3 ago. 2020

CWT pagó U$S4,5 millones por un ransomware y la negociación se publicó

El ransomware Ragnar Locker parece tener una eficacia casi quirúrgica. Para recuperar el control de la información y volver a la normalidad la víctima se ve obligada a pagar un "rescate" en una criptomoneda con el propósito de que la transacción no pueda ser rastreada.

Esto es, precisamente, lo que ha sucedido hace solo unos días a CWT, una compañía estadounidense de gestión de viajes de negocios y eventos que ha sido puesta en jaque por uno o varios delincuentes informáticos que han conseguido infectar con el ransomware Ragnar Locker su red. Conocemos cuánto pedían inicialmente los delincuentes, cómo ha sido la negociación y cuánto dinero en bitcoines ha pagado finalmente CWT, pero lo más sorprendente es que toda su conversación ha quedado registrada en un chat que finalmente ha sido exhibido en Twitter. Regateo incluido. Y no tiene desperdicio.

La sorprendente negociación, paso a paso

Desafortunadamente todos los días se producen miles de ataques informáticos a las redes de las grandes corporaciones, y también a los ordenadores de los usuarios de a pie. Que una gran compañía se vea afectada por estas prácticas y decida pagar a los delincuentes responsables para recuperar el control de su información no es noticia, pero que toda la negociación y el consiguiente regateo hayan sido expuestos públicamente, sí lo es.
La extorsión a la que se ha visto sometida CWT está actualmente en manos de las autoridades, pero es difícil que finalmente los investigadores den con los responsables porque los delincuentes que son capaces de atentar con esta eficacia contra una gran empresa, que posiblemente tendrá unas medidas de protección avanzadas, raramente dejan cabos sueltos. Y el rastreo del pago en bitcoines es prácticamente imposible de llevar a cabo. Más allá de todo esto lo impactante es que toda la negociación entre el representante de CWT y los delincuentes responsables ha discurrido con una naturalidad insultante. Casi, incluso, con cordialidad.

Fuente: Reuters

Principales vulnerabilidades en Active Directory (Top 16)

Todos estamos de acuerdo que asegurar un entorno de Active Directory no es una tarea fácil, siempre hay nuevos requisitos, características, pequeños (o grandes) descuidos en su configuración y nuevas vulnerabilidades que van apareciendo casi de forma frenética.

Recientemente en el blog de InfoSecMatter recogían un Top16 de las debilidades y vulnerabilidades más comunes que encontraremos en este tipo de entornos, sin duda una recopilación muy útil y que un pentester a de tener muy en cuenta:

1. Usuarios que tienen permisos para agregar equipos al dominio
2. Atributo AdminCount configurado en usuarios comunes
3. Demasiados usuarios en grupos privilegiados
4. Cuentas de servicio miembros de administradores de dominio
5. Privilegios excesivos que permiten shadow admins en el dominio
6. Cuentas de servicio vulnerables a Kerberoasting
7. Usuarios con contraseñas que no caducan
8. Usuarios con contraseña no requerida
9. Almacenar contraseñas usando cifrado reversible
10. Almacenar contraseñas usando hashes LM
11. Cuentas de servicio vulnerables a AS-REP roasting
12. Política de contraseñas débil
13. Cuentas de dominio inactivas
14. Usuarios privilegiados con restablecimiento de contraseña vencido
15. Usuarios con una contraseña débil

Contenido completo en InfoSecMatter | HackPlayers

Actualizar dispositivos NAS QNAP para evitar infecciones de QSnatch

Desde el NAS QNAP están pidiendo que todos los usuarios actualicen cuanto antes QTS y la herramienta Malware Remover para evitar que los usuarios de dispositivos NAS se infecten con el malware QSnatch. Los dispositivos infectados, que se calcula en unos 62.000, corresponden a servidores NAS de QNAP. Esto hace que la compañía taiwanesa haya recomendado a todos sus usuarios actualizar la herramienta Malware Remover para evitar ser víctimas de esta amenaza que puede poner en riesgo la seguridad y privacidad.

