• 902 88 64 37
  • info@programaweb.com

Archivos de la etiquetas Seguridad

Millones de dispositivos Wi-Fi vulnerables a hackers

Millones de dispositivos Wi-Fi vulnerables a hackers

El error Kr00k surge de una clave de cifrado totalmente cero en los chips de Wi-Fi que revela las comunicaciones de dispositivos de Amazon, Apple, Google, Samsung y otros.

Se descubrió una grave vulnerabilidad en los chips de Wi-Fi que afecta a miles de millones de dispositivos en todo el mundo, según los investigadores. Permite a los atacantes espiar las comunicaciones por Wi-Fi.

El error (CVE-2019-15126) se deriva del uso de una clave de cifrado totalmente cero en chips fabricados por Broadcom y Cypress, según los investigadores de ESET, que da como resultado el descifrado de datos. Esto rompe los protocolos de seguridad WPA2-Personal y WPA2-Enterprise.

Los chips vulnerables se encuentran en teléfonos inteligentes, tabletas y computadoras portátiles (con silicio Broadcom) y en dispositivos IoT (chips Cypress), incluidas varias generaciones de productos de Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Google (Nexus ), Samsung (Galaxy), Frambuesa (Pi 3), Xiaomi (RedMi). ESET también descubrió que el error estaba presente en los puntos de acceso (AP) y enrutadores de Asus y Huawei. En total, más de mil millones de dispositivos están afectados, estimaron los investigadores.

ESET denominó la vulnerabilidad «KrØØk» para incorporar los ceros, y también porque está relacionado con el ataque KRACK , también conocido como Ataques de reinstalación clave, descubierto en 2017. El enfoque KRACK era un problema de toda la industria en los protocolos WPA y WPA2 para proteger Wi- Fi que podría causar una «pérdida completa de control sobre los datos», según ICS-CERT. Explicó en un aviso en ese momento que KRACK «podría permitir que un atacante ejecute un ataque ‘man-in-the-middle’, permitiendo al atacante dentro del alcance de la radio reproducir, descifrar o falsificar tramas».

Según ESET, “[encontró] que KrØØk es una de las posibles causas detrás de la ‘reinstalación’ de una clave de cifrado totalmente cero, observada en las pruebas de ataques KRACK. Esto siguió a nuestros hallazgos anteriores de que Amazon Echo era vulnerable a KRACK ”, dijeron los investigadores en un informe sobre la falla, emitido el miércoles en la RSA Conference 2020.

En Wi-Fi, cada vez que un dispositivo se conecta a un punto de acceso (AP), eso se denomina asociación. Cuando se desconecta (por ejemplo, cuando una persona deambula de un punto de acceso Wi-Fi a otro, experimenta interferencia de señal o apaga el Wi-Fi en el dispositivo), esto se denomina disociación.

«KrØØk se manifiesta después de una disociación», explicaron los investigadores de ESET. “[Una vez que se produce la disociación], la clave de sesión almacenada en el chip de Wi-Fi del Controlador de interfaz de red inalámbrica (WNIC) se borra en la memoria, configurada en cero. Este es el comportamiento esperado, ya que se supone que no se transmitirán más datos después de la disociación. Sin embargo, descubrimos que todas las tramas de datos que quedaron en el búfer de transmisión del chip se transmitieron después de encriptarse con esta clave de cero «. Debido a que utiliza todos los ceros, este «cifrado» en realidad resulta en que los datos se descifran y se dejan en texto plano.

El camino del ataque es simple: las asociaciones y las disociaciones se rigen por marcos de administración, que no están autenticados ni cifrados, explicó ESET. Para explotar el error, un adversario puede simplemente desencadenar manualmente una disociación mediante el envío de un marco de datos de gestión diseñado, y luego podrá recuperar la información de texto sin formato que queda en el búfer.

En una sesión sobre los hallazgos en RSAC, el investigador de ESET Steve Vorencik dijo que KrØØk puede exponer hasta 32 KB de datos a la vez, lo que equivale a alrededor de 20,000 palabras. Un atacante puede enviar una serie de marcos de gestión para desencadenar el ataque de manera continua y comenzar a recopilar datos, que pueden ser contraseñas, información de tarjetas de crédito o cualquier otra cosa que el usuario pueda enviar a Internet a través de Wi-Fi.

