10 oct. 2019

The Cyberthreat Handbook: libro gratuito con 60 grupos y 490 APT analizados

Hoy en día, para cualquier analista de ciberinteligencia y threat hunter, es indispensable tener identificados y perfilados el máximo número posible de threat actors. Recientemente Thales y Verint han publicado un handbook muy completo que contiene descripciones detalladas de las actividades de unos sesenta grupos particularmente significativos. En él se analizan sus tácticas y técnicas (TTPs mapeadas con el framework ATT&CK de MITRE), sus motivos y los sectores seleccionados a partir del análisis de múltiples fuentes de inteligencia.
Los analistas del informe han definido cuatro categorías principales de atacantes en función de sus motivos y objetivos finales. De aproximadamente sesenta grupos de atacantes analizados, el 49% son grupos patrocinados por estados, a menudo con el objetivo de robar datos sensibles de objetivos de interés geopolítico. El 26% son hacktivistas motivados ideológicamente, seguidos de cerca por los cibercriminales (20%) que están impulsados por ganancias financieras. En cuarto lugar, ciberterroristas representan el 5% de los grupos analizados.
Todos los poderes económicos, políticos y militares principales del mundo son los objetivos prioritarios de los ciberatacantes. Los 12 países del mundo con el PIB más alto se encuentran en la parte superior de la lista de objetivos, encabezados por Estados Unidos, Rusia, la Unión Europea (particularmente el Reino Unido, Francia y Alemania) y China, seguidos por India, Corea del Sur y Japón.

Los sectores más afectados por estos ataques principales son los estados y sus capacidades de defensa, seguidos por el sector financiero, la energía y el transporte. Los ataques a medios de comunicación y el sector de la salud están aumentando rápidamente.

Por último, pero no menos importante, un número creciente de grupos de atacantes ahora se están centrando en las vulnerabilidades en la cadena de suministro, y en particular en socios más pequeños, suministradores y proveedores de servicios que utilizan por ejemplo troyanos para acceder a objetivos importantes.

FIN7

Es un grupo con motivación financiera que está activo desde al menos 2013, que se dirige principalmente a los sectores minorista, hotelero y de restaurantes, principalmente en Estados Unidos. Hay suposiciones de que este es el mismo grupo que Carbanak, pero parece que estos son dos grupos separados que utilizan herramientas similares y, por lo tanto, actualmente se realiza un seguimiento por separado. Su objetivo principal es robar activos financieros de empresas, como tarjetas de débito, u obtener acceso a datos financieros o computadoras de empleados del departamento de finanzas para realizar transferencias electrónicas a cuentas en el extranjero. A menudo, el grupo utiliza el phishing como su principal vector de ataque, incluidas las campañas de phishing con lanza personalizadas o dirigidas. Además, el grupo utilizó una compañía de fachada llamada "Seguridad Combi", supuestamente con sede en Rusia e Israel, para proporcionar una apariencia de legitimidad y reclutar hackers para unirse a la empresa criminal.

Anonymous Italia

Es uno de los grupos hacktivistas más antiguos que aparecen en el panorama italiano de ciberamenazas, en 2012. El grupo se caracteriza por una ideología anarquista, con un fuerte sentido de la justicia social y los problemas medioambientales. Esta impronta altamente ideológica se traduce en una clara aversión hacia las instituciones políticas italianas y las fuerzas de seguridad. En este contexto, identificamos patrones recurrentes en la selección de objetivos de los hacktivistas. De hecho, la policía, los partidos políticos y las instituciones gubernamentales siempre han estado entre sus objetivos preferidos. Cabe destacar que muchos ataques aparentemente se llevaron a cabo en cooperación con otros dos grupos hacktivistas italianos, LulzSec ITA y AntiSecurity ITA, caracterizados por una ideología similar.