Los gobiernos del Reino Unido y de los Estados Unidos han emitido otra alerta conjunta de ciberseguridad, esta vez advirtiendo a las organizaciones acerca de una cepa de malware dirigida a los dispositivos de almacenamiento conectados a la red (NAS) de QNAP.

Hasta mediados del pasado mes de junio, el malware QSnatch (alias "Derek") había infectado 62.000 dispositivos en todo el mundo, incluyendo 3.900 en el Reino Unido y 7.600 en los EE.UU., según la alerta del Centro Nacional de Ciberseguridad (NCSC) de GCHQ y la Agencia de Ciberseguridad e Infraestructura (CISA) del Departamento de Seguridad Nacional.

Este es el resultado de dos campañas, una que va desde 2014 hasta mediados de 2017 y la otra que comienza a finales de 2018.

"Aunque actualmente se desconocen las identidades y objetivos de los ciber-actores maliciosos que utilizan QSnatch, el malware es relativamente sofisticado y demuestran una conciencia de seguridad operacional. El vector de la infección no ha sido identificado, pero parece que QSnatch se inyecta en el firmware del dispositivo durante la etapa de infección, con el código malicioso ejecutándose posteriormente dentro del dispositivo, comprometiéndolo. El atacante utiliza entonces un algoritmo de generación de dominio (DGA) para establecer un canal de mando y control (C2) que genera periódicamente múltiples nombres de dominio para su uso en las comunicaciones C2".

La alerta se centra en la última versión, utilizada en la campaña más reciente. Esta nueva versión de QSnatch viene con una amplia y mejorada serie de características que incluyen la funcionalidad de módulos como:

  • Logger de contraseñas: Instala una versión falsa de la página de inicio de sesión del administrador del dispositivo, registrando las autenticaciones y enviándoselas posteriormente a la página de inicio de sesión legítima.
  • Scraper de credenciales.
  • Backdoor SSH: Permite al atacante ejecutar código arbitrario en un dispositivo.
  • Exfiltración: Cuando se ejecuta, QSnatch roba una lista predeterminada de archivos, que incluye configuraciones del sistema y archivos de registro. Estos son encriptados y enviados a su infraestructura a través de HTTPS.
  • Funcionalidad de Webshell para acceso remoto
Se dice que logra la persistencia modificando el archivo del host del sistema para redirigir los nombres de dominio a versiones desactualizadas con el fin de evitar que las actualizaciones se instalen en el propio dispositivo NAS.

Las dos agencias han instado a las organizaciones a que se aseguren de que sus dispositivos no han sido comprometidos previamente y, si es así, ejecuten un restablecimiento completo de fábrica en el dispositivo antes de realizar la actualización del firmware. También se recomienda seguir los consejos de seguridad de QNAP para prevenir la infección siguiendo los pasos que se enumeran aquí.

"Una vez que un dispositivo ha sido infectado, se ha sabido que los atacantes hacen imposible que los administradores ejecuten con éxito las actualizaciones de firmware necesarias. Esto hace que sea extremadamente importante para las organizaciones asegurarse de que sus dispositivos no han sido comprometidos previamente. […]  Las organizaciones que aún ejecutan una versión vulnerable deben realizar un restablecimiento completo de fábrica en el dispositivo antes de completar la actualización del firmware para asegurarse de que el dispositivo no quede vulnerable.

De las infecciones actuales, el 46% de los dispositivos se encuentran en Europa Occidental, mientras que el 15% son norteamericanos.

Más allá de actualizar Malware Remover, desde QNAP también recomiendan cambiar y utilizar una contraseña de seguridad de administrador que sea más fiable. Igualmente mencionan la importancia de habilitar la protección de IP y el acceso a la cuenta para evitar así ataques de fuerza bruta.

Por otra parte, aconsejan deshabilitar las conexiones SSH y Telnet en caso de que no estemos utilizando estos servicios. Dos medidas más para proteger nuestros dispositivos y evitar así ataques.

También recomiendan evitar hacer uso de los puertos predeterminados 443 y 8080. Otra forma más de protegernos.

