Notices tagged with seguridad, page 7

A raíz de la pandemia, que los restaurantes ofrezcan el menú a través de un código QR pegado en la mesa no es extraño. Esta tecnología vive una nueva etapa, donde muchos usuarios se han acostumbrado a leer desde el móvil la carta. Pero al tiempo que crece su uso, también vuelven a primera línea sus riesgos.

El New York Times informa que estos códigos QR están facilitando a las empresas poder rastrear y analizar el comportamiento de los clientes, pudiendo con algunas aplicaciones recopilar datos personales como el historial de pedidos, el número de teléfono y los correos electrónicos. Todo un conjunto de datos muy jugosos para las empresas de publicidad y que los obtienen, en algunos casos, en el momento que hacemos algo aparentemente tan inocente como abrir un código QR.

2021 no está siendo el mejor año para la seguridad de Windows. Cada poco tiempo aparece un nuevo fallo de seguridad en el sistema operativo que pone en jaque la seguridad de todos los usuarios, fallos que, por cierto, no se solucionan hasta pasadas varias semanas, cuando toque el nuevo martes de parches. Y, por si Microsoft tenía poco con los problemas de seguridad de las impresoras, ahora se le ha sumado un nuevo fallo de seguridad de lo más preocupante: HiveNightmare.

HiveNightmare (nombre que le han asignado a esta vulnerabilidad) es un fallo de seguridad presente en todas las versiones de Windows 10 a partir de 1809, y en Windows 11. Gracias a este fallo, cualquier usuario, incluso sin permisos de administrador, puede acceder a los ficheros críticos del sistema, como SAM, SYSTEM y SECURITY. Al hacerlo, este usuario podría llegar a conseguir el mayor nivel de privilegios dentro del sistema operativo de Microsoft: SYSTEM. Y, con él, hacer, literalmente, lo que quiera en el PC, incluso ejecutar código aleatorio en la memoria del PC, o cambiar los programas de Windows.

Mantener la seguridad es algo muy importante a la hora de conectarnos a Internet, utilizar dispositivos y servicios de todo tipo. Esto es algo que también debemos aplicar a los servidores, lógicamente. Hay diferentes tipos de protocolos, funciones, herramientas o aplicaciones que pueden ayudarnos a evitar problemas. En este artículo hacemos un repaso sobre qué es el protocolo DTLS. Vamos a explicar de qué manera ayuda a mejorar la seguridad en los servidores.

El equipo de investigación de la empresa de ciberseguridad Qualys ha descubierto una vulnerabilidad en el kernel Linux que afecta, a día de hoy, a la mayoría de las instalaciones del sistema operativo GNU/Linux.

De hecho, los investigadores han podido verificar su presencia en instalaciones predeterminadas de distribuciones tan populares (y modernas) como Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 y Fedora 34 Workstation.

"Otras distribuciones de Linux son ciertamente vulnerables y probablemente explotables".

Tan pronto como Qualys confirmó el problema (hace casi mes y medio), se puso en contacto con los desarrolladores del kernel para ponerlo en su conocimiento y que pudieran, así, parchearlo antes de que su existencia fuera de conocimiento general.

Desde que hace unos días se conocieran cifras concretas del alcance de Pegasus, el software espía o spyware usado a nivel mundial para controlar a medios, periodistas y activistas entre otros, se han levantado las alarmas sobre este tipo de programas.

Con esta alerta en nuetras cabezas, tenemos que Microsoft ha descubierto otro programa similar y de nombre Sourgum con presencia también en España. Y acaba de dar más detalles al respecto sobre cómo funciona.

Este se trata de un malware que ha sido usado para espiar, al menos, a 100 personas entre las que se encuentran activistas, periodistas, políticos, académicos, disidentes políticos y trabajadores de embajadas, entre otros. Y la firma de Redmond también ha constatado su presencia en Cataluña. Sourgum está creado por Candiru, una empresa israelí, como NSO Group (quien comercializa Pegasus), especializada en vender software a gobiernos.

Se sospechaba de la magnitud del spyware Pegasus, del polémico grupo israelí NSO Group, pero no estaba confirmada. Y aunque la empresa sigue sin desvelar detalles sobre sus clientes, una investigación de medios como The Guardian, The Washington Post y organizaciones como Amnistía Internacional y Forbidden Stories ha desvelado lo que de verdad hay detrás.

Hablamos de una investigación que ha desvelado que NSO Group tiene 50.000 objetivos potenciales en un listado que recoge periodistas, políticos, activistas y opositores a regímenes políticos autoritarios. Y no es tema menor. Todo apunta a que con Pegasus se hackeó el teléfono de Jeff Bezos, CEO de Amazon, relacionado con el asesinato de Jamal Khashoggi en la embajada saudí, y con él se perpetró el ataque a WhatsApp en 2019.

Amnistía Internacional y la organización de periodistas de investigación Forbidden Stories, junto con medios como The Guardian o The Washington Post, han puesto cifras al spyware conocido como Pegasus: alrededor de 50.000 objetivos potenciales en un listado que recoge periodistas, políticos, activistas y opositores a regímenes políticos autoritarios.