«Las escuchas pueden ser activas o pasivas», dijo Vorencik. “Lo que escuchan depende del momento de lo que está haciendo el usuario. Podrías esperar a que surja algo interesante, y siempre pasa algo ”.

El ataque puede magnificarse cuando un AP vulnerable está involucrado en la mezcla. Por ejemplo, escuchar un centro de hogar inteligente puede recuperar cualquier información enviada entre él y los dispositivos satelitales, como un timbre conectado, un termostato inteligente o luces inteligentes, o computadoras portátiles, computadoras y dispositivos móviles. Los investigadores de ESET explicaron que esto permite a los atacantes espiar incluso dispositivos cliente no afectados o ya parcheados.

«Esto aumenta enormemente el alcance del ataque», explicó Vorencik. «Un atacante solo necesita enviar un marco de administración al AP y luego puede obtener acceso a todo el entorno».

En una demostración, Vorencik y su compañero investigador de ESET Robert Lipovsky demostraron que KrØØk podría usarse para recuperar contraseñas para dispositivos no vulnerables conectados a un AP «KrØØk-ed», lo que permite pwning para toda la casa u oficina.

ESET reveló de manera responsable el error y permitió un período de gracia de 120 días para que Broadcom y Cypress creen actualizaciones de firmware, y para que los fabricantes tengan tiempo de usarlas para crear actualizaciones de SO, parches y actualizaciones de firmware para implementar a los usuarios finales. Según ESET, los principales fabricantes han lanzado correcciones, y los usuarios deberán actualizar sus dispositivos para garantizar que las comunicaciones desde sus dispositivos Wi-Fi no puedan ser pirateadas y escuchadas fácilmente.

El total de más de mil millones de dispositivos afectados es «una estimación conservadora», según el documento de ESET, porque KrØØk probablemente no se limita solo a los dispositivos que la compañía probó. «Nuestros resultados no son de ninguna manera exhaustivos», dijo Lipovsky en RSAC, y agregó que los equipos Qualcomm y MediaTek no eran vulnerables.

Malware móvil entre mayores amenazas cibernéticas para 2020

Malware móvil entre mayores amenazas cibernéticas para 2020

Según una nueva investigación de Kaspersky, habrá un aumento en el malware móvil y los grupos cibercriminales que explotan dispositivos móviles en la región de Asia Pacífico en 2020. 

Derivado de las observaciones y hallazgos recopilados por el Equipo de Investigación y Análisis Global de Kaspersky (GReAT) el año pasado combinados con las tendencias de la industria y la tecnología, Kaspersky ha revelado sus predicciones para 2020 que tienen como objetivo proporcionar orientación y conocimientos para la industria de la seguridad cibernética y las partes interesadas relevantes en APAC.

Más amenazas móviles

A medida que el número de usuarios que se mueven a plataformas móviles desde PC normales sigue creciendo en la región, sigue el número de actores de amenazas que ingresan a este espacio.

En 2019, se informaron varios días diferentes de Android e iOS, como el spyware de pozo descubierto descubierto en iOS que puede obtener datos confidenciales como fotos de iMessage y ubicación de GPS.

El interés en comprometer las plataformas móviles con persistencia es cada vez mayor, por lo que Kaspersky espera ver más amenazas cuando las explotaciones móviles se conviertan en una mercancía y su precio baje.

«Los usuarios móviles en Asia Pacífico siguen siendo vulnerables a la ingeniería social, que hasta ahora es uno de los vectores de ataque más comunes», dice Vitaly Kamluk, director del Equipo de Investigación y Análisis Global (GReAT) Asia Pacífico en Kaspersky.

«Los usuarios comunes a menudo son engañados por estafas en línea, marcadores automáticos, intentos de distorsión sexual y servicios en línea gratuitos que ofrecen video de transmisión gratuita, que a menudo vienen con mineros de criptomonedas ocultos en el navegador», dice. 

Nuevas técnicas y nuevas plataformas de actores de amenazas conocidos.

En 2019, los investigadores de Kaspersky han visto a los actores de Amenazas Persistentes Avanzadas (APT) activos en esta región adoptando nuevas técnicas y enfoques, como el uso de esteganografía de Ocean Lotus o el desarrollo de malware en el lenguaje de programación Nim de Zebrocy o el uso de archivos LNK maliciosos de HoneyMyte.

