Gabriel Bergel ¿Preparados para un incidente de ciberseguridad? (parte 2) En esta segunda parte del post en el que hablamos sobre estar preparados para incidentes de ciberseguridad, te contamos qué es el BCP y cómo implementarlo.
Área de Innovación y Laboratorio de ElevenPaths TheTHE: The Threat Hunting Environment en la RSA Llevamos nuestra herramienta para investigadores y sus proóximas novedades al evento de referencia en ciberseguridad, la RSA.
ElevenPaths Eventos en los que participa ElevenPaths en diciembre Un completo resumen de los eventos, charlas y conferencias en los que van a participar los expertos de ElevenPaths durante el mes de diciembre.
ElevenPaths Telefónica y BOTECH FPI, juntos contra el fraude en el sector bancario El pasado 31 de mayo se consolidó la alianza entre Telefónica y BOTECH FPI (Fraud, Prevention & Intelligence) con el objetivo de explotar las sinergias de estas empresas en...
Área de Innovación y Laboratorio de ElevenPaths TheTHE: The Threat Hunting Environment en la RSA Llevamos nuestra herramienta para investigadores y sus proóximas novedades al evento de referencia en ciberseguridad, la RSA.
ElevenPaths Informe de tendencias en ciberseguridad para 2020 de ElevenPaths Este informe pretende enfocar las posibles amenazas que podrían surgir en el entorno digital en el año 2020, dibujando un panorama de un posible futuro impulsado por la evolución...
ElevenPaths Un kit de exploits de masas que puede eludir EMET: ¿hora de preocuparse? FireEye ha hecho un buen descubrimiento: algunos exploits de Angler pueden eludir algunas de las defensas introducidas por EMET. Al margen de los detalles técnicos (que repasaremos) la aparición...
ElevenPaths Intercambio de datos entre páginas: SOP, CORS y WebMessage (y II) Los navegadores son las aplicaciones más usadas por los usuarios a causa del desplazamiento del escritorio “a la nube” y por la grandes posibilidades que abarcan. La creciente complejidad...
Sergio Sancho Azcoitia Scratch, programación al alcance de todos (parte 1) Te contamos por qué Scratch se ha convertido en una de las principales herramientas para la iniciación a la programación en colegios e institutos.
ElevenPaths Informe de tendencias en ciberseguridad para 2020 de ElevenPaths Este informe pretende enfocar las posibles amenazas que podrían surgir en el entorno digital en el año 2020, dibujando un panorama de un posible futuro impulsado por la evolución...
ElevenPaths Los mejores webinars de 2019 por ElevenPaths Aprende sobre las últimas tendencias en ciberseguridad y herramientas con nuestros expertos.
ElevenPaths Celebra con nosotros el #DíaMundialDeLaCiberseguridad ¡Hacker, hoy es nuestro día! Dejando el Black Friday de lado, queremos celebrar el Día Internacional de la Ciberseguridad con todos vosotros, 30 de noviembre. ¿Sabías que este día fue...
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 3-7 de febreroElevenPaths 7 febrero, 2020 TeamViewer almacena la contraseña de usuario en el registro de Windows Un investigador de seguridad ha descubierto que TeamViewer estaría almacenando las contraseñas de inicio de sesión de los usuarios, que no las claves de control remoto generadas en cada conexión, cifradas con AES-128-CBC con la clave 0602000000a400005253413100040000 y con iv (vector de inicialización presente en funciones hash criptográficas) 0100010067244F436E6762F25EA8D704 en el registro de Windows. Al reutilizarse una misma contraseña, se facilita un escenario de escalada de privilegios y un atacante podría llegar a usar TeamViewer para conectarse de forma remota a una máquina objetivo. Además, el software permite copiar datos o programar tareas para ejecutarlas a través de su servicio, que se ejecuta como NT AUTHORITY/SYSTEM, por lo que un usuario con un nivel de privilegios bajo podría obtener estos permisos. Ante la alerta generada, desde TeamViewer emitieron un comunicado tratando de quitar importancia al asunto aduciendo que es necesario el acceso previo al equipo para poder ver el registro de Windows, si bien son muchos los usuarios que indican no se habría realizado una correcta valoración del riesgo por parte de la firma. El CCN CERT emitió un aviso al conocerse la noticia desaconsejando el uso de la aplicación, si bien un día más tarde ha emitido una actualización limitando también el impacto. Información completa aquí: https://whynotsecurity.com/blog/teamviewer/ Técnica de inyección de código para explotar vulnerabilidad en SharePoint Microsoft lanzó en enero un parche para corregir la vulnerabilidad CVE-2020-0646, cuya explotación permitiría la ejecución remota de código en SharePoint Online. Si bien el problema principal fue corregido en .NET Framework, las versiones locales de SharePoint que no disponen del parche aún serían vulnerables a día de hoy. El investigador de ciberseguridad Soroush Dalili, ha publicado una investigación en la que indica que explotando esta vulnerabilidad se podría abusar de algunos de los parámetros del System.Workflow.Activities con el objetivo de ejecutar código en el servidor de SharePoint al compilar un archivo de formato XOML. La vulnerabilidad fue puesta en conocimiento de Microsoft en noviembre de 2019, que procedió a parchearla inmediatamente en la plataforma online. Sin embargo, como se ha indicado con