La cifra se ha desvelado tras haber tenido acceso a una gran base de datos con miles de números de teléfono de todo el mundo señalados por los clientes NSO Group, la responsable del sistema, para ser espiados. Y no son clientes cualquiera, naturalmente, sino generalmente agencias de seguridad nacionales y Gobiernos.

A todos en algún momento nos hace cierta gracia la cantidad de problemas que suelen dar las impresoras, unos dispositivos tan temperamentales que son famosos en hogares y empresas por a veces hacer lo que les da la gana. Pero, los problemas relacionados con impresoras que están lloviendo en 2021, son bastante más peligrosos.

La más reciente es una vulnerabilidad que tiene nada más y nada menos que 16 años, y que acaba de ser descubierta por SentinelOne. Este fallo afecta a los controladores de impresoras HP, Xerox y Samsung, y permite a un atacante obtener privilegios de administrador en los sistemas que estén usando el software vulnerable.

El investigador de seguridad Jonas Lykkegaard ha descubierto una nueva vulnerabilidad que afecta a Windows 10 y Windows 11. Se trata de un problema que permite que los archivos del Registro y sus bases de datos sean accesibles al grupo "Usuarios" que tiene no tiene privilegios elevados en un dispositivo.

Esto quiere decir que un usuario regular, sin privilegios de Administrador, puede acceder a archivos que contienen información sensible de todas las cuentas del dispositivo. Esto es especialmente problemático en el caso de los archivos del registro asociados con el Administrador de cuentas de seguridad (SAM), la base de datos que almacena las contraseñas de los usuarios cifradas.

Decidí desempolvar mi “vieja” Proxmark3 y el Chameleon que llevaba sin usar apenas casi dos años desde la última charla que dimos mi amigo Javier Botella y yo en la H-c0n de Hackplayers a principios del 2020. Vi que habían salido versiones nuevas tanto del software como del firmware de ambos aparatos. No quería quedarme obsoleto (Jurassic Park music incoming) y decidí “liarme la manta a la cabeza” para actualizarlo todo y así poder ponerme a trastear de nuevo un poco con estos juguetes tan chulos y retomar las investigaciones.

Los servicios ferroviarios en Irán sufrieron retrasos debido a aparentes ciberataques el viernes, y los hackers publicaron el número de teléfono del líder supremo del país como número al que llamar para obtener información, informaron los medios de comunicación afiliados al Estado.

Los trenes se retrasaron o se cancelaron, ya que las taquillas, el sitio web de los ferrocarriles nacionales y los servicios de carga se vieron interrumpidos, con un “caos sin precedentes en las estaciones de tren de todo el país”, informó la emisora estatal IRIB.

Ayer te contábamos que Microsoft había lanzado una actualización de seguridad con el objetivo de parchear la vulnerabilidad PrintNightmare en (casi) todas las versiones modernas de Windows.

En ese mismo artículo te explicamos, también, que dicho parche era en realidad incompleto, pues horas después de su lanzamiento se descubrió que sólo impedía la ejecución de código remoto, pero no la escalada de privilegios a nivel local.

Pues bien, un día más tarde ha quedado en evidencia que el parche de Microsoft era más que incompleto: varios investigadores de ciberseguridad han descubierto que diversos exploits pueden sortear por completo el parche, llevando a cabo tanto ataques LPE (de escalada de privilegios local) como RCE (ejecución de código remoto).

Aunque hasta la semana que viene Microsoft no tenía planeado lanzar sus parches de seguridad, la gravedad de la vulnerabilidad PrintNightmare le ha obligado a lanzar un parche fuera de ciclo. Este fallo, registrado como CVE-2021-34527, permite a un atacante ejecutar código con permisos SYSTEM dentro de cualquier sistema afectado a través de los servicios de la impresora. Además de ser muy grave, este fallo cuenta con exploits públicos circulando por la red, y está siendo explotado por piratas informáticos. Por ello, es vital que, para no estar en peligro, actualicemos cuanto antes nuestro ordenador para acabar con este fallo… más o menos.

Aunque Microsoft se ha apresurado para lanzar cuanto antes este parche para proteger a sus usuarios, el parche está incompleto. Se trata de una solución parcial que impide que la vulnerabilidad se pueda explotar de forma remota, pero sigue abierta para ganar privilegios SYSTEM localmente. Sea como sea, debemos instalar la actualización cuanto antes para evitar que nuestro PC esté en peligro a raíz de este fallo.

Como cualquier sistema operativo, proteger nuestro usuario de una distro Linux, como Ubuntu, es esencial. Usar una buena contraseña nos ayuda a evitar que usuarios no autorizados puedan acceder a nuestros datos. Y, además, estaremos protegidos frente a distintos ataques que se puedan llevar a cabo para intentar iniciar sesión, como los de fuerza bruta. Sin embargo, introducir una y otra vez una contraseña larga y compleja puede llegar a ser molesto y contraproducente. Y es la razón por la que muchos deciden dejar la segunda en segundo plano y usar claves cortas y fáciles.