Los investigadores también vieron a Ocean Lotus con su nuevo malware iOS en 2019. Este actor de amenazas ha estado adoptando activamente nuevas técnicas, que tienen como objetivo complicar el análisis de malware.

Más ataques dirigidos a países involucrados en la Iniciativa Belt and Road (BRI)

Kaspersky también vio el año pasado al menos unos pocos actores de amenazas dirigidos a países de la región involucrados en BRI como Ocean Lotus, Lucky Mouse y HoneyMyte y con más avances en diferentes aspectos de esta iniciativa, es probable que vea más ataques motivados por ella.

BRI es un programa que tiene como objetivo conectar a China con el mundo. Anunciado en 2019, el proyecto tiene como objetivo vincular el país a tres continentes: Asia, África y Europa, a través de redes terrestres y marítimas interconectadas. El objetivo final es aumentar el crecimiento comercial y económico y fomentar la integración regional.

Los ataques a la cadena de suministro siguen siendo una de las mayores amenazas

El año pasado, los investigadores de Kaspersky también descubrieron y anunciaron una violación de varias empresas de la cadena de suministro de software en Asia. Se cree que el actor de la amenaza conocido como ShadowPad / ShadowHammer es responsable de este tipo de ataque.

También vale la pena señalar que una encuesta realizada por Kaspersky mostró que los ataques exitosos de la cadena de suministro pueden costar hasta $ 2.57 millones en promedio.

«Dado que este grupo ha estado activo en los últimos años haciendo ataques similares en una escala más baja, esperamos que este actor continúe y que otros grupos se muevan a este segmento», dice Kamluk. «Kaspersky espera ver más informes de empresas de la cadena de suministro de software comprometidas».

Juegos Olímpicos en Japón

Stephan Neumeier, director gerente para Asia Pacífico en Kaspersky, dice que casi se ha convertido en una tradición ejecutar ataques políticamente motivados durante los Juegos Olímpicos. 

«Con una alta tensión política en muchas regiones del mundo, esperamos que ocurran uno o incluso varios ataques independientes durante los próximos Juegos Olímpicos en Tokio», dice.

«Con sus países desarrollados a la vanguardia de la tecnología 5G y la Industria 4.0 y sus economías emergentes con población hiper-en línea y altamente móvil y joven, Asia Pacífico está definitivamente en el centro de las nuevas tecnologías y tendencias que definirán la nueva década». dice Neumeier.

«Estas verdades combinadas con la estructura geopolítica de la región definitivamente darán forma a su panorama en la región. Las organizaciones y los individuos pueden usar nuestras predicciones para guiarlos mejor en la toma de decisiones, especialmente cuando se trata de impulsar sus hábitos y cultura de ciberseguridad».

Microsoft admite un problema grave

Microsoft admite un problema grave

Recientemente se descubrió que la nueva versión de Windows 10 estaba eliminando de alguna manera los archivos de los usuarios. La actualización ha estado en vivo durante más de una semana, pero no temas (o al menos no demasiado) a los fanáticos de Windows, Microsoft ha dicho (no oficialmente) que ha encontrado una solución.

Gracias a Windows Latest (a través de TechRadar ), ahora sabemos cómo Windows está respondiendo al problema. El sitio entrevistó al personal no identificado del equipo de soporte de Microsoft, uno de los cuales fue citado diciendo: «Microsoft es consciente de este problema conocido y nuestros ingenieros están trabajando diligentemente para encontrar una solución». Además, se ha informado que el equipo de Windows ha podido replicar el error y encontrar una forma potencial de restaurar los archivos perdidos.

  • La mejor característica de Gmail acaba de llegar a Google Docs: cómo probarlo
  • Surface Laptop 3 tiene un problema de pantalla desagradable y hasta ahora no hay solución
  • Nuevo de Microsoft: la aplicación de Office combina Word, Excel y PowerPoint

Esta problemática actualización de seguridad (oficialmente llamada Windows 10 KB4532693) también había provocado que el menú Inicio y el escritorio de los usuarios se restablecieran a sus valores predeterminados, dejándolos desconcertados sobre dónde habían desaparecido todos sus atajos familiares, aplicaciones y fondos de pantalla. Sin embargo, esto obviamente palidece en comparación con la idea de que las personas pierdan datos debido a una codificación poco fiable por parte de Microsoft.

