Seguridad al alcance de todos!

lunes, 21 de mayo de 2018

Estudiantes de escuela, hackean sistema, para cambiar sus notas, y hacer reembolsos en sus almuerzos.

Recuerdo que en mis tiempos, como mucho se hacían maldades como dejar la sala apestosa o lanzar los cuadernos de los compañeros por la ventana.. pero hoy en día, como la información está al alcance de todos, es posible que ahora ocurran este tipo de incidentes en los colegios.

Dos estudiantes de la Escuela Bloomfield Hills High, son los principales sospechosos de un reciente hackeo que fue descubierto esta semana.

Los dos irrumpieron en el portal del Sistema de Información Estudiantil MISTAR de la escuela donde cambiaron las calificaciones, los registros de asistencia e intentaron reembolsar las compras del almuerzo.

El hackeo fue detectado por un empleado de la escuela  quien al iniciar sesión detecto varios errores, logrando detectar el hackeo al sistema del colegio.

Se dice que los dos estudiantes utilizaron una vulnerabilidad en el portal de la escuela para perpetrar el hackeo. Ellos intentaron cambiar su identidad y modificar los registros de al menos 20 estudiantes.

Repercuciones.

De acuerdo el video que subió la escuela a su canal e Youtube, el superintendente Robert Glass indicó que los funcionarios ayudaran a poder encontrar los dos supuestos culpables.

"Como padre, me duele mucho por los padres de los alumnos, que aprenderán una lección muy dura", dijo Glass en el video de YouTube.

"Las consecuencias para estos jóvenes probablemente sean severas. El ciber-acoso es un delito federal y estamos trabajando con las autoridades apropiadas para determinar las acciones disiplinarias y legales", dijo Glass. "Debido a las leyes de privacidad de los estudiantes, no podemos divulgar más información, pero podemos asegurarle que estamos trabajando dentro del alcance completo del Código de Conducta Estudiantil y el alcance total de la ley".




 
Compartir:

Expertos propusieron una nueva versión de Spectre para recuperar datos de la CPU



Investigadores de Eclypsium han ideado una variante del ataque Spectre que permite al atacante poder recuperar los datos almacenados dentro del Modo de Administración del Sistema (SMM, por sus siglas en ingles) de la CPU, también llamado Anillo -2.

El SMM es un modo de operación de los procesadores x86 en el cual toda operación incluida la del sistema operativo es suspendida.

Cuando un código es enviado al SMM, el sistema operativo se suspende y una porción del firmware de la BIOS ejecuta varios comandos con los cuales elevan los privilegios, logrando así acceder a toda la información del hardware.


El modo SMM se lanzó por primera vez con Intel 386SL a principios de los años 90. Las CPU Intel implementan un mecanismo de protección de memoria conocido como registro de rango para proteger los contenidos sensibles de regiones de memoria como la memoria SMM.

La memoria SMM en las CPU Intel está protegida por un tipo especial de registros de rango conocido como Registro de Rango de Administración del Sistema (SMRR).


Los investigadores de Eclypsium hicieron público su estudio en una prueba de concepto para la variante 1 de Spectre ( CVE-2017-5753 ) para evadir la protección de SMRR y acceder a la RAM del Sistema de administración (SMRAM) que contiene toda la información del SMM.

"Debido a que SMM generalmente tiene acceso privilegiado a la memoria física, incluida la memoria aislada de los sistemas operativos, nuestra investigación demuestra que los ataques basados en Spectre pueden revelar otros secretos en la memoria (por ejemplo, hipervisor, sistema operativo o aplicación)", afirma el informe publicado por Eclypsium

https://blog.eclypsium.com/2018/05/17/system-management-mode-speculative-execution-attacks/

Compartir:

Joven recibe recompensa de $36.337 por encontrar RCE en Google App Engine



Un joven Uruguayo de 18 años llamado Ezequiel Pereira, recibió una recompensa por parte de Google por haber encontrado una vulnerabilidad de Ejecución de código remoto en Google App Engine. Esta plataforma permite a sus usuarios desarrollar y levantar servicios web de manera administrada y sencilla.