anterioridad, no fue hasta el pasado mes de enero cuando el problema principal se corregiría. Más información: https://www.mdsec.co.uk/2020/01/code-injection-in-workflows-leading-to-sharepoint-rce-cve-2020-0646/ Twitter corrige problema en API explotada para obtener información de usuarios Twitter ha reconocido que el pasado diciembre se descubrió que alguien estaba usando una gran red de cuentas falsas para explotar su API y relacionar nombres de usuario con sus números de teléfono. Aunque las cuentas maliciosas se encontraban en países de todo el mundo, una gran cantidad de solicitudes a la API afectada provenían de direcciones IP de Irán, Israel y Malasia. Según Twitter, el endpoint de la API que fue objeto de este ataque permitía a las personas que creaban nuevas cuentas encontrar a sus amigos en Twitter, permitiendo consultar a aquellos usuarios que tenían el número de teléfono asociado con sus cuentas y que también habían habilitado la opción ‘Permitir que las personas que tienen su número de teléfono lo encuentren en Twitter’ en su configuración. Inmediatamente tras la investigación, Twitter realizó una serie de cambios en el endpoint afectado para que ya no devolviera nombres de cuentas específicas en respuesta a consultas, además de suspender cualquier cuenta que creyesen estaba explotando dicho endpoint. Toda la información: https://privacy.twitter.com/en/blog/2020/an-incident-impacting-your-account-identity Vulnerabilidad XSS en WhatsApp Facebook ha parcheado una vulnerabilidad de criticidad alta en WhatsApp que permitía a los atacantes leer los archivos del sistema local de la víctima. La vulnerabilidad, CVE-2019-18426, fue descubierta por el investigador de PerimeterX Gal Weizman cuando encontró un fallo en la Política de Seguridad de Contenido (CSP) de WhatsApp, que permitía realizar un cross-site scripting (XSS) en la aplicación de escritorio. Esto permitió a Weizman obtener permisos de lectura en el sistema de archivos local tanto en Windows como en MacOS. Para explotar este fallo, es necesario que la víctima acceda a la vista previa de un enlace malicioso. Este fallo aplica a las versiones de escritorio de WhatsApp inferiores a 0.3.9309 combinada con dispositivos iPhone con versión anterior a 2.20.10. Más: https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/ Explotación de vulnerabilidades en controladores de GIGABYTE para desactivar software antivirus Investigadores de Sophos han descubierto que el ransomware RobinHood estaría explotando una vulnerabilidad (CVE-2018-19320) en controladores de GIGABYTE para conseguir infectar a los usuarios. Durante un análisis de equipos infectados con este ransomware, se ha destapado que el malware estaría cerrando procesos de antivirus y software de seguridad del sistema operativo antes de proceder a cifrar los datos, a pesar de que Windows únicamente permite ejecutar el cierre de dichos procesos de seguridad a aquellos controladores con permisos de Kernel. Además, Windows ha implementado una política de seguridad que impide la instalación de controladores del Kernel excepto si estos son también supervisados y firmados por la compañía, para evitar, concretamente, que un controlador malicioso obtenga permisos de este nivel. Sin embargo, se ha desvelado que RobinHood ha burlado esta política de seguridad explotando controladores vulnerables de GIGABYTE, los cuales sí tienen la firma de Microsoft, y por tanto permisos de nivel Kernel. Además, aprovecha esta ventaja para deshabilitar la política de seguridad que verifica la firma, sin la cual instala un driver de Kernel malicioso que finaliza los procesos de productos endpoint y de antivirus del sistema para poder ejecutar, sin interferencias, su fase del ataque de ransomware. Más información en: https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. Informe global de amenazas DDoSElevenPaths Radio – 2×01 Entrevista a Mario García
Gabriel Bergel ¿Preparados para un incidente de ciberseguridad? (parte 2) En esta segunda parte del post en el que hablamos sobre estar preparados para incidentes de ciberseguridad, te contamos qué es el BCP y cómo implementarlo.
Sergio Sancho Azcoitia Scratch, programación al alcance de todos (parte 1) Te contamos por qué Scratch se ha convertido en una de las principales herramientas para la iniciación a la programación en colegios e institutos.
Área de Innovación y Laboratorio de ElevenPaths TheTHE: The Threat Hunting Environment en la RSA Llevamos nuestra herramienta para investigadores y sus proóximas novedades al evento de referencia en ciberseguridad, la RSA.
ElevenPaths ElevenPaths Radio – 2×02 Entrevista a Alberto Hernández ¿Como vela el Estado por la ciberseguridad de sus ciudadanos? Te lo cuenta Alberto Hernández, Exdirector General del Instituto Nacional de Ciberseguridad.
Gonzalo Álvarez Marañón Si WhatsApp cifra las comunicaciones, ¿dónde está la clave? ¿Son realmente seguras las comunicaciones vía WhatsApp? Aquí te contamos cómo funciona su sistema de cifrado extremo a extremo.
ElevenPaths #NoticiasCiberseguridad: Boletín de ciberseguridad semanal 17-21 de febrero Fox Kitten: Campaña iraní contra servidores VPN El equipo de investigadores de ClearSky ha descubierto una campaña iraní contra docenas de empresas y organizaciones en todo el mundo a la...
