• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Chromecast tiene un fallo que permite extraer la ubicación del usuario

El Chromecast es un dispositivo sencillo que permite hacer streaming al televisor (o monitor) en el que se encuentra conectado desde Android, el navegador web Chrome y Chrome OS, ofreciendo así una interfaz sencilla para enviar la señal de vídeo.

Según el investigador en seguridad Craig Young, que trabaja para Tripwire, el mencionado dispositivo de Google tiene un fallo que puede terminar filtrando la ubicación del usuario. Para ello se utilizan datos extraídos de los dispositivos con los que interacciona el Chromecast, pudiendo determinar la ubicación física con gran precisión.

Young descubrió que podía utilizar el navegador web de un PC para alcanzar el dispositivo como Chromecast o Google Home que estaba conectado al mismo router, consiguiendo recolectar información sobre su propia localización para enviarla mediate el Chromecast. Consiguió ejecutar el ataque de forma remota, aunque para ello la computadora y el dispositivo de Google tuvieron que encontrarse en la misma red. Básicamente, se trata de un abuso de una característica legítima presente en muchos servicios, sistemas y aplicaciones, por lo que hay que tener mucho cuidado a la hora de conceder ciertos permisos.

Entrando en aspectos técnicos, lo que ha hecho el investigador ha sido abrir un sitio web con software maliciosos en su ordenador. Dicho software malicioso es un programa dedicado a detectar el Chromecast que necesariamente tiene que estar conectado al mismo router. En caso de obtener una respuesta positiva en la comprobación, el sitio web envía una petición al Chromecast para extraer los datos de localización. La ventajas tanto de la web como del dispositivo de Google es que ofrecen soporte multipltaforma, por lo que Young ha sido capaz de ejecutar el ataque con éxito a través de Windows, macOS y Linux usando Chrome o Firefox. Lo recopilado puede terminar siendo utilizado en campañas de estafas, pudiendo los timadores hacer los mensajes mucho más convincentes.

Google recopila datos con los que puede mostrar mediante Google Maps la ubicación en la que se encuentra el router, obteniendo además unos resultados muy precisos en caso de conceder el correspondiente permiso al navegador. Ese dato es enviado desde el PC a través Chromecast o Google Home en caso que se lo soliciten. El gigante de Mountain View ha reconocido el problema de privacidad, que será parcheado en el mes de julio.

Fuente: CNet

por Eduardo Medina Tue, 19 Jun 2018 15:31:42 +0000

LineageOS incorpora Trust, una característica para reforzar la seguridad

Android es un sistema operativo con fama de ser poco seguro. Esa circunstancia ha forzado a Google a tener que ir implementando nuevas características que reforzasen la seguridad de su sistema operativo móvil. Sin embargo, a día de hoy se siguen arrastrando muchos problemas derivados, sobre todo, del fragmentado ecosistema, con cientos de millones de dispositivos que no reciben actualizaciones por parte su fabricante.

Al ser Android derivado de AOSP, que básicamente es software libre, existen diversas ROM que pueden ayudar a mitigar algunos de los problemas que arrastran las implementaciones de los OEM de Google. La ROM más conocida es LineageOS, que permite a dispositivos Android antiguos recibir una versión más o menos reciente del sistema operativo con todos los parches de seguridad, convirtiéndolo en una opción a tener en cuenta para alargar su vida útil.

Aprovechando las desventajas de las implementaciones distribuidas por los OEM, LineageOS ha presentado Trust, una interfaz de configuración que se encuentra en los Ajustes del sistema operativo. Desde ahí el usuario podrá tener una vista general del estado de las principales características de seguridad, abarcando SELinux, el acceso a root y Privacy Guard. Con el fin de mejorar la experiencia de usuario, Trust se hace visible mediante la barra de estado para informar que las acciones de los usuarios se han hecho de forma correcta y sin conceder permisos falsos, abarcando también el phishing y otros tipos de ataques, además de acciones ilegítimas.

Interfaz de Trust en LineageOS 15.1 Interfaz de Trust en LineageOS 15.1 Interfaz de Trust en LineageOS 15.1

Trust también avisa al usuario cuando su dispositivo se ha vuelto inseguro, mostrando el punto sin configurar o mal configurado con el fin de que sea corregido cuantos antes. A esto se suma la situación de una aplicación que esté usando activamente acceso a root (el administrador de Linux).

La nueva característica de LineageOS está disponible desde la semana pasada en la versión 15.1 de la ROM.