En Febrero de este año Pereira gano acceso a equipos no productivos de Google, cuando descubrió que fue posible utilizar API que eran internas de Google.

Pereira de manera ética, reporto a Google la falla descubierta mediante el programa Vulnerability Reward Program (VRP).  Los expertos de Google clasificaron la falla como prioridad 1, prioridad que se les da a las vulnerabilidades que pueden causar un impacto negativo a un gran número de usuarios, por eso la vulnerabilidad debía ser reparada lo antes posible.

Mientras tanto Pereira continuo sus test y generó un segundo informe a google despues de encontrar otras fallas. entonces Google invitó a Pereira a detener sus actividades por el riesgo de impactar a los servicios productivos de clientes al utilizar esas API internas.

"A principios de 2018 obtuve acceso a un entorno de despliegue de Google App Engine que no era de producción, donde podía usar API internas y se consideraba la ejecución remota de código debido a la forma en que funciona Google. Gracias a esto obtuve una recompensa de $ 36,337 como parte del Programa de Recompensas de Vulnerabilidad de Google ", se lee en la publicación del blog publicada por el investigador.
Esta no seria la primera vez que Pereira recibe recompensas por parte de Google, el año 2017 también recibió una recompensa, al acceder a información confidencial.

 Para mas detalles de la vulnerabilidad detectada por Pereira visite el blog del joven investigador :
https://sites.google.com/site/testsitehacking/-36k-google-app-engine-rce
Compartir:
sábado, 19 de mayo de 2018

Expertos de Fortinet descubrieron nueva variante de Mirai, bastante agresiva.



Con el nombre Wicked-Mirai los expertos de Seguridad de la Empresa Fortinet identificaron a esta nueva variante de la famosa botnet Mirai. Esta nueva variante incluye al menos 3 nuevos exploit en comparación a la versión original.

El equipo de Laboratorio de Fortiguard ha visto incrementar el número de variantes de Mirai, y esto gracias a que el código fuente del botnet se hizo público hace dos años. Se lee en el analisis publicado por Fortinet.

Usualmente los módulos que están dentro del bot Mirai son 3: Attack, Killer, y Scanner. En el analisis que realizó Fortiguard, esta nueva variante "Wicked" se centro en el mecanismo de distribución del malware. La versión original de Mirai utilizaba intentos de fuerza bruta para ganar acceso a los dispositivos Iot, pero la versión nueva viene con algunos exploit ya conocidos para realizar los ataques.

Wicked utiliza los puertos 8080, 8443 80 y 81 para intentar realizar la detección de los dispositivos.


Si la conexión es exitosa este intentara utilizar el exploit y descargar la carga util.

Dispositivos Objetivos

El exploit que utiliza Wicked depende del puerto en el cual se conecto.

Puerto 8080: Netgear DGN1000 y DGN2200 Routers


Puerto 81: CCTV-DVR

Puerto 8443: Netgear R7000 y R6400


Puerto 80: Invocar Shell de los servidores comprometidos.



Si se realiza la explotación de la vulnerabilidad, este malware descarga un payload desde una página web, en este caso, hxxp://185.246.152.173/exploit/owari.{extension}.  Dentro de esa página web, existen varias muestras del botnet Omni, el cual fue aparentemente utilizado en la vulnerabilidad de Gpon CVE-2018-10561.


Encontrar la conexión entre los botnets Wicked, Sora, Owari y Omni nos llevó a una entrevista en abril pasado con un investigador de seguridad que creemos que es el autor de estas variantes de botnet. Básicamente, el autor que usa el pseudo nombre "Wicked" confirmó que es el autor tanto de Sora como de Owari. Cuando se le preguntó sobre el futuro de Sora y Owari, la respuesta de Wicked fue: "SORA es un proyecto abandonado por el momento y seguiré trabajando en OWARI. No verán un tercer proyecto de mí en el corto plazo, ya que continúo expandiendo mis actuales ". Segun el informe de fortinet.
Compartir:

Hombre fue sentenciado a 15 años de prisión por ejecutar un ataque DDOS



Un hombre en Nuevo México fue sentenciado a 15 años de prisión, por ser el responsable de varios ataques de denegación de Servicio que afectaron a sitios web de antiguos empleados, empresas de la competencias y servicios públicos.

