elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


  Mostrar Mensajes
Páginas: 1 ... 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 [43] 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 ... 122
421  Foros Generales / Noticias / Rompiendo LTE en la capa dos en: 2 Julio 2018, 22:39 pm
Análisis de seguridad de la capa dos:

Nuestro análisis de seguridad del estándar de comunicación móvil LTE (Long-Term Evolution, también conocido como 4G) en la capa de enlace de datos (denominada capa dos) ha descubierto tres nuevos vectores de ataque que permiten diferentes ataques contra el protocolo. Por un lado, presentamos dos ataques pasivos que demuestran un ataque de mapeo de identidad y un método para realizar huellas dactilares en el sitio web. Por otro lado, presentamos un ataque criptográfico activo llamado ataque LTEr que permite a un atacante redirigir las conexiones de red realizando la suplantación DNS debido a una falla de especificación en el estándar LTE. A continuación, proporcionamos una descripción general de la huella dactilar del sitio web y el ataque aLTE, y explicamos cómo los realizamos en nuestra configuración de laboratorio. Nuestro trabajo aparecerá en el Simposio IEEE 2019 sobre Seguridad y Privacidad y todos los detalles están disponibles en una versión previa a la impresión del documento.

https://alter-attack.net/#paper

Consecuencias
¿Qué tan prácticos son los ataques? Realizamos los ataques en una configuración experimental en nuestro laboratorio que depende de un hardware especial y un entorno controlado. Estos requisitos son, por el momento, difíciles de cumplir en redes LTE reales. Sin embargo, con un poco de esfuerzo de ingeniería, nuestros ataques también pueden realizarse en la naturaleza.
¿Que puede pasar? Presentamos tres ataques individuales: para mapear identidades de usuario en la celda de radio (ver el artículo para más detalles), para saber a qué sitios web accedió un usuario y para realizar un ataque de alteración (por ejemplo, en tráfico DNS) que se puede usar para redireccionar y secuestro de conexiones de red.
¿Me puede pasar esto a mí? En teoría sí, pero espera que el esfuerzo sea alto. Las víctimas más probables de tales ataques dirigidos en la práctica son personas de especial interés (por ejemplo, políticos, periodistas, etc.).
¿Quién sabe sobre los ataques? Informamos a instituciones relevantes tales como la Asociación GSM (GSMA), el Proyecto de Asociación de Tercera Generación (3GPP) y las compañías telefónicas en un proceso de revelación responsable antes de publicar este trabajo.

Más información: https://alter-attack.net/

Saludos.
422  Foros Generales / Noticias / Análisis de malware sin archivos "Rozena" Un nuevo enfoque a una vieja técnica en: 2 Julio 2018, 22:35 pm
El malware sin archivos aprovecha exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria utilizando herramientas legítimas del sistema como Windows Powershell. Code Red y SQL Slammer fueron los pioneros del malware sin archivos que datan de principios de la década de 2000. Actualmente, este tipo de malware está aumentando una vez más.



La charla de la ciudad durante la primera mitad del año en la comunidad de Seguridad Cibernética es el término ataque "sin archivos". Es una técnica de ataque que no requiere descargar ni arrojar archivos maliciosos al sistema para ejecutar su comportamiento malicioso, sino que aprovecha los exploits para ejecutar comandos maliciosos o ejecutar scripts directamente desde la memoria a través de herramientas legítimas del sistema. De hecho, ataques como los gusanos Code Red y SQL Slammer a principios de la década de 2000 no se guardan en ningún disco sino que almacenan su código malicioso únicamente en la memoria.