Cuando instalamos Ubuntu, o cualquier distro con escritorio GNOME, el asistente de instalación nos pide un usuario y una contraseña. Y también nos da la opción de elegir si queremos que se inicie sesión automáticamente con ese usuario (algo no recomendable) o si queremos que, para entrar al perfil, haya que introducir la contraseña. Este es el método de inicio de sesión predeterminado de la mayoría de las distros Linux, pero no el único.

Si queremos llevar nuestra seguridad a un nuevo nivel, proteger nuestra cuenta de la mejor forma posible y usar una contraseña segura sin tener que introducirla una y otra vez, podemos optar por un método de autenticación diferente: la huella dactilar.

Eddy Willems, un trabajador de una compañía de seguros de Bélgica, es una de las primeras víctimas de ransomware en la historia de la informática. En 1989 su jefe le pidió que comprobara qué había en un disquete que había recibido de la OMS. Se esperaba una investigación médica sobre el SIDA, se encontró con un hackeo que le pedía 189 dólares.

Cuando Eddy Williems insertó el disquete en su ordenador no se cargó la investigación médica de una reciente conferencia, sino más bien el que se conoce como el primer ransomware del mundo. Tres décadas atrás, el ransomware era mucho más simple e ingenuo que hoy en día.

Kaseya es una empresa que ofrece software de servicios de IT en remoto, y ha sufrido un ciberataque con ransomware como muchas otras últimamente. Sin embargo, dada su naturaleza conectada a miles y miles de empresas, a las que ofrece sus servicios, el ataque ransomware ha afectado a muchos de sus clientes.

Se trata, pues, de uno de los mayores ataques de este tipo que se recuerdan. Los atacantes no han tenido que atacar una por una a las empresas a las que Kaseya brinda servicio, sino solamente atacar las vulnerabilidades de su servicio, que resulta crítico allí donde funciona, pues a través de él se gestionan y actualizan flotas de cientos de equipos.

Kaseya afirmó que menos de 40 de sus clientes habían sido afectados, pero eso podría suponer una cadena mucho más grande, porque esos 40 a su vez tienen muchos más clientes. No hay confirmación oficial de quién ha perpetrado el ciberataque, pero el grupo de hackers REvil es el que está pidiendo rescates a los afectados y es quien reclama la autoría. Tiene sentido que sean ellos, tras hacer lo propio con Acer y pedir 50 millones de dólares.

A estas alturas ya sabréis que Microsoft confirmó oficialmente que la vulnerabilidad CVE-2021-34527 de ejecución remota de código (RCE) aka "PrintNightmare" que afecta al servicio Windows Print Spooler es diferente del problema que la compañía abordó como parte de su actualización del Patch Tuesday, al tiempo que se advirtió que se estaba ejecutando in-the-wild.

Su criticidad (posibilidad de ejecutar código como SYSTEM) y la aparición de exploits funcionales hacen vital tomar las contramedidas urgentemente que, básicamente, consisten en deshabilitar el servicio de impresión. Aunque por el momento son workarounds hasta la aparición del parche oficial, evitarán que inexorablemente cualquier usuario malintencionado o atacante se convierta en administrador de dominio fácilmente.

La semana pasada, Windows se veía afectado por un nuevo fallo de seguridad: PrintNightmare. Este fallo, registrado como CVE-2021-34527, permite a un atacante ejecutar código remoto en cualquier PC con permisos de SYSTEM, un fallo del que están circulando varios exploits a través de Internet y para el que, además, por ahora no tiene solución. Hasta la semana que viene Microsoft no lanzará su parche oficial para tapar la vulnerabilidad en sus equipos. Sin embargo, si no queremos correr riesgos innecesarios hasta entonces, hay varias formas de mitigar este problema.

Antes de nada debemos indicar que esta vulnerabilidad afecta principalmente a equipos Windows Server y a otras versiones de Windows unidas a un dominio. Sin embargo, si se han hecho cambios en la configuración por defecto de Windows 10 también puede poner en peligro el sistema.

A la hora de conectarnos a Internet, de poder utilizar nuestros equipos en la red, es necesario que haya una serie de protocolos. Cada uno de ellos tiene su función y pueden ayudarnos a mantener la seguridad, establecer las comunicaciones, admitir dispositivos… En este artículo vamos a hablar del protocolo de autenticación 802.1X. Vamos a mostrar qué es, para qué sirve y también explicaremos los pasos para poder activarlo en el sistema operativo Windows 10.

Microsoft ha publicado una advertencia sobre un nuevo bug zero day que afecta a todas las versiones de Windows. Aunque no se le ha asignado todavía una calificación, se trata de una vulnerabilidad de ejecución remota de código, lo que probablemente la ponga en el nivel más crítico.

La vulnerabilidad CVE-2021-34527, que está siendo investigada, afecta al Servicio de Cola de impresión de Windows (Windows Print Spooler) y permite a un atacante ejecutar código de forma remota en el sistema con privilegios elevados.