2 ago. 2020

Nuevo exploit "unpatchable" en chip Apple Secure Enclave

Una de las principales mejoras de seguridad que Apple ha traído a sus dispositivos a lo largo de los años es el chip Secure Enclave, que cifra y protege todos los datos confidenciales almacenados en los dispositivos. El mes pasado, sin embargo, el grupo Pangu afirma que encontraron una vulnerabilidad permanente en el Enclave seguro, lo que podría poner en riesgo los datos de los usuarios de iPhone, iPad e incluso Mac.

¿Qué es el enclave seguro?

Secure Enclave es un coprocesador de seguridad incluido con casi todos los dispositivos Apple para proporcionar una capa adicional de seguridad. Todos los datos almacenados en iPhone, iPad, Mac, Apple Watch y otros dispositivos Apple están cifrados con claves privadas aleatorias, a las que solo puede acceder Secure Enclave. Estas teclas son exclusivas de su dispositivo y nunca se sincronizan con iCloud.

Además de cifrar sus archivos, Secure Enclave también es responsable de almacenar las claves que administran datos confidenciales, como contraseñas, su tarjeta de crédito utilizada por Apple Pay e incluso su identificación biométrica para habilitar Touch ID y Face ID. Esto hace que sea más difícil para los atacantes obtener acceso a sus datos personales sin su contraseña.

Es importante tener en cuenta que, aunque el chip Secure Enclave está integrado en el dispositivo, funciona completamente por separado del resto del sistema. Esto garantiza que las aplicaciones no tendrán acceso a sus claves privadas, ya que solo pueden enviar solicitudes para descifrar datos específicos, como su huella digital, para desbloquear una aplicación a través del Enclave seguro.

Incluso si tiene un dispositivo con jailbreak con acceso total a los archivos internos del sistema, todo lo que administra Secure Enclave permanece protegido.

Estos son los dispositivos que actualmente cuentan con el chip Secure Enclave:
  • iPhone 5s y posterior
  • iPad (5a generación) y posterior
  • iPad Air (1.a generación) y posterior
  • iPad mini 2 y posterior
  • iPad Pro
  • Computadoras Mac con el chip T1 o T2
  • Apple TV HD (4a generación) y posterior
  • Apple Watch Series 1 y posterior
  • HomePod

¿Qué cambia con un exploit?

Esta no es la primera vez que los hackers encuentran vulnerabilidades relacionadas con Secure Enclave. En 2017, un grupo de atacantes pudo descifrar el firmware de Secure Enclave para explorar cómo funciona el componente. Sin embargo, no pudieron obtener acceso a las claves privadas, por lo que no hubo ningún riesgo para los usuarios.

Ahora, los hackers chinos del equipo Pangu han encontrado un exploit "sin solución" en el chip Secure Enclave de Apple que podría conducir a romper el cifrado de las claves de seguridad privadas. Un exploit sin parches significa que la vulnerabilidad se encontró en el hardware y no en el software, por lo que probablemente no haya nada que Apple pueda hacer para solucionarlo en los dispositivos que ya se han enviado.

Todavía no hay detalles sobre qué pueden hacer exactamente los atacantes con esta vulnerabilidad específica, pero tener acceso completo al Enclave de seguridad también podría significar tener acceso a contraseñas, tarjetas de crédito y mucho más. Lo único que sabemos hasta ahora es que esta vulnerabilidad en Secure Enclave afecta a todos los chips de Apple entre el Bionic A7 y A11, similar al exploit checkm8 que permite el jailbreak para casi todos los dispositivos iOS hasta iPhone X.

A pesar de que Apple ya ha solucionado esta brecha de seguridad con los chips Bionic A12 y A13, todavía hay millones de dispositivos Apple que se ejecutan con chips Aion Bionic o más antiguos que podrían verse afectados por esta vulnerabilidad. Los impactos que esta vulnerabilidad encontrada en el Enclave de seguridad tendrá en los usuarios probablemente se conocerán en los próximos meses.

Se debe tener en cuenta que las vulnerabilidades de este tipo generalmente requieren que el atacante tenga acceso físico al dispositivo para obtener cualquier información, por lo que es poco probable que alguien pueda acceder a su dispositivo de forma remota. Un escenario esperado es que las agencias gubernamentales usen esta violación de seguridad en dispositivos confiscados.