Sin embargo, el término "sin archivos" también puede ser un nombre inapropiado ya que existen ataques que pueden implicar la presencia de archivos en la computadora, como la apertura de archivos adjuntos de correos electrónicos no deseados. Una vez ejecutado, aún puede guardar un archivo en el disco y luego usar técnicas sin archivos para reunir información en el sistema y propagar la infección a través de la red. Estas técnicas pueden ser en forma de exploits e inyecciones de código para ejecutar código malicioso directamente en la memoria, almacenar scripts en el registro y ejecutar comandos a través de herramientas legítimas. Solo en 2017, el 13% del malware recopilado utiliza PowerShell para comprometer el sistema.
Las herramientas legítimas del sistema como PowerShell e Instrumental de administración de Windows están siendo objeto de abuso por actividades maliciosas, ya que estas son todas las herramientas integradas que se ejecutan en el sistema operativo Windows. Una familia de malware conocida que usa PowerShell para descargar y ejecutar archivos maliciosos es el descargador de Emotet.
Incluso hay malwares antiguos que cambiaron su técnica y ahora usan ataques sin archivos. Estos malwares pretenden ser más efectivos en términos de infectar máquinas y evitar la detección como Rozena.
Rozena es un programa malicioso de puerta trasera capaz de abrir una conexión de shell remota que conduce al autor del malware. Una conexión exitosa con el autor del malware genera numerosas preocupaciones de seguridad no solo para la máquina afectada, sino también para otras computadoras conectadas en su red.
Esto se vio por primera vez en 2015 y reapareció en marzo de 2018. El viejo y nuevo malware Rozena todavía se dirige a los sistemas operativos Microsoft Windows, pero lo que marcó la diferencia es la nueva adaptación a la técnica sin archivos que utiliza scripts de PowerShell para ejecutar su intención maliciosa. . Una encuesta realizada por Barkly y el Ponemon Institute, que encuestó a 665 líderes de TI y seguridad, descubrió que los ataques sin archivos tienen una probabilidad 10 veces mayor de tener éxito que los ataques basados ​​en archivos. Esta podría ser la razón probable por la que los autores de malware siguen el camino sin archivos.

Más información: https://www.gdatasoftware.com/blog/2018/06/30862-fileless-malware-rozena
423  Foros Generales / Noticias / OSX.Dummy: El peligro viene por Slack y Discord en macOS en: 2 Julio 2018, 22:23 pm
El malware denominado OSX.Dummy utiliza un método de infección poco sofisticado, pero los usuarios que son atacados con éxito abren sus sistemas hasta la ejecución de código remota. Este malware tiene como objetivo ususarios que utilizan criptomonedas y que, además, utilizan plataformas como Slack y Discord. El investigador y experto en ciberseguridad Patrick Wardle comentó que el malware tiene privilegios de root, por lo que cuando éste conecta con el C2, se tiene un entorno privilegiado.

También comentó Wardle que se han visto varios ataques de malware en macOS que se originan en grupos de chats de Slack o Discord. Los atacantes seducen a los usuarios para que ejecuten un script que a su vez descarga el malware de 34 MB OSX.Dummy a través de cURL. La descarga se guarda en el directorio de macOS /tmp/script y luego se ejecuta. El archivo es un gran binario de 34 MB, el cual tiene 0 de 60 en VirusTotal. El script solía engañar a las víctimas para descargar el OSX.Dummy. El binario no está firmado, indica Wardle, agregando que el malware puede eludir Gatekeeper. Es curioso que este binario sería bloqueado por Gatekeeper, pero al ser un binario descargado y ejecutado desde la terminal de comandos, Gatekeeper no entra en juego, por lo que se permite ejecutar el software sin firmar.



A medida que se ejecuta el código binario, se hace uso de sudo, por lo que se necesita que el usuario introduzca sus credenciales en el terminal. A partir de ahí, el malware arroja código en varios directorios macOS, incluido /Library/LaunchDaemons/com.startup.plist, lo cual le proporciona a OSX.Dummy la persistencia. El script bash intenta conectarse a una dirección IP, la cual es 185.243.115.230 al puerto 1337. Wardle señala que si el ataque tiene éxito y el malware puede conectarse al C2, el atacante puede tomar el control del sistema objetivo.

Más información: https://threatpost.com/macos-malware-targets-crypto-community-on-slack-discord/133254/

Saludos.
424  Sistemas Operativos / Windows / Re: contraseña de inicio de sesión en: 2 Julio 2018, 22:16 pm
Sirve para el Windows 7 tambien?

Gracias!

Platform:   Windows 10 / 8 / 7 / Vista / 2012 / 2008 / XP / 2003 / 2000

Saludos.
425  Foros Generales / Noticias / Se encontraron dos exploits de día cero después de que alguien subió PoC. en: 2 Julio 2018, 21:26 pm
Se encontraron dos exploits de día cero después de que alguien subió PoC "desarmado" a VirusTotal.



Investigadores de seguridad de Microsoft revelaron detalles de dos vulnerabilidades críticas e importantes de día cero que se descubrieron recientemente después de que alguien cargó un archivo PDF malicioso en VirusTotal y se parcheó antes de ser utilizado.