Ha sido un comienzo difícil para 2020 para Windows 10. A principios de febrero, la actualización de Windows 10 KB4532695 ralentizó el Wi-Fi de los usuarios y causó problemas para los dispositivos de audio , mientras que en enero una actualización de seguridad de Windows 10 se negó a instalarse automáticamente , lo que requirió usuarios para hacerlo manualmente.

Cómo solucionar el problema de pérdida de datos de Windows 10

El problema, al menos en algunos casos, parece no ser causado por el sistema operativo que elimina los archivos afectados, sino que abre un nuevo perfil de usuario temporal con los datos de un usuario existente. Lo que el personal de Windows ha descubierto es que configurar una nueva cuenta y transferir los datos de la cuenta temporal a ella resuelve el problema. Desafortunadamente, Windows no ha explicado el proceso exacto que usó para hacer esto, por lo que es mejor que se abstenga de este método a menos que esté muy familiarizado con el funcionamiento de Windows 10.

Alternativamente, puede desinstalar la actualización que causó el problema en primer lugar. Esto se puede encontrar yendo a:

Configuración -> Actualización y seguridad -> Actualización de Windows -> Historial de actualizaciones -> Desinstalar actualizaciones

Una vez que esté allí, busque la actualización ofensiva en la lista (en este caso, KB4532693), selecciónela y elija desinstalarla.

Dicho esto, esto no parece haber funcionado para todos, algunas personas no pueden encontrar sus archivos o restaurarlos con éxito en una nueva cuenta. Puede ser mejor esperar hasta que Microsoft lance una solución oficial si puede permitírselo.

Toda esta charla sobre pérdida de datos puede estar haciendo que desee invertir en un disco duro externo o en un servicio de respaldo en la nube . Si está buscando almacenamiento físico, el disco duro portátil Western Digital Elements es uno de los mejores.

Complemento de WordPress abre sitios a hackers

Complemento de WordPress abre sitios a hackers

Un popular complemento de tema de WordPress con más de 200,000 instalaciones activas contiene una vulnerabilidad de software severa pero fácil de explotar que, si no se parchea, podría permitir que los atacantes remotos no autenticados comprometan una amplia gama de sitios web y blogs.

El complemento vulnerable en cuestión es ‘ ThemeGrill Demo Importer ‘ que viene con temas gratuitos y premium vendidos por la compañía de desarrollo de software ThemeGrill.

El complemento ThemeGrill Demo Importer ha sido diseñado para permitir que los administradores de sitios de WordPress importen contenido de demostración, widgets y configuraciones de ThemeGrill, lo que les facilita la personalización rápida del tema.

Según un informe que la compañía de seguridad de WebARX compartió con The Hacker News, cuando se instala y activa un tema ThemeGrill, el complemento afectado ejecuta algunas funciones con privilegios administrativos sin verificar si el usuario que ejecuta el código está autenticado y es un administrador.

La falla eventualmente podría permitir a los atacantes remotos no autenticados borrar toda la base de datos de sitios web específicos a su estado predeterminado, después de lo cual también se iniciarán sesión automáticamente como administrador, lo que les permitirá tomar el control total de los sitios.

«Aquí vemos (en la captura de pantalla) que no hay verificación de autenticación, y solo el parámetro do_reset_wordpress debe estar presente en la URL en cualquier página basada en ‘admin’ de WordPress, incluyendo /wp-admin/admin-ajax.php. »

Según los investigadores de WebARX, la vulnerabilidad afecta al complemento ThemeGrill Demo Importer versión 1.3.4 hasta 1.6.1, todo lanzado en los últimos 3 años.

«Esta es una vulnerabilidad grave y puede causar una cantidad significativa de daños. Dado que no requiere una carga útil sospechosa, no se espera que ningún firewall bloquee esto de manera predeterminada, y se necesita crear una regla especial para bloquear esta vulnerabilidad, «dijeron los investigadores de WebARX.

WebARX, que proporciona software de detección de vulnerabilidades y parches virtuales para proteger los sitios web de las vulnerabilidades de los componentes de terceros. Hace dos semanas, informaron de manera responsable esta vulnerabilidad a los desarrolladores de ThemeGrill, que luego lanzaron una versión parcheada 1.6.2 el 16 de febrero.

WordPress Dashboard notifica automáticamente a los administradores cuando se necesita actualizar un complemento, pero también puede optar por instalar automáticamente las actualizaciones de los complementos en lugar de esperando la acción manual.