A lo largo de su larga actividad, el grupo ejecutó cientos de filtraciones de datos, desfiguraciones y ataques DDoS. Cabe destacar el ataque de 2015 contra el Ministerio de Defensa (con miles de registros filtrados), que también condujo al arresto de dos miembros prominentes del colectivo, que usaron los alias Aken y Otherwise. Curiosamente, este último contribuyó al desarrollo de un portal "serverless" para coordinar las operaciones del grupo, llamado Osiris, demostrando capacidades técnicas significativas. Cabe destacar que el grupo también participa activamente en la promoción de operaciones del mundo real, como #OpGreenRights, #OpPaperStorm y Million Mask March.

Turla

Alias Uroburos, Waterbug u Venomous Bear, activo desde al menos 2008, cuando comprometió al Departamento de Defensa de Estados Unidos. Es un grupo de habla rusa y se cree ampliamente que es una organización patrocinada por el estado ruso. En 2015, Kaspersky describió a este Grupo como uno de los "grupos APT de élite" que han estado utilizando y abusando de los enlaces satelitales para administrar sus operaciones, con mayor frecuencia, su infraestructura de C&C". Durante 2018 y 2019, Turla continúa apuntando a gobiernos y organizaciones internacionales en múltiples oleadas de ataques y continúa mejorando sus herramientas. El ataque más reciente apuntó a un grupo iraní APT llamado OilRig. El ataque de Turla a uno de los grupos más exitosos de Irán combina el oportunismo y los intereses internacionales. Cabe recordar que desde 2014 y la anexión de Crimea, las presiones occidentales y la caída del precio del petróleo han sumido a Rusia en una recesión.

Lazarus

No es un solo grupo de amenazas. Representa la Oficina 121, que es una de las ocho Oficinas asociadas a la Reconnaissance General Bureau de Corea del Norte. La Oficina 121 es la oficina principal encargada de las operaciones. Fue reorganizado en septiembre de 2016 y ahora está compuesto por:
  • Laboratorio 110: es la unidad clave bajo RGB; aplica técnicas de ciberataque para realizar operaciones de inteligencia.
  • Oficina 98: principalmente recopila información sobre desertores norcoreanos, organizaciones que los apoyan, institutos de investigación en el extranjero relacionados con Corea del Norte y profesores universitarios en Corea del Sur.
  • Oficina 414: Recopila información sobre agencias gubernamentales, agencias públicas y empresas privadas en el extranjero.
  • Office 35: Office se concentró en desarrollar malware, investigar y analizar vulnerabilidades, exploits y herramientas de hacking.
  • Unidad 180: Unidad especializada en realizar operaciones para robar dinero extranjero fuera de Corea del Norte.
  • Unidad 91: se centra en las misiones de ataque dirigidas a redes aisladas, en particular en la infraestructura nacional crítica de Corea del Sur
El informe se puede descargar desde aquí (previo registro / Mirror) .
Fuente: HackPlayers

9 oct. 2019

Ransomware Muhstik: hackean a los autores y recuperan las claves de descifrado

El programador alemán Tobias Frömel (alias "battleck") ha "hackeado en respuesta" a los autores del software de rescate (ransomware) Muhstik que le obligaron a pagar 0.09 Bitcoin para recuperar el acceso a sus archivos.

En una entrada en el foro Bleeping Computer el 7 de octubre, Frömel reveló que había hackeado la base de datos de los atacantes, compartiendo casi 3.000 claves de descifrado y un descifrador gratuito con otras víctimas.

Una venganza ilegal pero dulce

Bleeping Computer informó anteriormente que los dispositivos QNAP NAS expuestos públicamente han sido atacados por el ransomware apodado Muhstik. Los atacantes extorsionaron a las víctimas con una "tarifa" fija de 0.09 Bitcoin —alrededor de 740 dólares al cierre de esta edición— para recuperar el acceso a sus datos mediante claves de descifrado.
Tras haber pagado él mismo 670 euros a los autores del crimen Muhstik, Frömel hackeó en respuesta su servidor de mando y control. Frömel le dijo a Bleeping Computer que había logrado recuperar las ID de hardware (HWID) y las claves de descifrado únicas almacenadas en la base de datos de los atacantes para las 2.858 víctimas de Muhstik.