A fines de marzo, los investigadores de ESET encontraron un archivo PDF malicioso en VirusTotal, que compartieron con el equipo de seguridad de Microsoft "como un exploit potencial para una vulnerabilidad desconocida del kernel de Windows".
Después de analizar el archivo PDF malicioso, el equipo de Microsoft descubrió que el mismo archivo incluye dos exploits diferentes de día cero: uno para Adobe Acrobat y Reader y el otro para Microsoft Windows.

Dado que los parches para ambas vulnerabilidades se lanzaron en la segunda semana de mayo, Microsoft dio a conocer los detalles de ambas vulnerabilidades en la actualidad, después de dar a los usuarios el tiempo suficiente para actualizar sus sistemas operativos vulnerables y el software de Adobe.
Según los investigadores, el PDF malicioso que incluía tanto el exploit de días cero estaba en la etapa de desarrollo inicial, "dado el hecho de que el PDF en sí no entregó una carga maliciosa y parecía ser un código de prueba de concepto (PoC). "
Parece que alguien que podría haber combinado ambos días cero para construir un arma cibernética extremadamente poderosa había perdido involuntaria y erróneamente el juego al cargar su vulnerabilidad de subdesarrollo a VirusTotal.
Las vulnerabilidades de día cero en cuestión son un error de ejecución remota de código en Adobe Acrobat y Reader (CVE-2018-4990) y un error de escalamiento de privilegios en Microsoft Windows (CVE-2018-8120).
"El primer exploit ataca el motor javascript de Adobe para ejecutar Shellcode en el contexto de ese módulo", dice Matt Oh, ingeniero de seguridad de Windows Defender ATP Research.

"El segundo exploit, que no afecta a las plataformas modernas como Windows 10, permite que el shellcode escape del entorno limitado de Adobe Reader y se ejecute con privilegios elevados desde la memoria del kernel de Windows".
El exploit de Adobe Acrobat y Reader se incorporó en un documento PDF como una imagen JPEG 2000 creada con fines malintencionados que contiene el código de explotación de javascript, que desencadena una vulnerabilidad de doble libre en el software para ejecutar Shellcode.
Aprovechando la ejecución del shellcode desde la primera vulnerabilidad, el atacante usa el segundo exploit del kernel de Windows para romper el sandbox de Adobe Reader y ejecutarlo con privilegios elevados.
Debido a que esta muestra maliciosa de PDF estaba en desarrollo en el momento de la detección, al parecer incluía una carga útil simple de PoC que arrojaba un archivo vbs vacío en la carpeta de Inicio.
"Inicialmente, los investigadores de ESET descubrieron la muestra en PDF cuando se cargó en un repositorio público de muestras maliciosas", concluyeron los investigadores de ESET.

"La muestra no contiene una carga útil final, lo que puede sugerir que fue capturada durante sus primeras etapas de desarrollo. Aunque la muestra no contiene una carga útil final real maliciosa, el autor demostró un alto nivel de habilidades en el descubrimiento de vulnerabilidades y explotar la escritura ".
Desde entonces, Microsoft y Adobe lanzaron las actualizaciones de seguridad correspondientes para ambas vulnerabilidades en mayo. Para obtener más detalles técnicos de los exploits, puede dirigirse a los blogs de Microsoft y ESET.

Fuente: https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html

Saludos.
426  Foros Generales / Noticias / Investigadores descubren nuevos ataques contra el protocolo de red LTE en: 30 Junio 2018, 19:36 pm


Si su operador de telefonía móvil ofrece LTE, también conocida como la red 4G, debe tener cuidado ya que su comunicación de red puede ser secuestrada de forma remota.
Un equipo de investigadores ha descubierto algunas debilidades críticas en el ubicuo estándar de dispositivo móvil LTE que podría permitir a piratas informáticos sofisticados espiar las redes celulares de los usuarios, modificar el contenido de sus comunicaciones e incluso puede redirigirlas a sitios web maliciosos o de phishing.
LTE, o Long Term Evolution, es el último estándar de telefonía móvil utilizado por miles de millones de personas diseñado para brindar muchas mejoras de seguridad sobre el estándar predecesor conocido como Sistema Global para comunicaciones móviles (GSM).
Sin embargo, se han descubierto múltiples fallas de seguridad en los últimos años, que permiten a los atacantes interceptar las comunicaciones del usuario, espiar las llamadas telefónicas de los usuarios y enviar mensajes de texto, enviar falsas alertas de emergencia, falsificar la ubicación del dispositivo y desconectar completamente los dispositivos.



