectado CVE-2024-42010: una falla de divulgación de información que surge de un filtrado CSS insuficiente La explotación exitosa de las fallas mencionadas anteriormente podría permitir a atacantes no autenticados robar correos electrónicos y contactos, así como enviar correos electrónicos desde la cuenta de una víctima, pero después de ver un correo electrónico especialmente diseñado en Roundcube. «Los atacantes pueden obtener una posición persistente en el navegador de la víctima después de reiniciar el sistema, lo que les permite extraer correos electrónicos continuamente o robar la contraseña de la víctima la próxima vez que la ingrese», dijo el investigador de seguridad Oskar Zeino-Mahmalat. «Para que un ataque tenga éxito, no se requiere interacción del usuario más allá de ver el correo electrónico del atacante para explotar la vulnerabilidad XSS crítica (CVE-2024-42009). Para CVE-2024-42008, se necesita un solo clic por parte de la víctima para que el exploit funcione, pero el atacante puede hacer que esta interacción no sea obvia para el usuario». Se han ocultado detalles técnicos adicionales sobre los problemas para dar tiempo a los usuarios a actualizar a la última versión, y a la luz del hecho de que los fallos en el software de correo web han sido explotados repetidamente por actores de estados nacionales como APT28, Winter Vivern y TAG-70. Los hallazgos se producen a medida que han surgido detalles sobre una falla de escalada de privilegios locales de máxima gravedad en el proyecto de código abierto RaspAP (CVE-2024-41637, puntuación CVSS: 10.0) que permite a un atacante elevarse a root y ejecutar varios comandos críticos. La vulnerabilidad se ha solucionado en la versión 3.1.5. «El usuario www-data tiene acceso de escritura al archivo restapi.service y también posee privilegios sudo para ejecutar varios comandos críticos sin una contraseña», dijo un investigador de seguridad que usa el alias en línea 0xZon1. «Esta combinación de permisos permite a un atacante modificar el servicio para ejecutar código arbitrario con privilegios de root, escalando su acceso de www-data a root». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Investigadores descubren nueva técnica de explotación del kernel de Linux, ‘SLUBStick’

Investigadores descubren nueva técnica de explotación del kernel de Linux, ‘SLUBStick’

07 de agosto de 2024Ravie LakshmananLinux / Vulnerabilidad Los investigadores de ciberseguridad han arrojado luz sobre una nueva técnica de explotación del kernel de Linux denominada SLUBStick que podría explotarse para elevar una vulnerabilidad de montón limitada a una primitiva de lectura y escritura de memoria arbitraria. «Inicialmente, explota un canal lateral de tiempo del asignador para realizar un ataque de caché cruzada de manera confiable», dijo un grupo de académicos de la Universidad Tecnológica de Graz. [PDF]. «Concretamente, explotar la fuga de canal lateral eleva la tasa de éxito a más del 99% para cachés genéricos de uso frecuente». Las vulnerabilidades de seguridad de memoria que afectan al kernel de Linux tienen capacidades limitadas y son mucho más difíciles de explotar debido a características de seguridad como Prevención de acceso en modo supervisor (SMAP), Aleatorización del diseño del espacio de direcciones del kernel (KASLR) e Integridad del flujo de control del kernel (kCFI). Si bien los ataques de software entre cachés se han ideado como una forma de contrarrestar las estrategias de endurecimiento del kernel como la separación de montón de grano grueso, los estudios han demostrado que los métodos existentes solo tienen una tasa de éxito de solo el 40%. SLUBStick se ha demostrado en las versiones 5.19 y 6.2 del kernel de Linux utilizando nueve fallas de seguridad (por ejemplo, doble liberación, uso después de liberación y escritura fuera de límites) descubiertas entre 2021 y 2023, lo que lleva a una escalada de privilegios a la raíz sin autenticación y escapes de contenedor. La idea central detrás de este enfoque es ofrecer la capacidad de modificar los datos del núcleo y obtener una primitiva de lectura y escritura de memoria arbitraria de una manera que supere de manera confiable las defensas existentes como KASLR. Sin embargo, para que esto funcione, el modelo de amenaza supone la presencia de una vulnerabilidad de montón en el núcleo de Linux y que un usuario sin privilegios tiene capacidades de ejecución de código. «SLUBStick explota sistemas más recientes, incluidos v5.19 y v6.2, para una amplia variedad de vulnerabilidades de montón», dijeron los investigadores. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Página 1 de 36

Funciona con WordPress & Tema de Anders Norén