Desde entonces, las víctimas han confirmado en el foro de soporte y ayuda de Muhstik de BleepingComputer que las HWID son precisas y que el descifrador funciona.

Habiendo tenido éxito en su tarea, Frömel admitió que su acción era ilegal, pero argumentó que era bien intencionada. También proporcionó una dirección del monedero de Bitcoin para que las otras víctimas le dieran propina por su trabajo.

Desde el trabajo de Frömel, la empresa de antivirus Emsisoft ha lanzado un software de descifrado para las víctimas que utilizan dispositivos QNAP basados en ARM, que según se informa no fueron soportados en el lanzamiento de Frömel.

Fuente: CoinTelegraph

Actualizaciones de Microsoft octubre 2019

Ya están aquí las actualizaciones de cada mes y se puede decir que es bastante light. Ante todo y como recordatorio, Windows 7 y Windows Server 2008 R2 estarán fuera de soporte extendido y ya no recibirán actualizaciones a partir del 14 de enero de 2020.

Este mes, de nuevo, parece que el protocolo RDP está en el punto de mira. Si bien esta vez no lo ha resuelto la propia Microsoft, se ha corregido preventivamente un problema grave de seguridad. Otros fallos graves están, como de costumbre, en el motor VBScript y Chakra. La buena noticia es que ninguna de las vulnerabilidades ha sido revelada con anterioridad ni se ha encontrado en forma de 0-Day (aprovechada por atacantes).

Como curiosidad, se ha corregido CVE-2019-1319, una elevación de privilegios acreditada a Polar Bear, la investigadora que durante los últimos meses, se ha dedicado a divulgar pruebas de concepto sin previo aviso que permitían elevar privilegios en Windows. Parece que esta vulnerabilidad no quedó corregida del todo en mayo de 2019.

Como siempre, otras compañias sincronizan sus actualizaciones con estos de Microsoft
Fuente: Microsoft | ZDNet

8 oct. 2019

Exploit 0-Day con RCE trivial para Joomla!

Se ha encontrado una nueva vulnerabilidad 0-Day en Joomla!. La misma fue descubierta por el investigador italiano Alessandro Groppo de Hacktive Security y afecta a todas las versiones de Joomla! que se encuentran entre la 3.0.0 y la 3.4.6 es decir, las lanzadas entre septiembre de 2012 y diciembre de 2015.

Para otro tipo de productos hablaríamos de una vulnerabilidad antigua, pero no en el caso de Joomla!, un CMS que muchos administradores web son reacios a actualizar por diversos motivos: los contenidos no se actualizan con tanta frecuencia como en un CMS como WordPress y son notorias las incompatibilidades que presentan muchos plugins y temas cada vez que este CMS se actualiza a una nueva versión.

Explotar esta nueva vulnerabilidad resulta bastante sencillo, casi trivial y ya está siendo utilizada in-the-wild: basta una inyección de código PHP en la misma página login de la aplicación, para que un atacante pueda ejecutar a continuación código de forma remota en el servidor.
Esta vulnerabilidad recuerda a la conocida CVE-2015-8562 un conocido exploit descubierto en 2015 y que aún causa serios problemas en cientos de webs de todo el mundo. La principal diferencia es que en este caso el número potencial de páginas afectadas sería inferior ya que mientras que esta afecta solo a las versiones comprendidas en la rama 3.x, la anterior incluía desde las 1.5x hasta las 3.x.
Pese a ello en este caso el impacto sería mayor, ya que a diferencia de la anterior, la vulnerabilidad es independiente a la versión de PHP que utilice el servidor. La buena noticia es que la vulnerabilidad ya ha sido parcheada pero eso sí, todos los administradores de estos sites deberían actualizar su CMS a cualquier versión de Joomla! 3.4.7 o posterior (la versión actual es la 3.9.12).

Fuente: ZDNet

¿DoH por defecto? ¿Elegir entre privacidad y seguridad?