Fuente: 9to5Mac

31 jul. 2020

Arrestados los responsables de #TwitterHack

A dos semanas del masivo "hackeo" de cuentas en Twitter, y con todo y el FBI involucrado, los tres primeros responsables ya están detenidos y tienen cargos en su contra de fraude, intrusión en computadoras y lavado de dinero. El arresto más reciente fue el de un adolescente de apenas 17 años en Tampa, Florida, en donde el FBI y el Servicio Secreto participaron en su captura.

Al tratarse de un menor, su identidad no fue revelada, pero sí se dijo que podría enfrentar hasta 30 cargos según dijo el fiscal Andrew Warren en una conferencia de prensa retomada por The Verge. "Hay una falsa creencia en la comunidad de hackers criminales, que ataques como el de Twitter pueden ser perpetrados anónimamente y sin consecuencia" dijo el fiscal David Anderson, y argumento que esta es la prueba de que no es así.

También se le han imputado cargos a Mason Sheppard de 19 años, quien es originario de Reino Unido, así como a Nima Fazeli de 22 años.

Se le tratará como un adulto en el proceso. "No estamos ante un ordinario joven de 17 años" dijo el fiscal Warren, cuando comunicó que en todo el proceso se le trataría como un adulto. A través de un comunicado el fiscal aclaró que será así dado que los cargos imputables tienen que ver con fraude, y la Ley en Florida permite que menores en esa situación sean acusados como si fueran adultos.
Los atacantes mandaron tuits desde 45 cuentas de Twitter de prominentes personajes de la vida pública, como Bill Gates, Barack Obama y Elon Musk

Tanto Sheppard como Fazeli utilizaron sus licencias de conducir para verificar su identidad ante Coinbase, a fin de poder lanzar los tuits desde las cuentas de figuras prominentes con las invitaciones a donar bitcoins. Fue así como se hicieron rastreables.

Se estima que la estafa pudo producir depósitos de más de 100.000 dólares según el departamento de justicia.

Fuente: Xataka

Espionaje de China a la iglesia y laboratorios a través de APT

Un consultor de seguridad familiarizado con múltiples investigaciones de hacking en las que participaron empresas de biotecnología de primer nivel durante el último año dijo que los grupos de hacking chinos que se cree que están ampliamente asociados con la seguridad del Ministerio de Estado de China son una de las principales fuerzas que apuntan a la investigación COVID-19 a nivel mundial.

La acusación afirma que "atacantes informáticos chinos realizaron un reconocimiento contra la red informática" de una empresa de biotecnología de Massachusetts conocida por estar trabajando en una vacuna contra el coronavirus en enero, de acuerdo a información de la agencia Reuters.

Moderna, que tiene su sede en Massachusetts y anunció su candidata a la vacuna COVID-19 en enero, confirmó a la prensa que la compañía había estado en contacto con el FBI y mencionó la sospecha de "actividades de reconocimiento de información" por parte del grupo de atacantes.

Las actividades de reconocimiento pueden incluir una amplia gama de acciones, incluida la investigación de sitios web públicos en busca de vulnerabilidades para explorar cuentas importantes después de ingresar a una red, dicen los expertos en seguridad cibernética.

El funcionario de seguridad de EE.UU, que habló bajo condición de anonimato, no proporcionó más detalles. El FBI y el Departamento de Salud y Servicios Humanos de EE.UU, se negaron a revelar las identidades de las compañías a las que atacaron los hackers chinos.

La vacuna candidata de Moderna es una de las primeras y mayores apuestas de la administración Trump para combatir la pandemia de COVID-19. El gobierno federal apoya el desarrollo de la vacuna de la compañía con casi medio billón de dólares y ayuda a Moderna a lanzar un ensayo clínico de hasta 30 mil personas a partir de este mes. China también está compitiendo para desarrollar una vacuna, que reúne a sus sectores estatales, militares y privados para combatir una enfermedad que ha matado a más de 660 mil personas en todo el mundo.