El juicio público inició a comienzos de año, pero fue el día 17 de Mayo donde se dictaminó la sentencia de este hombre en el estado de Minnesota en Estados Unidos.

John Kelsey Gammell de 55 años, fue sentenciado a 180 meses de prisión por el uso de herramientas populares de DDoS y servicios de "DDoS-for-hire" para así potenciar el ataque de denegación de servicios distribuido contra las victimas.

La lista de victimas incluye empresas de la competencia, empleados antiguos, agencias gubernamentales, Cortes de justicias, Banca, compañías de telecomunicaciones , y compañías que se negaron a contratarlo.

El hombre usaba servicios de VPN para poder ocultar su identidad, y realizaba criptominado para poder pagar los servicios que utilizaba. El hombre envió correos electrónicos a las víctimas mientras estaban bajo ataques DDoS y propuso sus servicios para mitigar los problemas. Los correos fueron enviados desde cuentas de Gmail y Yahoo a las que accedió desde su casa sin enmascarar su dirección IP real.

El hombre inicialmente rechazó un acuerdo de culpabilidad, pero en enero se declaró culpable de cometer un daño intencional en una computadora protegida, admitiendo haber lanzado ataques DDoS en sitios web en los Estados Unidos en el período comprendido entre julio de 2015 y marzo de 2017. También se declaró culpable de dos cuentas de ser un delincuente en posesión de armas de fuego y municiones.
Compartir:

Más de 800.000 Routers en riesgo de Exploit de dia cero

La marca de Routers DrayTak esta afecta a una vulnerabilidad de día cero la cual podría permitir a un atacante poder cambiar la configuración DNS de algunos modelos.

Muchos usuarios han reportado en twitter este ciber-ataque contra los routers de este fabricante, en algunos casos los atacantes han cambiado la configuración DNS de los routers, hacia un servidor DNS fraudulento 38.143.121.95 que pertenece a la red China de Telecom.

Al realizar el cambio de los DNS por otros falsos, hace que los usuarios resuelvan direcciones IP falsas para los dominios en que visitan, logrando mediante un ataque MITM poder robar credenciales de las victimas en sitios que son completamente falsos.


DrayTek publicó un articulo en el cual se advierte a sus clientes sobre esta vulnerabilidad crítica, y ademas les enseña como realizar la revisión de su configuración DNS.


"En mayo de 2018, nos dimos cuenta de nuevos ataques contra dispositivos habilitados para la web, que incluyen los enrutadores DrayTek. Los ataques recientes han intentado cambiar la configuración DNS de los enrutadores ", dice el reporte publicado.

"Si tiene un enrutador compatible con múltiples subredes LAN, verifique la configuración de cada subred. Su configuración de DNS debe estar en blanco, configurada con las direcciones de servidor DNS correctas de su ISP o direcciones de servidor DNS de un servidor que ha configurado deliberadamente (por ejemplo, Google 8.8.8.8). Un servidor DNS fraudulento conocido es 38.134.121.95; si lo ve, su enrutador ha sido cambiado. "

Compartir:
viernes, 18 de mayo de 2018

Nuevos Ransomware afectan directamente la MBR del sistema Comprometido.



Annabelle y MBRLock son los nuevos ransomware que tienen como objetivo infectar el Registro principal de Arranque o MBR por sus siglas en ingles, los cuales previenen que el sistema operativo inicie y así evitar un scaneo por parte de cualquier herramienta de seguridad.

Los ransomware estan evolucionando bastante rápido, con nuevas técnicas de evasión en su detección, esto con el objetivo de poder mejorar la persistencia en los equipos objetivos. El ultimo gran ransomware que supimos que tenia este modus operandi, y que ademas se hizo famoso a nivel mundial fue Petya.

El MBR es el primer registro de una unidad de almacenamiento, y se encuentra dentro de los primeros 512 bytes. Este registro contiene la información necesaria para que se pueda proceder con la carga del o los Sistemas operativos que viven en un Disco Duro.

La infección de la MBR en ambos ransomware ocurre cuando el equipo victima procede a un reinicio de sistema, haciendo que el malware reemplace el MBR original dando paso al código malicioso. Una infección a este registro implicaría consecuencias graves para el sistema.


