Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
ElevenPaths Qué hemos presentado en el Security Innovation Day 2018: Corporate Fake News (V) Para poner punto y final al Security Innovation Day 2018, Chema Alonso, Chief Data Officer de Telefónica) y Chairman de ElevenPaths junto con Martina Matarí, Incident Responder CSIRT Global...
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport20H2: Microsoft corrige muchas más vulnerabilidades, pero descubre bastantes menos Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
ElevenPaths DirtyTooth: Es nuestro Rock’n Roll Las comunicaciones vía bluetooth están aumentando constantemente. Millones de usuarios usan esta tecnología a diario para conectarse a dispositivos que nos ayudan a hacer nuestra vida más cómoda, desde...
ElevenPaths Qué hemos presentado en el Security Day 2016 (IV): MetaShield Protector para Outlook Online en Office 365 Hasta ahora conocíamos soluciones que limpiaban los metadatos en tu cuenta de correo Outlook local de tu equipo windows, pero ¿qué pasaba con aquellos que cada vez más empezamos...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
Sergio De Los Santos Historias de la luna y el dedo: por qué Samsung anima a analizar tu televisión contra el malware Samsung publica un tweet en el que anima, a través de un pequeño vídeo, a analizar tu SmartTV cada pocas semanas con su antivirus incrustado. La polémica está servida:...
ElevenPaths Nos despedimos de la comunidad de ElevenPaths Desde ElevenPaths pusimos en marcha una plataforma donde poder reunir y compartir el conocimiento en ciberseguridad y que sirviese como punto de encuentro en el que difundir las últimas novedades...
Noticias de Ciberseguridad: Boletín semanal 2-8 de eneroElevenPaths 8 enero, 2021 Actualización sobre SolarWinds Para cerrar el año, Microsoft emitió una actualización de sus investigaciones sobre el impacto en sus sistemas del compromiso de SolarWinds. Recalcan en este comunicado que tanto los servicios de producción como los datos de clientes no se han visto afectados por accesos no autorizados, al igual que no se detectan evidencias del uso de tokens SAML falsificados para el acceso a recursos cloud propios o que su infraestructura se utilizase para atacar a clientes. No obstante, sí desvelan que los atacantes fueron capaces de comprometer un número limitado de cuentas internas, una de las cuales tenía permisos de lectura de código fuente propietario. A través de la misma, se habría accedido a varios repositorios de código que no han sufrido modificaciones, según indica la investigación de Microsoft, al no disponer la cuenta de privilegios de escritura para realizar tales acciones. Por otro lado el departamento de Justicia estadounidense emitió el martes 5 de enero un comunicado donde confirmaban el compromiso de sus sistemas como resultado del ataque a la cadena de suministro que involucra al software SolarWinds Orion. La investigación interna habría revelado que los actores amenaza habrían llegado a moverse entre los sistemas de la red, consiguiendo acceso a las cuentas de correo electrónico de cerca del 3% de los empleados de la entidad, es decir, más de 3000 individuos. Pese a ello, la agencia gubernamental indica que no se ha detectado impacto en aquellos sistemas clasificados. El mismo día que se conocían estos datos, el FBI, CISA, ODNI y la NSA publicaban un comunicado conjunto atribuyendo de forma oficial el ataque a una APT ligada a Rusia. Finalmente, varios medios se han hecho eco de una reciente hipótesis que involucra al software de gestión de proyectos TeamCity como vector de entrada a los sistemas de SolarWinds. Por su parte, la empresa propiedad del software, JetBrains, ha negado estas conjeturas, indicando que desconoce que exista investigación alguna a este respecto. Más información: https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/https://www.justice.gov/opa/pr/department-justice-statement-solarwinds-update Análisis de la infraestructura de C2 maliciosos durante 2020 Insikt Group de Recorded Future ha publicado los resultados de un estudio llevado a cabo sobre la infraestructura de Command and Control (C2) maliciosos identificados durante 2020 a través de sus plataformas. El estudio expone algunos datos destacados como que más de la mitad de los servidores detectados no se encontraban referenciados en fuentes abiertas, o que de media los servidores tienen un ciclo de vida útil dentro de la infraestructura maliciosa de unos 55 días aproximadamente. Por otro lado, también se resalta que los proveedores de Hosting en los que mayor número de servidores maliciosos se detectaron son aquellos que mayor infraestructura tienen, es decir, proveedores como Amazon o Digital Ocean, en contra de la idea tradicional que indica que determinados proveedores de hosting más sospechosos albergarían este tipo de infraestructura. En los detalles revelados se denota una tendencia a la utilización de herramientas de código abierto como parte de las operaciones de infección