Fuente: XDA Developers

por Eduardo Medina Tue, 19 Jun 2018 10:35:52 +0000

Un fallo hallado en GnuPG abre la puerta a falsificar firmas digitales

Un fallo de seguridad hallado en GnuPG, Enigmail, GPGTools y python-gnupg permite a los hackers falsificar firmas digitales con una clave pública o la identificación de clave de un usuario, pudiendo hacer esto sin tener a disposición las claves privadas o públicas involucradas.

La vulnerabilidad (CVE-2018-12020), que fue descubierta por el investigador Marcus Brinkmann, ha sido descrita de la siguiente manera: “La rutina de verificación de firma en Enigmail 2.0.6.1, GPGTools 2018.2 y python-gnupg 0.4.2 analiza la salida de GnuPG 2.2.6 con una opción “–status-fd 2” que permite a los atacantes remotos falsificar firmas de forma arbitraria a través del parámetro “filename” (nombre de archivo) incrustado en los paquetes de datos literales de OpenPGP si el usuario tiene la opción ‘verbose’ establecida en su fichero gpg.conf.”

Esto quiere decir que el protocolo OpenGPG permite incluir el parámetro “filename” en el fichero de entrada original en los mensajes firmados o cifrados, combinándolo con los mensajes de estado de GPG (incluyendo la información de la firma) en un único canal de datos (por donde se transmite los paquetes de datos literales), añadiendo luego una palabra clave predefinida para separarlos. Werner Koch, principal encargado de GnuPG, ha dicho que esos “mensajes de estado son analizados por los programas para obtener información de GPG sobre la validez de una firma y otros parámetros.”

Durante el descifrado del mensaje que llega al destinatario, la aplicación del cliente divide la información utilizando la palabra clave y muestra el mensaje con una firma válida en caso de que el usuario tenga habilitada la opción “verbose” en el fichero de configuración gpg.conf. El investigador ha descubierto que el nombre del fichero incluido, que puede tener hasta 255 caracteres, no se sanitiza adecuadamente, permitiendo a un atacante incluir líneas adicionales u otros caracteres de control. El agujero de seguridad puede ser utilizado para inyectar mensajes de estado falsos y arbitrarios de GPG en un analizador de aplicaciones para falsificar la verificación de firmas y los resultados del proceso de descifrado del mensaje.

Es importante tener en cuenta que GPG no solo se utiliza para cifrar correo, sino que es empleado en muchos contextos y por muchas tecnologías, como herramientas de copias de seguridad, actualizaciones en distribuciones e incluso sistemas de control de versiones como Git. El investigador ha presentado tres pruebas de concepto en los que se muestra cómo se pueden falsificar firmas en Enigmail y GPGTools.

Para obtener las correcciones, hay que actualizar a GnuPG 2.2.8 o GnuPG 1.4.23, Enigmail 2.0.7, GPGTools 2018.3 y python-gnupg 0.4.3. En caso de ser desarrollador, se recomienda encarecidamente añadir “–no-verbose” en todas las invocaciones de GPG, mientras que las aplicaciones que usan GPGME como motor de cifrado son seguros, además de las aplicaciones que han sido compilados con el flag “–status-fd” establecido y “–verbose” sin establecer.

Fuente: The Hacker News

por Eduardo Medina Mon, 18 Jun 2018 15:30:13 +0000

Un grupo de hackers chino se dedica a atacar centros de datos de gobiernos de Asia Central

Kaspersky Lab ha publicado un informe en el que muestra que un grupo de hackers chino ha atacado el centro nacional de datos un país de Asia Central sin concretar. Los ataques, según la compañía de ciberseguridad, han sido llevados a cabo por un grupo llamado LuckyMouse, que también ha actuado bajo otros nombres como Iron Tiger, Threat Group-3390, EmissaryPanda y APT27.

Los ciberataques empezaron en 2017 y al menos en un principio fueron inyecciones de scripts maliciosos contra los sitios web oficiales de la administración pública para realizar una campaña de agujero de agua a nivel estatal. Kaspersky Lab dice que el grupo ha utilizado el troyanos de administración remota HyperBro para esquivar las soluciones antimalware entre diciembre de 2017 y enero de 2018. La compañía detectó el ataque en marzo del presente año y ha decidido no decir el nombre del país en público, posiblemente para evitar un efecto llamada que atraiga a más grupos de hackers.