Una acusación presentada el 7 de julio la semana pasada argumente que los dos hackers chinos, Li Xiaoyu y Dong Jiazhi, llevaron a cabo una oleada de intrusiones informáticas que duró más de una década y que recientemente incluyó el objetivo de grupos de investigación médica de COVID-19. Los fiscales dijeron que Li y Dong actuaron como contratistas para el Ministerio de Seguridad del Estado de China, una agencia de inteligencia estatal.

La Embajada de China en Washington se remitió a los recientes comentarios del Ministerio de Relaciones Exteriores de China que decían, "China ha sido durante mucho tiempo una víctima importante de robos y ataques cibernéticos y sus funcionarios se oponen firmemente y luchan contra tales actividades". El gobierno chino ha negado sistemáticamente cualquier papel en los incidentes de robo de información informática en todo el mundo. El portavoz de la embajada no abordó preguntas específicas enviadas por correo electrónico.

Las otras dos compañías de investigación médica no identificadas mencionadas en la acusación del Departamento de Justicia se describen como compañías de biotecnología con sede en California y Maryland. Los fiscales dijeron que "los atacantes buscaron vulnerabilidades y realizaron un reconocimiento contra ellos".

La presentación judicial describe que la firma de California está trabajando en la investigación de medicamentos antivirales y sugirió que la compañía de Maryland había anunciado públicamente los esfuerzos para desarrollar una vacuna en enero. Dos compañías que podrían coincidir con esas descripciones son Gilead Sciences Inc y Novavax Inc.

RedDelta contra la iglesia

Desde principios de mayo de 2020, el Vaticano y la Diócesis Católica de Hong Kong se encontraban entre varias organizaciones relacionadas con la Iglesia Católica que fueron blanco de RedDelta, un grupo de actividad de amenaza patrocinado por el estado chino, seguido por Insikt Group. Esta serie de sospechas de intrusiones en la red también se dirigió a la Misión de Estudio de Hong Kong a China y al Instituto Pontificio para Misiones Extranjeras (PIME), Italia. Estas organizaciones no se han informado públicamente como objetivos de los grupos de actividad de amenaza chinos antes de esta campaña.

Estas intrusiones en la red ocurrieron antes de la anticipada renovación de septiembre de 2020 del histórico acuerdo provisional 2018 China-Vaticano, un acuerdo que, según los informes, resultó en que el Partido Comunista Chino (PCCh) obtuviera más control y supervisión sobre la históricamente perseguida comunidad católica del país. Además de la Santa Sede, otro objetivo probable de la campaña incluye al actual jefe de la Misión de Estudio de Hong Kong en China, cuyo predecesor se consideró que jugó un papel vital en el acuerdo de 2018.

El objetivo de la Misión de Estudio de Hong Kong y su Diócesis Católica también podría proporcionar una valiosa fuente de inteligencia para monitorear las relaciones de la diócesis con el Vaticano y su posición en el movimiento prodemocrático de Hong Kong en medio de protestas generalizadas y la reciente ley de seguridad nacional de Hong Kong.

Si bien existe una superposición considerable entre los TTP observados de RedDelta y el grupo de actividad de amenaza conocido públicamente como Mustang Panda (también conocido como Bronze President y HoneyMyte), existen algunas distinciones notables que nos a designar esta actividad como RedDelta.

  • La versión de PlugX utilizada por RedDelta en esta campaña utiliza un método de cifrado de tráfico C2 diferente y tiene un mecanismo de cifrado de configuración diferente al PlugX tradicional.
  • La cadena de infección de malware empleada en esta campaña no se ha informado públicamente como la utilizada por Mustang Panda.
  • Además de apuntar a entidades relacionadas con la Iglesia Católica, el Grupo Insikt también identificó a RedDelta apuntando a las fuerzas del orden público y entidades gubernamentales en India y una organización gubernamental en Indonesia.
Además de apuntar a entidades relacionadas con la Iglesia Católica, el Grupo Insikt también identificó a RedDelta apuntando a las fuerzas del orden público y entidades gubernamentales en India y una organización gubernamental en Indonesia.