con malware. Dentro de esta propensión, desde Insikt Group manifiestan la predominancia de varias herramientas de seguridad ofensiva, como son Cobalt Strike y Metasploit, responsables de alojar más de una cuarta parte de todos los servidores C2 analizados. En último lugar, cabe señalar que los investigadores vinculan prácticamente todos los hallazgos a APTs o actores financieros de alto nivel. Más detalles: https://go.recordedfuture.com/hubfs/reports/cta-2021-0107.pdf Zyxell corrige una vulnerabilidad crítica en sus dispositivos El fabricante de dispositivos de red Zyxel ha publicado una actualización de seguridad que soluciona una vulnerabilidad crítica en su firmware. Este fallo, identificado como CVE-2020-29583 con CVSS de 7.8, permitiría a un agente amenaza acceder con privilegios de administrador vía ssh a los equipos vulnerables, debido a la existencia de una cuenta secreta (zyfwp) que no se encontraba documentada y cuya contraseña, almacenada en claro en el firmware, era fija. Entre las capacidades que otorga esta vulnerabilidad se tiene la posibilidad de cambiar la configuración del cortafuegos, interceptar el tráfico o crear cuentas VPN para acceder a la red en la que se encuentra el dispositivo. El fallo, descubierto y reportado en diciembre por investigadores de EYE, afecta a los dispositivos Zyxel USG y USG FLEX, ATP y VPN con versión V4.60 del firmware, además de los controladores de puntos de acceso AP NXC2500 con versiones del firmware entre V6.00 y V6.10, todos ellos actualizados y corregidos en las versiones V4.60 Patch1 y V6.10 Patch1. Más información: https://www.zyxel.com/support/CVE-2020-29583.shtml Vulnerabilidad de ejecución remota de código en Zend Framework El investigador de ciberseguridad Ling Yizhou, ha revelado una vulnerabilidad de deserialización en Zend Framework que podría ser explotada por los atacantes para lograr la ejecución remota de código en sitios PHP. El fallo, catalogado como CVE-2021-3007, además de afectar a Zend Framework 3.0.0, podría impactar algunas instancias del sucesor de Zend, Laminas Project. Una aplicación vulnerable podría deserializar y procesar datos recibidos en un formato inadecuado, lo que podría desencadenar desde una denegación de servicio, hasta la posibilidad de que el atacante ejecutase comandos arbitrarios en el contexto de la aplicación. El investigador ha compartido detalles para su explotación a través de Github. Más detalles: https://www.bleepingcomputer.com/news/security/zend-framework-disputes-rce-vulnerability-issues-patch/ Boletín de actualizaciones de seguridad de Google para Android Google ha publicado la actualización de seguridad de enero para su sistema operativo Android en la que se abordan 42 vulnerabilidades, incluyendo cuatro de gravedad crítica. Se destaca la vulnerabilidad catalogada como CVE-2021-0316, la más crítica de esta actualización y que corresponde a un error en el sistema que podría ser explotado para lograr la ejecución de código de forma remota. Otras tres vulnerabilidades abordadas en el componente del sistema de Android presentan un índice de severidad alto. Estas incluyen dos problemas de elevación de privilegio y un error de divulgación de información. Además, el parche de seguridad 2021-01-01 también corrige 15 vulnerabilidades en el Framework, incluyendo un fallo de denegación crítica de servicio (DoS), ocho fallos de elevación de privilegios de alta severidad, cuatro problemas de revelación de información de alta gravedad, un fallo de DoS de alta severidad y una vulnerabilidad de ejecución de código remoto de gravedad media. La segunda parte de las actualizaciones de seguridad aborda un total de 19 vulnerabilidades en el Kernel (tres vulnerabilidades de alta severidad), MediaTek (una vulnerabilidad de alta severidad) y los componentes de Qualcomm (seis vulnerabilidades de alta severidad). En el conjunto de actualizaciones de este mes también se incluyeron parches para nueve fallos en los componentes de código cerrado de Qualcomm (dos vulnerabilidades críticas y siete de alta severidad). Por último, se ha publicado un parche de seguridad para los dispositivos Pixel, correspondientes a otras cuatro vulnerabilidades. Toda la información: https://source.android.com/security/bulletin/pixel/2021-01-01 Actualización de términos y condiciones de WhatsApp: ¿una jugada atrevida?El cifrado plausiblemente negable o cómo revelar una clave sin revelarla
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Martiniano Mallavibarrena La nueva fuerza de trabajo digital y los riesgos alrededor de la robótica de procesos (RPA) En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation),...
ElevenPaths ¿Qué es la VPN y para qué sirve? Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez...
Juan Elosua Tomé Nueva versión de FARO: crea tu propio plugin y contribuye a su evolución Hoy venimos a presentaros una nueva versión de FARO, nuestra herramienta open source de detección de información sensible de la que ya os hemos hablado en este mismo blog...