Más información:
https://thehackernews.com/2018/06/4g-lte-network-hacking.html?m=1

Saludos.
427  Seguridad Informática / Seguridad / Re: ¿Qué certificados usa Gmail para conectar por SSL o TLS? en: 30 Junio 2018, 18:41 pm
428  Seguridad Informática / Seguridad / G DATA Clean up en: 30 Junio 2018, 01:29 am
Con solo unos pocos clics, G DATA Clean up limpia su sistema de adware, barras de herramientas y complementos de navegador así como de los conocidos como “programas potencialmente no deseados” (PUPs) que no pueden ser desinstalados con los métodos convencionales. La herramienta se puede usar sin necesidad de instalación.



Web: https://www.gdata.es/descargas#Herramientas
D.Directa: https://secure.gd/dl-gdcleanup
Peso: 17 MB

Saludos.
429  Seguridad Informática / Seguridad / G DATA Meltdown & Spectre Scanner en: 30 Junio 2018, 01:26 am
G DATA Meltdown & Spectre Scanner comprueba si su sistema es vulnerable a los ataques recientes de Meltdown y Spectre. Después de la comprobación de archivos, se le informará sobre el estado de seguridad de su sistema y las posibles contramedidas.

Requisitos del sistema: Windows 10, Windows 8.1, Windows 8, Windows 7 SP1, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 SP1. G DATA Meltdown & Specter Scanner requiere .NET Framework 4 o superior, el cual viene preinstalado a partir de Windows 8 o Windows Server 2012. Si está utilizando Windows 7 SP1 o Windows Server 2008 R2 SP1, instale primero .NET Framework 4.7.1.

Web: https://www.gdata.es/descargas#Herramientas
D.Directa: https://secure.gd/dl-mss
Peso: 0,8 MB

Saludos.
430  Foros Generales / Noticias / Un fallo en WordPress permite a un autor borrar ficheros y ejecutar código arbit en: 30 Junio 2018, 01:21 am
Los investigadores de RIPS Technologies GmbH descubrieron hace siete meses una vulnerabilidad en el conocido CMS WordPress que permite a un usuario con bajos privilegios poder secuestrar todo el sitio web y ejecutar código arbitrario a nivel del servidor.

A pesar de todo el tiempo transcurrido, en la actualidad todas las versiones de WordPress, incluida la 4.9.6, siguen afectadas por el fallo de seguridad descubierta por los investigadores, que reside en una de las funciones principales de WordPress y se ejecuta en segundo plano cuando un usuario borra de forma permanente una miniatura o una imagen subida.

La función de eliminación de miniaturas acepta entradas de usuario sin sanitizar, permitiendo a usuarios con privilegios restringidos, a partir de los autores, borrar cualquier fichero alojado en el almacenamiento web, algo que solo tendría que poder realizar los administradores del servidor o el sitio web. El requerir al menos una cuenta de autor reduce la gravedad del fallo hasta cierto punto, que puede ser explotado por cualquier colaborador o hacker que obtenga las credenciales de un autor mediante ataque de phishing, reutilización de contraseña u otros tipos de ataques.

Los investigadores avisan de que el actor malicioso podría terminar borrando ficheros críticos como “.httaccess” del servidor web, que contiene ciertas configuraciones relacionadas con la seguridad, en un intento de inhabilitar la protección. Otra posibilidad es borrar el fichero “wp-config.php”, abriendo así al puerta a que se vuelva a iniciar el instalador y poder así reconfigurar el sitio web con los parámetros que el hacker crea conveniente y obtener así control total.

Aquí es importante tener en cuenta una cosa, y es que el hacker no tiene acceso directo al fichero “wp-config.php”, así que no puede obtener parámetros de configuración como el nombre del base de datos, el nombre de usuario de MySQL y la contraseña de dicho usuario de MySQL, por lo que no le queda otra que reconfigurar utilizando un base de datos remota que esté bajo su control. Una vez terminado el proceso de instalación, el atacante podrá hacer lo que quiera con el sitio web, incluso ejecutar código arbitrario.

Los investigadores han publicado un parche propio para corregir este problema, mientras el equipo de seguridad de WordPress todavía busca una manera de parchearlo en la próxima versión de mantenimiento del CMS.

Fuente: The Hacker News
Páginas: 1 ... 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 [43] 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 ... 122
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines