Noticias de Seguridad

Actualización: Google Chrome 88

Google ha lanzado el 19 de enero del 2021 la actualización 88 para Chrome, la cual aborda temas de seguridad y remueve Adobe Flash Player. Si desea actualizar su navegador tiene que dirigirse a la siguiente ruta: Settings -> Help -> About Google Chrome. (Depende del idioma de su navegador). Las características más importante es que Google removió completamente el uso de Adobe Flash Player en el navegador, cabe recalcar que la empresa ha sugerido a sus usuario dejar de utilizar este servicio desde 2017. Adicionalmente, ha eliminado la compatibilidad con FTP debido a su bajo uso y la falta de compatibilidad con conexiones…

FreakOut: Nueva Botnet

Esta botnet tiene la capacidad de ser usada en ataques DDoS, ARP poisoning, hidden cryto-mining, ejecturar ataques de fuerza bruta, entre otras. Cuando los bots de FreakOut toman el acceso de un sistema, inmediatamente descargan y ejecutan un script en Python que conecta al equipo infectado a un canal remoto IRC donde espera los comandos del atacante y ejecutar una orquesta de los ataques anteriormente mencionados. De acuerdo a un reporte de CheckPoint, la lista de comandos que los bots pueden ejecutar son las siguientes: Recopilación de información sobre el sistema infectado Creación y envío de paquetes UDP y TCP…

Vadokrist: Malware bancario

Vadokrist es un troyano que ha estado en el ojo de ESET desde 2018 y exclusivamente en Brasil. Vadokrist está escrito en Delphi. Lo más notable es la cantidad inusualmente grande de código en los binarios que no es utilizado. Generalmente la gran mayoría de los troyanos bancarios de América Latina recopila información de la máquina de la víctima apenas son ejecutados. Sin embargo, Vadokrist recopilar únicamente el nombre de usuario de la víctima. Las capacidades de backdoor son las usuales de este tipo de malware: Manipula el mouse y simular pulsaciones de teclado, registrar pulsaciones del teclado, tomar capturas…

Atacantes pueden aprovechar RDP de Windows para amplificar ataques DDoS

Atacantes pueden abusar RDP para ejecutar ataques «UDP reflection/amplication» con un radio de amplificación de 85.9:1. Investigadores indican que no ocurre en todos los servidores RDP, mas bien solamente es posible cuando el servicio está disponible en el puerto UDP 3389 y puerto TCP 3389. Para mitigar el uso de RDP para amplificar los ataques DDoS y su impacto relacionado, los investigadores hicieron una serie de sugerencias a los administradores de sistemas de Windows. En primer lugar, deberían implementar servidores RDP de Windows detrás de los VPN concentrators para evitar que sean abusados para amplificar los ataques DDoS, dijeron. “Los…

Bug en Windows 10 puede dañar tu disco duro

Un evento «Zero-Day» que aún no ha sido parcheado puede permitir a los atacantes dañar un disco duro con formato NTFS, simplemente con un línea de comando («cd c:\:$i30:$bitmap»). Esta línea de comando puede ser enviada por diferentes archivos como accesos directos, archivos ZIP, script para desencadenar errores en el disco duro. Lo peor de esta vulnerabilidad es que puede ser ejecutada por usuarios sin muchos privilegios en el sistema operativo. Se recomienda evitar descargar o ejecutar programas desconocidos de terceros. Más información: https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/ https://hexus.net/tech/news/software/147300-microsoft-working-fix-nasty-ntfs-corruption-bug/

DNSpooq: Vulnerabilidades en software de reenvío DNS DNSMasq

DNSpooq es un conjunto de vulnerabilidades en DNSMasq, un software de reenvío DNS que toma las solicitudes de DNS realizadas por usuarios locales, reenvía la solicitud a un servidor DNS ascendente y luego almacena en caché los resultados una vez que llegan, haciendo que los mismos resultados estén disponibles para otros clientes sin necesidad de realizar una nueva consulta DNS en sentido ascendente. Dnsmasq es muy popular y se han identificado aproximadamente 40 proveedores que usan dnsmasq en sus productos, así como las principales distribuciones de Linux. Cuatro vulnerabilidades identificadas con los ID CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 y CVE-2020-25687 son desbordamientos…

Múltiples Vulnerabilidades en Productos Cisco

Cisco ha publicado actualizaciones de seguridad para remediar vulnerabilidades en varios de sus productos. En el peor escenario, un atacante remoto podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado. Productos afectados: Cisco AnyConnect Secure Mobility Client para Windows DLL versiones anteriores a las 4.9.0.4043 Cisco Connected Mobile Experiences (CMX) versiones 10.6.0, 10.6.1, and 10.6.2. RV110W Wireless-N VPN Firewall RV130 VPN Router RV130W Wireless-N Multifunction VPN Router RV215W Wireless-N VPN Router Cisco AnyConnect La vulnerabilidad en los componentes Network Access Manager y Web Security Agent de Cisco AnyConnect Secure Mobility Client para Windows, con identificador CVE-2021-1237,…

Vulnerabilidad crítica en Plugin Orbit Fox de WordPress

Los investigadores de Wordfence reportan vulnerabilidades en el plugin Orbit Fox de WordPress, en la cuales la más crítica de estas podría permitir a los atacantes inyectar código malicioso en sitios web vulnerables y / o tomar el control de un sitio web. Orbit Fox es un complemento de WordPress la cuál permite a los administradores del sitio agregar funciones como formularios de registro, widgets, botones e íconos para compartir en redes sociales, monitoreo de tiempo de actividad, Google Analytics, entre otros. El complemento, de un desarrollador llamado ThemeIsle, ha sido instalado por más de 400,000 sitios. La primera vulnerabilidad,…

Ejecución remota de código en servidores de Microsoft Office 365

Investigaciones de Qihoo 360 Vulcan Team han publicado acerca de una vulnerabilidad en Microsoft Exchange Online que no ha sido resuelto después de dos parches. Dicha plataforma es una herramienta de Microsoft Office 365, que actúa como una suite ofimática para casi 200 millones de usuarios. Microsoft Exchange utiliza una API ASP.NET, la que actúa como proxy a varias instancias que son recibidas por comandos de powershell para su ejecución. El equipo de Qihoo 360 Vulcan se percató que era posible escalar en privilegios en powershell (CVE-2020-16875). Microsoft para evitar esta vulnerabilidad procedió agregando una función para validar permisos. Sin…

Filtración masiva de información de perfiles en redes sociales

Alrededor de 408 GB de datos de perfiles públicos y privados de 214 millones de usuarios han sido expuestos, la razón fue una incorrecta configuración de la nube por parte de SocialArks que expuso 318 millones de registros de Facebook, Instagram y LinkedIn. Según Safetydetectives se filtraron la siguiente cantidad de perfiles: 11 651 162 perfiles de Instagram 66 117 839 perfiles de LinkedIn 81 551 567 perfiles de Facebook 55 300 000 cuentas de Facebook que fueron eliminadas después de la investigación. En Instagram se expusieron los siguientes datos: Nombre completo Números de teléfono para más de 6 millones…