Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
ElevenPaths ElevenPaths Radio – 2×04 Entrevista a Juan Cobo ¿A qué responsabilidades y retos se enfrenta un CISO en su día a día? Nos lo cuenta en este episodio Juan Cobo, CISO Global de Ferrovial.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 7-13 de noviembre Vínculos entre Vatet, PyXie y Defray777 Investigadores de Palo Alto Networks han indagado en las familias de malware y metodologías operativas utilizadas por un actor amenaza que ha logrado pasar...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto Base de datos de más de 900 servidores empresariales Pulse Secure VPN Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con...
ElevenPaths Internet se ha roto, otra vez (I) Poco se puede aportar ya al fallo de implementación criptográfica Heartbleed (ya tenemos disponibles plugins para FOCA y Faast). Se trata de un grave problema que tendrá (y es...
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Todo lo que vimos en Security Innovation Day 2015 (II): tu móvil, tu identificador único Tu número de móvil, tu llave de acceso En ElevenPaths estamos cambiando la forma en la que los usuarios interactúan y se relacionan en el mundo digital. El móvil se...
ElevenPaths Historias de #MujeresHacker: Laura iglesias, experta en ciberseguridad y hacking en Telefónica Esta semana os traemos el relato de Laura Iglesias, una de las expertas en ciberseguridad con más experiencia en ElevenPaths y una de las mujeres que cree que la diversidad...
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 3-7 de febreroElevenPaths 7 febrero, 2020 TeamViewer almacena la contraseña de usuario en el registro de Windows Un investigador de seguridad ha descubierto que TeamViewer estaría almacenando las contraseñas de inicio de sesión de los usuarios, que no las claves de control remoto generadas en cada conexión, cifradas con AES-128-CBC con la clave 0602000000a400005253413100040000 y con iv (vector de inicialización presente en funciones hash criptográficas) 0100010067244F436E6762F25EA8D704 en el registro de Windows. Al reutilizarse una misma contraseña, se facilita un escenario de escalada de privilegios y un atacante podría llegar a usar TeamViewer para conectarse de forma remota a una máquina objetivo. Además, el software permite copiar datos o programar tareas para ejecutarlas a través de su servicio, que se ejecuta como NT AUTHORITY/SYSTEM, por lo que un usuario con un nivel de privilegios bajo podría obtener estos permisos. Ante la alerta generada, desde TeamViewer emitieron un comunicado tratando de quitar importancia al asunto aduciendo que es necesario el acceso previo al equipo para poder ver el registro de Windows, si bien son muchos los usuarios que indican no se habría realizado una correcta valoración del riesgo por parte de la firma. El CCN CERT emitió un aviso al conocerse la noticia desaconsejando el uso de la aplicación, si bien un día más tarde ha emitido una actualización limitando también el impacto. Información completa aquí: https://whynotsecurity.com/blog/teamviewer/ Técnica de inyección de código para explotar vulnerabilidad en SharePoint Microsoft lanzó en enero un parche para corregir la vulnerabilidad CVE-2020-0646, cuya explotación permitiría la ejecución remota de código en SharePoint Online. Si bien el problema principal fue corregido en .NET Framework, las versiones locales de SharePoint que no disponen del parche aún serían vulnerables a día de hoy. El investigador de ciberseguridad Soroush Dalili, ha publicado una investigación en la que indica que explotando esta vulnerabilidad se podría abusar de algunos de los parámetros del System.Workflow.Activities con el objetivo de ejecutar código en el servidor de SharePoint al compilar un archivo de formato XOML. La vulnerabilidad fue puesta en conocimiento de Microsoft en noviembre de 2019, que procedió a parchearla inmediatamente en la plataforma online. Sin embargo, como se ha indicado con anterioridad, no fue hasta el pasado mes de enero cuando el problema principal se corregiría. Más información: https://www.mdsec.co.uk/2020/01/code-injection-in-workflows-leading-to-sharepoint-rce-cve-2020-0646/ Twitter corrige problema en API explotada para obtener información de usuarios Twitter ha reconocido que el pasado diciembre se descubrió que alguien estaba usando una gran red de cuentas falsas para explotar su API y relacionar nombres de usuario con sus números de teléfono. Aunque las cuentas maliciosas se encontraban en países de todo el mundo, una gran cantidad de solicitudes a la API afectada provenían de direcciones IP de Irán, Israel y Malasia. Según Twitter, el endpoint de la API que fue objeto de este ataque permitía a las personas que creaban nuevas cuentas encontrar a sus amigos en Twitter, permitiendo consultar a aquellos usuarios que tenían el número de teléfono asociado con sus cuentas y que también habían habilitado la opción ‘Permitir que las personas que tienen su número de teléfono lo encuentren en Twitter’ en su configuración. Inmediatamente tras la investigación, Twitter realizó una serie de cambios en el endpoint afectado para que ya no devolviera nombres de cuentas específicas en respuesta a consultas, además de suspender cualquier cuenta que creyesen estaba explotando dicho endpoint. Toda la información: https://privacy.twitter.com/en/blog/2020/an-incident-impacting-your-account-identity Vulnerabilidad XSS en WhatsApp Facebook ha parcheado una vulnerabilidad de criticidad alta en WhatsApp que permitía a los atacantes leer los archivos del sistema local de la víctima. La vulnerabilidad, CVE-2019-18426, fue descubierta por el investigador de PerimeterX Gal Weizman cuando encontró un fallo en la Política de Seguridad de Contenido (CSP) de WhatsApp, que permitía realizar un cross-site scripting (XSS) en la aplicación de escritorio. Esto permitió a Weizman obtener permisos de lectura en el sistema de archivos local tanto en Windows como en MacOS. Para explotar este fallo, es necesario que la víctima acceda a la vista previa de un enlace malicioso. Este fallo aplica a las versiones de escritorio de WhatsApp inferiores a 0.3.9309 combinada con dispositivos iPhone con versión anterior a 2.20.10. Más: https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/ Explotación de vulnerabilidades en controladores de GIGABYTE para desactivar software antivirus Investigadores de Sophos han descubierto que el ransomware RobinHood estaría explotando una vulnerabilidad (CVE-2018-19320) en controladores de GIGABYTE para conseguir infectar a los usuarios. Durante un análisis de equipos infectados con este ransomware, se ha destapado que el malware estaría cerrando procesos de antivirus y software de seguridad del sistema operativo antes de proceder a cifrar los datos, a pesar de que Windows únicamente permite ejecutar el cierre de dichos procesos de seguridad a aquellos controladores con permisos de Kernel. Además, Windows ha implementado una política de seguridad que impide la instalación de controladores del Kernel excepto si estos son también supervisados y firmados por la compañía, para evitar, concretamente, que un controlador malicioso obtenga permisos de este nivel. Sin embargo, se ha desvelado que RobinHood ha burlado esta política de seguridad explotando controladores vulnerables de GIGABYTE, los cuales sí tienen la firma de Microsoft, y por tanto permisos de nivel Kernel. Además, aprovecha esta ventaja para deshabilitar la política de seguridad que verifica la firma, sin la cual instala un driver de Kernel malicioso que finaliza los procesos de productos endpoint y de antivirus del sistema para poder ejecutar, sin interferencias, su fase del ataque de ransomware. Más información en: https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. Informe global de amenazas DDoSElevenPaths Radio – 2×01 Entrevista a Mario García
Área de Innovación y Laboratorio de ElevenPaths ElevenPaths pasa a formar parte del Atlas de Ciberseguridad de la Comisión Europea El Área de Innovación y Laboratorio de ElevenPaths ha sido incluida como como parte del Atlas de Ciberseguridad de la Comisión Europea, una plataforma de gestión del conocimiento que...
Gonzalo Álvarez Marañón En Internet nadie sabe que eres un perro ni aunque uses certificados TLS Te habrás fijado en que la mayoría de las páginas web llevan un candadito. Si haces clic en él, aparecerá una ventana que afirma que “la conexión es segura”....
ElevenPaths Boletín semanal de ciberseguridad 13-19 febrero Vulnerabilidad de elevación de privilegios en Windows Defender El investigador de SentinelLabs Kasif Dekel ha descubierto una nueva vulnerabilidad en Windows Defender que podría llevar activa más de doce años....
Martiniano Mallavibarrena La nueva fuerza de trabajo digital y los riesgos alrededor de la robótica de procesos (RPA) En estos últimos años, son muchas las empresas de distintos sectores que han optado por basar su transformación digital en la automatización de procesos (RPA – Robot Process Automation),...
ElevenPaths ¿Qué es la VPN y para qué sirve? Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez...
Juan Elosua Tomé Nueva versión de FARO: crea tu propio plugin y contribuye a su evolución Hoy venimos a presentaros una nueva versión de FARO, nuestra herramienta open source de detección de información sensible de la que ya os hemos hablado en este mismo blog...