Emotet ahora piratea redes Wi-Fi cercanas

Emotet ahora piratea redes Wi-Fi cercanas

El malware de Emotet ahora piratea redes Wi-Fi cercanas para infectar a nuevas víctimas.

Emotet, el notorio troyano detrás de una serie de campañas de spam impulsadas por botnets y ataques de ransomware, ha encontrado un nuevo vector de ataque: el uso de dispositivos ya infectados para identificar nuevas víctimas que están conectadas a redes Wi-Fi cercanas.

Según los investigadores de Binary Defense, la muestra recientemente descubierta de Emotet aprovecha un módulo «esparcidor de Wi-Fi» para escanear redes de Wi-Fi, y luego intenta infectar los dispositivos que están conectados a ellas.

La firma de ciberseguridad dijo que el difusor de Wi-Fi tiene una marca de tiempo del 16 de abril de 2018, lo que indica que el comportamiento de propagación ha estado funcionando «inadvertido» durante casi dos años hasta que se detectó por primera vez el mes pasado.

El desarrollo marca una escalada de las capacidades de Emotet, ya que las redes cercanas a la víctima original ahora son susceptibles a la infección.

¿Cómo funciona el módulo esparcidor de Wi-Fi de Emotet?

La versión actualizada del malware funciona al aprovechar un host ya comprometido para enumerar todas las redes Wi-Fi cercanas. Para hacerlo, utiliza la interfaz wlanAPI para extraer el SSID, la intensidad de la señal, el método de autenticación (WPA, WPA2 o WEP) y el modo de cifrado utilizado para proteger las contraseñas.

Al obtener la información para cada red de esta manera, el gusano intenta conectarse a las redes mediante un ataque de fuerza bruta utilizando contraseñas obtenidas de una de las dos listas de contraseñas internas. Siempre que la conexión falle, pasa a la siguiente contraseña de la lista. No está claro de inmediato cómo se creó esta lista de contraseñas.

Pero si la operación tiene éxito, el malware conecta el sistema comprometido en la red de acceso reciente y comienza a enumerar todos los recursos compartidos no ocultos. Luego lleva a cabo una segunda ronda de ataque de fuerza bruta para adivinar los nombres de usuario y las contraseñas de todos los usuarios conectados al recurso de red.

Después de tener usuarios forzados con fuerza bruta y sus contraseñas, el gusano pasa a la siguiente fase instalando cargas maliciosas, llamadas «service.exe», en los sistemas remotos recién infectados. Para ocultar su comportamiento, la carga útil se instala como un servicio del sistema de Windows Defender (WinDefService).

Además de comunicarse con un servidor de comando y control (C2), el servicio actúa como un cuentagotas y ejecuta el binario Emotet en el host infectado.

El hecho de que Emotet pueda saltar de una red Wi-Fi a otra pone a las empresas a su disposición para proteger sus redes con contraseñas seguras para evitar el acceso no autorizado. El malware también se puede detectar monitoreando activamente los procesos que se ejecutan desde carpetas temporales y carpetas de datos de aplicaciones de perfil de usuario.

Emotet: del troyano bancario al cargador de malware

Emotet, que se identificó por primera vez en 2014, se ha transformado de sus raíces originales como un troyano bancario a una «navaja suiza» que puede servir como descargador, ladrón de información y spambot dependiendo de cómo se implemente.

Con los años, también ha sido un mecanismo de entrega eficaz para ransomware. La red de TI de Lake City quedó paralizada en junio pasado después de que un empleado abrió accidentalmente un correo electrónico sospechoso que descargó el troyano Emotet, que a su vez descargó el troyano TrickBot y el ransomware Ryuk.

Aunque las campañas impulsadas por Emotet desaparecieron en gran medida durante el verano de 2019, regresaron en septiembrea través de «correos electrónicos orientados geográficamente con señuelos y marcas en el idioma local, a menudo de temas financieros, y utilizando archivos adjuntos de documentos maliciosos o enlaces a documentos similares, que, cuando los usuarios habilitaron macros, instalaron Emotet».

«Con este tipo de cargador recientemente descubierto utilizado por Emotet, se introduce un nuevo vector de amenaza a las capacidades de Emotet», concluyeron los investigadores de Defensa Binaria. «Emotet puede usar este tipo de cargador para propagarse a través de redes inalámbricas cercanas si las redes usan contraseñas inseguras».