Un grupo de expertos de seguridad que pertenecen a diferentes empresas han indicado que DNS-over-HTTPS realmente no resuelve los problemas de privacidad, o al menos parte de ellos, como se esperaba. Informan además que pueden causar más problemas que soluciones. Han criticado este método y no lo ven como viable realmente para preservar la privacidad.

Como solución proponen que se debería cifrar el tráfico DNS a través de TLS en lugar de HTTPS.

DNS es uno de los protocolos más antiguos de la red, y siempre ha sido un dolor de cabeza de de la seguridad (desde el ataque cumpleaños, hasta el problema de Kaminsky). Todo en claro, con posibilidad de UDP (más fácil aún de inyectar paquetes falsos…). Un desastre incluso sin necesidad de ataques, porque los servidores pueden estar controlados por gobiernos y así redirigir o bloquear peticiones, y todo de forma absolutamente transparente y sin privacidad ni integridad (porque DNSSEC no está tan instaurado como debería).

Hemos confiado los cimientos de Internet a un protocolo que no ha sabido protegerse tecnológicamente como para que se adoptaran masivamente las soluciones (o no se ha querido, precisamente por esa misma razón) y al que se le han aplicado todo tipo de parches y cataplasmas para no romper con el legado.

Tanto, que al final la propuesta para conseguir seguridad ha sido rompedora: pasar la resolución al plano de los datos. Y por si fuera poco, DoH hace que la resolución no confíe en el DNS global del sistema, sino que podrá ignorar a ese servidor DNS que habitualmente se te proporciona por DHCP… de forma que cada aplicación podrá resolver a través de HTTPS de forma estándar. Esto es como si cada programa (navegador como estandarte) realizara sus resoluciones de dominio de forma individual, privada e inaccesible para el resto del sistema operativo o aplicaciones.

Paul Vixie (uno de los padres del DNS) está radicalmente en contra, y promueve el uso de DNS sobre TLS en vez de sobre HTTPS. Una de las razones que argumenta es que (a pesar de sonar aguafiestas) se ha permitido finalmente abrir una especie de caja de Pandora, los analistas perderán control sobre la red, la capacidad de monitorizar, se confunden protocolos de señalización y datos… Pero tampoco lo dice Vixie solamente, sino que muchas voces siguen pensando que es un error. Tanto, que la asociación de ISP en UK nombraron a Mozilla "villano del año". Finalmente en ese país no se activará pero ya lo están haciendo selectivamente en USA y el plan es que sea el comportamiento por defecto.

Continuar leyendo en fuente original Blog Think Big

Buggy: campaña de malware que afecta a sitios WordPress

Una gran cantidad de los sitios están en WordPress y esto significa que cuando hay una vulnerabilidad o fallo puede afectar a una gran cantidad de usuarios.

Securi ha descubierto una nueva campaña de malware que se basa en atacar vulnerabilidades existentes. Explotan esos fallos de seguridad que son detectados en complementos y temas de WordPress. Muchos tipos de ataques que se basan en vulnerabilidades existentes y de ahí la importancia de tener siempre los sistemas, dispositivos y en este caso nuestra versión de WordPress y los diferentes complementos, actualizados.

Lo que hace que esta campaña de malware denominado Buggy sea más fuerte de lo normal es que ataca fallos que acaban de ser descubiertos. Es decir, muchos usuarios aún no habrán actualizado porque es posible que ni siquiera haya parches para corregir el problema.
Los atacantes además están cambiando los nuevos dominios frecuentemente. De esta forma evitan ser detectados y pueden ocultar el script malicioso. Se basan principalmente en la infección de código para implementar el script malicioso en los sitios de las víctimas.

Los investigadores aseguran que los atacantes utilizan métodos para ocultar el malware mucho más sofisticados. Esto hace que sea más complicado de detectar. Utiliza nombres de variables aleatorias y comentarios dentro de la matriz de códigos de caracteres.

Otro método de ofuscación descubierto utilizan un script de inyección que ejecuta un código de explotación XSS para los usuarios que intentan cambiar la URL del sitio y las opciones de inicio.

Pero no son los únicos métodos utilizados, como indican los investigadores de seguridad. Los atacantes utilizaron también otras técnicas para lograr ocultarse y llevar a cabo esta nueva campaña que afecta a sitios de WordPress.

El consejo es siempre mantener los complementos y temas actualizados a las últimas versiones, así como el propio WordPress.

Fuente: Sucuri

7 oct. 2019

Calculadora de Ciberriesgo

Hiscox, aseguradora especializada en seguros para empresas y profesionales, ha lanzado la nueva e innovadora calculadora de ciberriesgo, diseñada para ayudar a las empresas a estimar el impacto financiero al que podrían enfrentarse si fueran víctimas de un incidente ciber. La herramienta está pensada para que diferentes perfiles profesionales, como propietarios de pequeñas y medianas empresas, directores de riesgo, mediadores de seguros, o directivos de medianas y grandes empresas, calculen sus posibles pérdidas.

El usuario deberá entrar y seleccionar su perfil, región, sector de actividad y rango de ingresos anuales aproximados de la compañía. Tras completar cada uno de los campos, la calculadora genera un informe de exposición cibernética que podrá ser descargado y compartido. El análisis ofrece resultados sobre diferentes variables como el valor de los datos que posee y gestiona la compañía, los tipos de incidentes cibernéticos potenciales o, el perfil del atacante más habitual para su tipo de negocio y tamaño. El objetivo es que el informe sirva de análisis para las empresas sobre cómo administrar y mitigar el riesgo cibernético.

La calculadora muestra que las pérdidas resultantes del delito cibernético pueden variar ampliamente según la región, actividad e ingresos: desde un coste potencial estimado máximo de más de 840 millones de euros para una gran empresa de asistencia médica en el mercado estadounidense, a casi 4,5 millones de euros para un negocio del sector transporte de tamaño medio en Reino Unido, o 134.000 euros para una pequeña empresa manufacturera de un país de la UE.

El estudio ofrece una estimación de la pérdida financiera máxima que una organización como la analizada (es decir, de la misma industria, región e ingresos) podría sufrir en caso de incidente ciber durante el próximo año con un grado de confianza del 95%.
Además, la calculadora genera un desglose de la exposición cibernética a partir del análisis de cuatro posibles consecuencias derivadas de un siniestro cibernético: pérdidas financieras, interrupción de negocio, exposición de información personal, y gastos asociados al robo de recursos que aportan valor a una organización y no son de naturaleza física, como por ejemplo; licencias, derechos de autor, patentes, marcas registradas, etc.

Fuente: Revista Cloud Computing

Análisis de Aplicaciones Android y iOS con Frida

Frida es un framework que permite inyectar JavaScript para explorar aplicaciones nativas en Windows, MacOS, Linux, iOS, Android y QNX.

Frida es un scripts de Greasemonkey para aplicaciones nativas o, en términos más técnicos, es un kit de herramientas de instrumentación de código dinámico. Permite inyectar fragmentos de JavaScript o biblioteca propias en aplicaciones nativas en Windows, macOS, Linux, iOS, Android y QNX. Frida también le proporciona algunas herramientas simples creadas sobre la API de Frida. Se pueden usar tal cual, ajustarse a sus necesidades o servir como ejemplos de cómo usar la API.

Tiene las siguientes características:
  • Programable: inyectar scripts propios en los procesos y permite espiar las API de cifrado y rastrear el código de aplicaciones privadas, sin acceder el código fuente original.
  • Portable: funciona en Windows, macOS, GNU/Linux, iOS, Android y QNX. Se puede instalar a través de npm, utilizarlo con PyPI o a través de Swift, con .NET, o a través de Qt/Qml bindings, C API y a través de herramientas como Lazydroid
  • Gratis: Frida es software libre y busca lograr interoperabilidad a través de la ingeniería inversa.
  • Documentado: la documentación es muy extensa y permite su uso en cualquier plataforma.
Comenzar con Frida es tan sencillo como...
pip install frida-tools
Adicionalmente, aquí se puede ver una presentación completa (mirror) de su uso en aplicaciones móviles.