Annabelle


Según informa el blog de investigación Quickheal, el malware realizará las siguientes acciones: "encripta todos los archivos del computador y añade una extensión .annabelle a los archivos afectados, intenta desahabilitar el firewall, termina toda una lista de procesos de Seguridad, se despliega en todas las unidades USB y por ultimo, sobrescribe el registro MBR con un código propio. Este ransomware solo tiene como objetivo, dejar inutilizable el sistema.

El malware llama a un DLL para tomar control de las unidades físicas de los sistemas infectados donde escribirá 0x800 en cada unidad física.


Después de infectar el disco duro el proceso RtlSetProcessIsCritical es llamado, esta función cambiará la criticidad del malware para que sea considerado como crítico para el sistema. Esto implica que cuando se intente el cierre de este proceso, windows se vea forzado a finalizar también, por lo general esto implica un crash en el sistema.


Para finalizar el proceso, el malware llama a shutdown.exe -r -f -t 0 para poder reiniciar el sistema. Posterior al reinicio del sistema aparece un mensaje de en el cual se pide el rescate por 0.1 bitcoin, y este debe ser pagado dentro de un plazo de tiempo.

Si el usuario decide no pagar el rescate, el malware reemplaza el MBR del sistema por el propio haciendo que ya no se pueda acceder mas al equipo.

MBRLock


Este ransomware fue detectado en febrero de este año. Este ransomware al igual que el anterior tiene como objetivo el MBR de la victima y solicita como rescate un valor de 30 yuan antes de que windows inicie.

El ransomware hace una llamada a createfile API, y con eso toma acceso a la unidad física. Posteriormente cuando llama  a SetFilePointer este configura la variable en cero, cosa de poder acceder a los registros MBR. Este lee los primeros 0x200 bytes de memoria y los respalda en los siguientes 0x200 quedando respaldada la información en los 0x400 bytes de memoria.


Posterior al reinicio, el malware reemplaza el código original de MBR por el propio, impidiendo que el usuario logre acceder al sistema. Cuando el usuario intenta nuevamente acceder al equipo aparecerá el siguiente mensaje, en el cual le solicitará un rescate por 30 yuan para acceder a la información nuevamente.


El análisis del MBR indica que el malware compara la Contraseña introducida con una cadena que está presente en su código. Los investigadores dicen que la contraseña es "ssssss". A diferencia de otros ransomware, desbloquear la pantalla de este ransomware es bastante fácil, lo que se puede hacer sin pagar ningún rescate.

Compartir:
jueves, 17 de mayo de 2018

Microsoft demanda a Municipios en Chile por usar software sin licencias


Según informa el medio nacional Cooperativa.cl Microsoft, tomo acciones judiciales por el uso de Software no licenciado por parte de la Municipalidad de Copiapo.

El alcalde de Copiapó, informo que la Multinacional demando al municipio por un monto de 1.700 millones de pesos (CLP), todo por el uso de software sin licencia.

Siendo que Microsoft con antelación había informado al municipio la situación en el cual se encontraban ( mas de 856 programas no licenciados en 450 computadores), el municipio no tomo acciones correctivas las que llevaron a la empresa a llegar a tribunales de justicia.

Según la alcaldia, el problema ocurrio en que ellos compraron equipos con las licencias, pero con el pasar del tiempo estas caducaron y no las renovaron. Por tal razón ellos estan buscando software que sean libres.

"A ver dónde hay, pero deben haber muchos computadores que están usando hoy día licencias libres, porque hay computadores que tienen trabajos bastante sencillos, bastante simples, por lo tanto, en muchos sistemas que son siempre habituales perfectamente pueden usar licencias libres", dijo el alcalde Marcos López.
Ademas explico el alcalde que solicitaran apoyo del consejo de defensa del estado, ya que el municipio no está en condiciones de poder afrontar jucio con un pago millonario.

Compartir:

La nueva campaña de Criptomonedas ya tiene 500.000 víctimas.



Investigadores de seguridad de Qihoo 360 Total Security han detectado una campaña masiva de minado de criptomonedas que ya lleva al rededor de 500.000 victimas en todo el globo en tan solo 3 días.