Fuente: RecordFuture

Novedades Firefox 79: mejoras en la protección frente a cookies

Hoy ha sido lanzada la nueva versión de Firefox 79, y en este caso estamos ante uno de los lanzamientos más pequeños del navegador, con apenas una novedad interesante mas otra mejora de una función que llevan tiempo implementando. Aun así, aquí estamos para traerte las novedades de Firefox 79 y que sepas en qué ha estado trabajando Mozilla.

Podríamos decir que hay dos novedades principales. La más importante es la mejora en la protección contra cookies de seguimiento, y también tenemos un nuevo paso en la lenta implementación de WebRender. Por último, también te daremos una lista con otros pequeños cambios que han llegado, aunque de nuevo, no son demasiados.

Mozilla utilizará la lista de Disconnect para determinar qué cookies bloquear, aunque hará excepciones con las webs con las que el usuario haya interactuado durante los últimos 45 días. Esta es una protección que viene preactivada por defecto, y que los usuarios tienen total libertad para ir a una configuración todavía más exigente o a una personalizada para proteger al máximo su privacidad.

La versión para Android de Mozilla Firefox da un gran salto de versión: se actualiza desde Firefox 68 directamente a Firefox 79. Después de casi un año sin actualizarse, la versión estable finalmente se moderniza pasando a basarse en Fenix, que tras pasar por las versiones previas y beta está ya listo para llegar a todos en Google Play.

Este nuevo Firefox se basa en código completamente nuevo y, según sus creadores, logra un mejor rendimiento y uno de los rediseños más radicales de su versión para móviles, con la barra de direcciones en la parte inferior, mejoras de privacidad y el modo oscuro. Firefox estable adopta el código de Firefox Fenix basado en el nuevo motor GeckoView y con mejoras de rendimiento, privacidad y usabilidad.

El único cambio que tuvo que llevar a cabo Mozilla en su calendario de desarrollo de Firefox tuvo que ver con el soporte para TSL 1.0 y 1.1, que debería haber sido eliminado en la versión 74 pero que ha sido, finalmente, eliminado en la versión 78, con la mejora que esto supone en lo que respecta a seguridad y rendimiento.

Fuente: Xataka

30 jul. 2020

BootHole: vulnerabilidad crítica en GRUB2 afecta Windows y Linux

Un equipo de investigadores Eclypsium reveló [PDF] detalles de una nueva vulnerabilidad de alto riesgo que afecta a miles de millones de dispositivos en todo el mundo, incluidos servidores y estaciones de trabajo, computadoras portátiles, computadoras de escritorio y sistemas IoT que ejecutan casi cualquier distribución de Linux o sistema de Windows.

Apodado BootHole y rastreado como CVE-2020-10713, la vulnerabilidad reportada reside en el gestor de arranque GRUB2, que, si se explota, podría permitir a los atacantes eludir la función de arranque seguro y obtener acceso persistente y sigiloso de alto privilegio a los sistemas de destino. La vulnerabilidad BootHole en el gestor de arranque GRUB2 abre dispositivos Windows y Linux que utilizan el arranque seguro y todos los sistemas operativos que utilizan GRUB2 con arranque seguro deben liberar nuevos instaladores y gestores de arranque

El Arranque seguro es una característica de seguridad de la Interfaz de firmware extensible unificada (UEFI) que utiliza un cargador de arranque para cargar componentes críticos, periféricos y el sistema operativo al tiempo que garantiza que solo se ejecute el código firmado criptográficamente durante el proceso de arranque.

"Uno de los objetivos de diseño explícitos de Secure Boot es evitar que el código no autorizado, incluso con privilegios de administrador, obtenga privilegios adicionales y persistencia previa al SO deshabilitando Secure Boot o modificando la cadena de arranque", explica el informe.

Vulnerabilidad del cargador de arranque GRUB2

BootHole es una vulnerabilidad de desbordamiento de búfer que afecta a todas las versiones de GRUB2 y existe en la forma en que analiza el contenido del archivo de configuración, que generalmente no está firmado como otros archivos y ejecutables, lo que brinda a los atacantes la oportunidad de romper los mecanismos de confianza.