Fuente: Frida

6 oct. 2019

Vulnerabilidad 0-Day y exploit brinda control total sobre Android

La existencia de una vulnerabilidad ZeroDay daría control total sobre al menos 18 modelos diferentes de teléfonos que usan el sistema operativo Android de Google, incluyéndose entre estos cuatro modelos Pixel, según informaba un investigador de Project Zero de Google el jueves por la noche.

La investigadora Maddie Stone de Project Zero publicó que se han encontrado pruebas de que la vulnerabilidad (CVE-2019-2215) está siendo explotada de manera activa, ya sea mediante el desarrollador de exploits NSO Group o uno de sus clientes. Los exploits requieren poca o ninguna personalización para poder hacerse con el control total de los teléfonos vulnerables. La vulnerabilidad sobre la que aquí hablamos se puede explotar de dos maneras distintas:
  • Cuando la víctima instala una aplicación de una fuente poco confiable.
  • Mediante ataques en línea, combinando el primer exploit con un segundo exploit teniendo como objetivo una vulnerabilidad en el código que el navegador Chrome utiliza para mostrar el contenido.
"El bug se trata de una vulnerabilidad consistente en la escalada de privilegios en local, la cual permite comprometer totalmente el dispositivo vulnerable”, escribía Stone. “Si el exploit se lanza vía web, solo necesita ser emparejado con un exploit de visualización, ya que esta vulnerabilidad es accesible a través de sandbox".

Una lista "no exhaustiva" de teléfonos vulnerables son:
  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • Samsung S7
  • Samsung S8
  • Samsung S9
Un miembro del equipo Android de Google comunicaba en el mismo hilo de Project Zero que la vulnerabilidad sería parcheada – en dispositivos Pixel – en la actualización de seguridad de Android de octubre, la cual parece que estará disponible en los próximos días. Sin embargo, no está claro para cuándo estarán listas las actualizaciones para el resto de dispositivos. Los modelos Pixel 3 y Pixel 3a no se ven afectados por esta vulnerabilidad.

"Este problema está catalogado como de alto riesgo según Android, y requiere de la instalación de aplicaciones maliciosas para que se lleve a cabo la explotación", escribía Tim Willis, otro miembro de Project Zero, citando a miembros del equipo de Android. "Cualquier otro vector, como los navegadores web, necesita ser ejecutado con un exploit adicional".

Los representantes de Google escribieron en un email: "Los modelos Pixel 3 y 3a no son vulnerables, y los modelos Pixel 1 y 2 quedarán protegidos con la actualización de seguridad que se lanzará en octubre en los próximos días. Además, se ha publicado un parche para otros dispositivos para asegurarnos de que el ecosistema Android queda protegido contra esta vulnerabilidad".

Ya en 2018 se solucionó la vulnerabilidad existente en el kernel de Linux mediante el lanzamiento de la versión 4.14, aunque sin el beneficio de la asignación de un CVE. Dicha solución se incorporó también en las versiones versions 3.18, 4.4, y 4.9 del kernel de Android. Por razones que no fueron explicadas en la publicación, los parches no fueron incluidos en las actualizaciones de seguridad de Android. Eso explicaría por qué los modelos Pixel son vulnerables mientras que versiones posteriores no lo son. La vulnerabilidad ahora ha sido identificada con el código CVE-2019-2215.

Stone dijo que la información que recibió del Grupo de Análisis de Amenazas de Google apuntaba a que el exploit "presuntamente estaba siendo utilizado o vendido por NSO Group", un desarrollador de exploits que los vende a entidades gubernamentales. Constituida en Israel, NSO se hizo con la atención del público tras el descubrimiento y desarrollo en 2016 y 2017 de un spyware avanzado para móviles llamado Pegasus. Este spyware gana privilegios root tanto en dispositivos iOS como Android para rastrear mensajes privados, activar el micrófono y la cámara, y recolectar cualquier tipo de información sensible. Investigadores del Citizen Lab de la Universidad de Toronto comunicaron que la versión de Pegasus que afectaba a iOS tenía como objetivo disidentes políticos de los Emiratos Árabes.