El malware se llama WinstarNssmMiner, y tiene como objetivo realizar minado en equipos Windows. Este realiza el minado de la criptomoneda Monero, mediante la utilidad XMRig.

Proceso de Infección


Cuando se inicia el proceso de infección, el malware realizar un scan de los procesos que están activos en el sistema, si este detecta que están los procesos de los Antivirus Avast o Kaspersky, este abandona el proceso de infección.  Si el malware detecta que no existen tales antivirus en el sistema, este lanza dos procesos de svchost.exe, siendo uno de ellos el que realiza el criptominado. Si detecta que existen otros procesos de Antivirus, el malware intentará cerrarlos, para evitar la detección.


Eliminación 


El malware realiza un proceso de persistencia bastante desagradable. Cuando el malware detecta que alguien está cerrando el proceso svchost.exe, que está asociado a la utilidad XMRig, este gatillará un crash en el sistema. Este proceso de Crash se realiza al indicarle a Windows que el proceso en cuestión es crítico para el sistema, provocando automáticamente un reinicio del equipo.

Los atacantes hasta ahora se han hecho de mas de 133 Moneros, lo que se traducen en unos 28.000 dolares.



Campañas mas Amigables!



WinstarNssmMiner no es la única campaña que esta en alza, sino que otra que se llama idleBuddyMiner, la cual a diferencia del anterior, solicita tu autorización para minar criptomonedas mediante un PoPUp.

Compartir:

Se liberan 3 vulnerabilidades críticas en Cisco DNA -- Credenciales de fabrica por defecto



Cisco publicó 16 avisos de seguridad, en las cuales se incluyen tres vulnerabilidades catalogadas como críticas y las cuales reciben la mayor puntuación de criticidad.

Las vulnerabilidades declaradas incluyen un backdoor y dos evasiones de autenticación para Cisco Digital Network Architecture (DNA).

Cisco DNA, es un software destinado a clientes empresariales que proporciona un sistema centralizado de aprovisionamiento para equipos de red, ademas posee servicios adicionales de mitigación de amenazas de CiberSeguridad.

Cuenta Backdoor


La primera vulnerabilidad  y probablemente la mas sencilla de explotar es la CVE-2018-0222. Cisco describe esta vulnerabilidad indicando que " un usuario remoto no autenticado podría logearse en el sistema utilizando una cuenta por default", por lo cual podría denominarse como una cuenta de backdoor.

Cisco indico que el nombre de usuario y contraseña de esta cuenta por defecto, no han sido publicados, pero aun así no se descarta que un atacante pueda con esta cuenta, lograr privilegios de administrador en algún equipo objetivo.

Para esta vulnerabilidad no existen mitigaciones, solo queda para los administradores de la solución, que actualicen sus sistemas a penas las actualizaciones estén disponibles.

Segun informa Cisco: la vulnerabilidad ha sido parchada en las versiones 1.1.3 y posterior. Pero la versión 1.1.3 aun es vulnerable a las siguientes vulnerabilidades.


Kubernetes!



La segunda vulnerabilidad es CVE-2018-0268 la cual  podría permitir que un atacante remoto no autenticado omita la autenticación y obtenga privilegios elevados.

"La vulnerabilidad se debe a una configuración por default en los servicios de Kubernetes que están embebidos dentro de Cisco DNA. Un atacante que tenga la posibilidad de tener acceso al puerto de  servicio de Kubernetes podría ejecutar comandos con privilegios elevados dentro de un container provisionado" dijo Cisco. "Una explotación exitosa podría resultar e un completo compromiso de los containers afectados"

Al igual que la vulnerabilidad anterior no existen mitigaciones al respecto, solo queda actualizar la plataforma.

Según cisco, la vulnerabilidad afecta a la versión 1.1.3 y anteriores de Cisco DNA. La versión 1.1.4 ha sido parchada para esta vulnerabilidad.

API DNA Center


La tercera vulnerabilidad identificada como CVE-2018-0271, permite la evasión de la autenticación en la API de DNA Center.