Para tener en cuenta, el archivo grub.cfg se encuentra en la partición del sistema EFI y, por lo tanto, para modificar el archivo, un atacante aún necesita un punto de apoyo inicial en el sistema de destino con privilegios de administrador que eventualmente le proporcionarán al atacante una escalada adicional de privilegio y persistencia en el dispositivo.

Aunque GRUB2 es el gestor de arranque estándar utilizado por la mayoría de los sistemas Linux, también es compatible con otros sistemas operativos, núcleos e hipervisores como XEN.

"El desbordamiento del búfer permite al atacante obtener una ejecución de código arbitrario dentro del entorno de ejecución UEFI, que podría usarse para ejecutar malware, alterar el proceso de arranque, parchar directamente el núcleo del sistema operativo o ejecutar cualquier otra cantidad de acciones maliciosas", dijeron los investigadores.

Por lo tanto, para explotar la falla de BootHole en los sistemas Windows, los atacantes pueden reemplazar los cargadores de arranque predeterminados instalados en sistemas Windows con una versión vulnerable de GRUB2 para instalar un rootkit.

"El problema también se extiende a cualquier dispositivo de Windows que use el Arranque seguro con la Autoridad de certificación UEFI de terceros de Microsoft", dice el informe.

Esta vulnerabilidad puede tener consecuencias importantes, y eso se debe principalmente a que el ataque permite a delincuentes informáticos ejecutar código malicioso incluso antes de que se inicie el sistema operativo, lo que dificulta que el software de seguridad detecte la presencia de malware o eliminarlo.

En un aviso, Microsoft reconoció el problema e informó que "está trabajando para completar la validación y las pruebas de compatibilidad de una actualización de Windows requerida que aborde esta vulnerabilidad". Además de Microsoft, muchas distribuciones populares de Linux han lanzado actualizaciones  y mitigaciones:

Fuente: THN

Vulnerabilidad crítica en plugin wpDiscuz de Wordpress (Parchea!)

Los delincuentes podrían explotar una vulnerabilidad de gravedad crítica en el complemento wpDiscuz instalado en más de 70.000 sitios de WordPress para ejecutar código de forma remota después de cargar archivos arbitrarios en el servidor que aloja el blog vulnerable. Según el analista de amenazas de Wordfence, Chloe Chamberland, la falla de seguridad se califica como gravedad crítica con un puntaje base de CVSS de 10/10 y ya fue solucionada.

wpDiscuz es un complemento de WordPress comercializado como una alternativa a Disqus y Jetpack Comments que proporciona un sistema de comentarios en tiempo real Ajax y almacena comentarios dentro de una base de datos local.

El equipo de Wordfence Threat Intelligence informó la vulnerabilidad a los desarrolladores de wpDiscuz el 19 de junio y se parcheó por completo con el lanzamiento de la versión 7.0.5 el 23 de julio, después de un intento fallido de solucionar el problema en la versión 7.0.4.

Si bien wpDiscuz fue diseñado para permitir solo el uso de archivos adjuntos de imágenes, las funciones de detección de tipo MIME de archivo incluidas en versiones sin parchear del complemento y utilizadas para verificar que los tipos de archivo no pueden bloquear a los usuarios para que no carguen archivos arbitrarios como archivos PHP.
Una vez cargado el archivo en el servidor, los atacantes obtendrían la ubicación de la ruta del archivo con la respuesta de la solicitud, lo que facilitaría la activación de la ejecución del archivo en el servidor y lograría la ejecución remota de código (RCE).

"Esto efectivamente le daría al atacante un control completo sobre cada sitio en el servidor", agregó.

Si bien wpDiscuz 7.0.5, la versión que contiene una solución para esta vulnerabilidad RCE de gravedad máxima, se lanzó el 23 de julio, el complemento solo tuvo un poco más de 25,000 descargas durante la última semana, incluidas las actualizaciones y las nuevas instalaciones.