A principios de este año, Citizen Lab descubrió pruebas de que NSO desarrolló un exploit avanzado que afectaba a la aplicación de mensajería instantánea WhatsApp, el cual también instalaba spyware en teléfonos vulnerables, sin necesitar que el usuario realizara ningún tipo de acción. También se relacionó con NSO una operación encubierta que tenía como objetivo a Citizen Lab.

"Como cliente de NSO, me preocuparía que la notoriedad que ha alcanzado NSO conlleve un fuerte escrutinio de equipos e investigadores de seguridad que pudiese acabar afectando a mis operaciones de espionaje más sensibles", comunicaba a Ars John Scott-Railton, un investigador senior de Citizen Lab.

Los representantes de NSO no respondieron de manera inmediata a un correo en el que se les pedía que hicieran algún tipo de comentario al respecto.

Project Zero da a los desarrolladores 90 días para resolver las vulnerabilidades antes de publicar informes sobre la misma excepto en los casos en los que existan exploits activos. La vulnerabilidad de Android fue publicada siete días después de que se reportase de manera privada al equipo de Android.

Mientras que la vulnerabilidad reportada el jueves es seria, no se pretende crear una alarma excesiva entre los usuarios de Android. Las posibilidades de que se produzca la explotación de una vulnerabilidad tan cara y específica como lo es la descrita por Project Zero son extremadamente bajas. No obstante, se recomienda no instalar aplicaciones que no sean esenciales y utilizar un navegador distinto a Chrome hasta que se instale el parche.

Fuenet: Hispasec | Google

5 oct. 2019

Actualización crítica de Windows 10 para las impresoras y .NET

Hace un par de semanas Microsoft publicó un parche que arreglaba ciertos problemas con dispositivos Bluetooth, pero trajo otros consigo. En concreto nos referimos a la actualización acumulativa KB4517211 que provocó que algunas impresoras no funcionasen como hasta ese momento.

Esa actualización de seguridad fuera de banda con fecha del 23 de septiembre de 2019 incluye la mitigación de la vulnerabilidad de seguridad del motor de secuencias de comandos de Internet Explorer (CVE-2019-1367) y corrige un problema de impresión.

Ahora, acaban de publicar la primera actualización acumulativa para Windows 10 versión 1903 de este mes de octubre, la KB4524147. Esta actualización se lanza para corregir algunos fallos conocidos en el sistema operativo e incluye la mitigación de otra vulnerabilidad de seguridad para el motor de Internet Explorer y soluciona algunos problemas de instalación de .NET framework 3.5.

Como se comunicó hace solo unos días, un reciente parche enviado hacía que el servicio de impresión tuviese problemas para completar un trabajo de impresión en algunos equipos. Esto se produce de forma intermitente y puede provocar que el trabajo de impresión se cancele o falle. De este modo, la nueva acumulativa lanzada hace solo unas horas, corrige este fallo que os comentamos y aumenta la versión de Windows 10 a la 18362.388.

Por otro lado, también se han solucionado los recientes fallos detectados en algunos sistemas al intentar instalar .NET Framework 3.5. En concreto esto provocaba que, durante la instalación. de.NET 3.5, se mostrase un mensaje de error advirtiendo de que los cambios no han podido ser completados, acompañado del código de error 0x800f0950.

Al mismo tiempo, tal y como ahora publica la misma Microsoft, estos son errores que finalmente han sido solventados con la última actualización, la KB4524147. Asimismo el gigante del software advierte de que esta actualización no sustituye a la del Patch Tuesday mensual de octubre de 2019. Por tanto como sucede cada mes, la firma de Redmond enviará a sus usuarios una nueva actualización el próximo martes 8.

Fuente: Microsoft