"La vulnerabilidad se debe a una falla en la normalización de las URL antes de atender a las solicitudes" Explicó Cisco. Un atacante podría aprovechar esta vulnerabilidad mediante una URL modificada para explotar la vulnerabilidad. Un ejecución exitosa podría permitir al atacante obtener acceso no autorizado a los servicios críticos, lo que respondería a una elevación de privilegios en DNA Center"


Según informa cisco, la vulnerabilidad afecta a versiones anteriores a la versión 1.1.2 de Cisco DNA. La versión 1.1.2 y posteriores estarían parchadas ante esta vulnerabilidad.

Por tanto habrá que instalar la versión 1.1.4 en adelante para poder mitigar estas 3 vulnerabilidades.



Compartir:

Siguenos en Facebook

Etiquietas

4GLTE ACS Actualidad Actualizaciones Adblocker Adguard Adobe Amazon AMD Android AndroidP Annabelle App Store Apple Argentina ARPSpoofing Assa Abloy ATM Auditoria Australia Auth0 Aviso AWS Azure Sphere backdoor Banking Bitcoins Blackberry Blizzard BlockChain Botnet Bromas Bug Bug Bounty Cambridge Analytica Cambrige Analytica CannibalRAT CERT Certificados Challenge Chile China Chrome CIA CiberAtaques CiberCrimen CiberEjercito CiberEspionaje CiberSeguridad Cifrado Cisco Cisco DNA CloudFlare CoinHive Colegio Combojack Copiapo Corfo Correo Cortana CredSSP Criptografía Criptomonedas CryptoMonedas Cryptovirus CVE Cyberbit DDOS DefaultPassword Defensa DHCP DigiCert Digital Shadows DNS DNS Spoofing Dockers Dofoil Doppelganging DPI DrayTek dropbox Drupal Drupalgeddon DrWeb EarlyBird Eclypsium Educación eFail EFF Electron Electroneum Equifax Espionaje Ethical Hacking Excel Exploit Exposición de Datos Extensión Chrome F5 Facebook Falla Fallo FBI FedEx Fingerprint Finlandia FlawsCloud FortiGuard Fortinet GandCrab GitHub Google google chrome Google Drive Google Play Google Proyect Zero Gpon Hacking hcsshim Hidden Cobra Hispasec Hoteles HTTP Injector IBM idleBuddy IE Ingenieria Social Intel Internet InternetExplorer IonCube Iran Irán ISO/IEC JavaScript Juegos Junos OS Kali Kane Gamble Kaspersky KillDisk leaks Lenovo linkedin Linux Luka MacOS Magento Malware MalwareHunterTeam MBR MBRLock McAfee Medicina Meltdown Memcached Microsoft Mikrotik Millennials Mirai MitM Mobef Monero Mozilla Municipios My Cloud NanoCore Nas Netflix Neutralidad Never Defender Nintendo Noticias Noticias. NSA NTLM OceanLotus Office Omni OpenSSL Oracle OrangeWorm Outlook Owari OWASP PDF PGP Phishing PHP PoC PowerHammer Privacidad Profinet PsicoHacking Python Qihoo360 Radware ransomware RAT RCE RDP Recompensas Reconocimiento Facial RedDrop Redes RedHat RGPD Router Routers Rumanía. Rusia Salud SAMBA Samsung SAP Satori Saturn SCADA screenlocker ScreenOS SecurityList Segurdad Seguridad Seguridad Informatica shodan Signal Sistemas Operativos SiteLock skype SlingShot SMB SMIME SMM Sophos Sora Spectre Squid StalinLocker Switches SWITF Symantec Taiwan Tecnologia Telegram The Shadow Brokers ThunderBird TLS Torrent Transmission TrendMicro Troyanos Trustico TrustJacking Tutorial Twitter Ubiquiti Unix UPnP Noticias Utorrent VingCard VPN VRP Vulnerabilidad Vulnerabilidades Wandera Watchguard Webinars WeChat Western Digital WhatsApp Wicked WIFI Windows Windows 10S Windows Defender Windows Remote Assistance WindowsUpdate WinstarNssmMiner Wireless Ruckus WPA3 XSS Youtube ZeroDays

Historial

Vistas a la página totales