Esto se traduce en al menos 45.000 sitios de WordPress con instalaciones activas de wpDiscuz aún potencialmente expuestas a ataques de adquisición si los atacantes deciden comenzar a explotar este error como parte de futuras campañas.

Se insta a los usuarios de wpDiscuz a actualizar el complemento a la última versión tan pronto como sea posible para bloquear posibles ataques con el objetivo de apoderarse de sus cuentas de alojamiento, ya que los atacantes usan regularmente defectos conocidos del complemento de WordPress para tomar el control o borrar sitios.

Fuente: BC

Bug en Zoom permitía obtener el PIN privado de las reuniones

La popular aplicación de videoconferencia Zoom solucionó recientemente una nueva falla de seguridad que podría haber permitido a los atacantes potenciales descifrar el código de acceso numérico utilizado para asegurar reuniones privadas en la plataforma y espiar a los participantes. La vulnerabilidad sólo se encontraba en el cliente web.

Las reuniones de Zoom están protegidas por defecto con una contraseña numérica de seis dígitos, pero según Tom Anthony, vicepresidente de productos de SearchPilot que identificó el problema, la falta de limitación de velocidad permitió que "un atacante intentara todas las 1 millón de contraseñas en cuestión de minutos y obtener acceso a las reuniones de Zoom privadas (protegidas por contraseña) de otras personas".

El hecho de que las reuniones estuvieran, de manera predeterminada, aseguradas por un código de seis dígitos significaba que solo podía haber un máximo de un millón de contraseñas. Anthony informó el problema de seguridad a la compañía el 1 de abril de 2020, junto con un script de prueba de concepto basado en Python, una semana después de que Zoom solucionó el problema el 9 de abril.

En ausencia de comprobaciones para intentos repetidos de contraseña incorrecta, un atacante puede aprovechar el cliente web de Zoom (https://zoom.us/j/MEETING_ID) para enviar continuamente solicitudes HTTP para probar todas las combinaciones de un millón.

Vale la pena señalar que Zoom comenzó a requerir un código de acceso para todas las reuniones en abril como medida preventiva para combatir los ataques de bombardeo de Zoom, que se refiere al acto de interrumpir y secuestrar reuniones de Zoom sin invitación para compartir contenido obsceno y racista.

"Con una mejora en el subprocesamiento y la distribución a través de 4-5 servidores en la nube, podría verificar todo el espacio de la contraseña en unos minutos", dijo Anthony.

El ataque funcionó con reuniones recurrentes, lo que implica que los malos actores podrían haber tenido acceso a las reuniones en curso una vez que se descifró el código de acceso.

El investigador también descubrió que el mismo procedimiento podría repetirse incluso con reuniones programadas, que tienen la opción de anular el código de acceso predeterminado con una variante alfanumérica más larga y ejecutarlo contra una lista de los 10 millones de contraseñas principales para forzar un inicio de sesión por fuerza bruta.

Por separado, se descubrió un problema durante el proceso de inicio de sesión utilizando el cliente web, que empleó una redirección temporal para buscar el consentimiento de los clientes a sus términos de servicio y política de privacidad.

"Hubía un encabezado CSRF HTTP enviado durante este paso, pero si se omitía, la solicitud parecía funcionar bien de todos modos", dijo Anthony. "La falla en el token CSRF hacía aún más fácil abusar de la aplicación".

La plataforma de videoconferencia, que atrajo el escrutinio de una serie de problemas de seguridad a medida que su uso se disparó durante la pandemia de coronavirus, ha corregido rápidamente las fallas a medida que se descubrían, incluso llegando al punto de anunciar un congelamiento de 90 días en el lanzamiento de nuevas funciones para "identificar, abordar y solucionar problemas de manera proactiva".

A principios de este mes, la compañía abordó una vulnerabilidad Zero-Day en su aplicación de Windows que podría permitir a un atacante ejecutar código arbitrario en la computadora de una víctima con Windows 7 o anterior.

También solucionó otra falla que podría haber permitido a los atacantes imitar a una organización y engañar a sus empleados o socios comerciales para que revelen información personal u otra información confidencial a través de ataques de ingeniería social.

Fuente: THN