El por qué se ha vinculado a LuckyMouse con una Amenaza Persistente Avanzada viene derivado de que el dominio empleado por el servidor de mando y control, update.iaacstudio[.]com, estuvo implicado en campañas anteriores realizadas por los otros nombres mencionados en el primer párrafo (recordamos que se trata del mismo grupo que ha actuado con distintos nombres). Por otro lado, el troyano HyperBro ha sido utilizado por diversos actores maliciosos de origen chino y el mismo cifrador, shikata_ga_nai, por el mismo grupo en anteriores ocasiones.

Kaspersky Lab ha determinado que LuckyMouse actúa siempre contra gobiernos, sobre todo de Asia Central. Mediante ataques de agujero de agua contra los sitios web de las entidades gubernamentales, se sospecha que el objetivo es acceder a las páginas web mediante los centros de datos para inyectarles JavaScript. Sin embargo, de momento no se tiene una información precisa sobre cómo ha manejado LuckyMouse el ataque contra los sitios web para llevar a cabo la campaña.

El servidor de mando y control principal empleado en esta campaña es bbs.sonypsps[.]com, que fue resuelto por una dirección IP que pertenecía a la red de una ISP ucraniana y estaba asignada a un router Mikrotik con la versión 6.34.4 del firmware (publicada en marzo de 2016) y SMBv1 activado. Sospechamos que este router fue hackeado como parte de la campaña para procesar las solicitudes HTTP del malware. El dominio Sonypsps[.]com fue actualizado mediante GoDaddy desde el 5 de mayo de 2017 hasta el 13 de marzo de 2019.

La compañía de ciberseguridad de origen ruso cree que LuckyMouse ha estado muy activo en los tiempos recientes. Las tácticas empleadas en esta campaña suelen ser normales cuando se trata de actores maliciosos de origen chino, que generalmente ofrecen nuevas envolturas, como el lanzador y el descompresor protegido con shikata_ga_nai, alrededor del RAT HyperBro.

Aunque de momento no se ha comentado nada sobre ataques patrocinados por un estado, es una posibilidad que no se puede descartar viendo los objetivos principales de esta Amenaza Persistente Avanzada.

Fuente: BetaNews

por Eduardo Medina Mon, 18 Jun 2018 10:11:29 +0000

Apple eliminará el acceso USB del iPhone para dificultar su hackeo por la policía

Apple ha dicho que en la próxima actualización de su sistema operativo móvil, iOS, se eliminará el soporte de acceso al iPhone mediante USB, un movimiento que se lo pondrá más difícil a los hackers, y aquí se apunta sobre todo a los que trabajan para las fuerzas de la ley que tienen como misión acceder a dispositivos bloqueados a través del puerto físico.

El gigante de Cupertino confirmó que las nuevas configuraciones por defecto inhabilitarán el puerto Lightning, utilizado para transmisión de datos datos, sonido para cascos y recarga del dispositivo, una hora después de que el iPhone haya sido bloqueado. Apple, tras anunciar este movimiento, ha dicho que pone al cliente en el centro todo lo que hace, por lo que está investigando constantemente para reforzar la seguridad de sus productos con el fin de que puedan ser más resistentes ante hackers, ladrones de identidad e intrusiones para acceder y posiblemente obtener datos personales.

Una vez que el iPhone haya quedado bloqueado, el puerto Lightning permitirá la recarga del dispositivo, pero no la transmisión de datos hasta que se introduzca un código de acceso. Todo esto viene a rebufo del conocido caso de San Bernardino, en el que Apple se resistió a los intentos de FBI por forzarla a colaborar en el desbloqueo del iPhone 5c de Syed Farook.

Además de esto, existen dispositivos conocidos (que se conoce el nombre, cómo es y lo que hace) como GrayKey, que es capaz de desbloquear iPhones y iPads utilizando el puerto Lightning para instalar un software que se encarga de descifrar el código de acceso a los dispositivos. Todo parece indicar que fue el utilizado por el FBI para desbloquear el iPhone de Syed Farook. Otro frente contra el cual se habrían implementado los cambios serían las herramientas forenses de la compañía israelí Cellebrite, que permiten hacer cosas similares.

El acceso por USB mediante el puerto Lightning era prácticamente una especie de vulnerabilidad que Apple sabía que podía ser explotada, así que tras siete años, y junto con el lanzamiento de iOS 11.4, se incluirá una característica llamada USB Restricted Mode, que inhabilita el acceso USB mediante el mencionado conector. Con este movimiento, la seguridad de los dispositivos iOS se verá reforzada, algo a lo que se ha añadido mitigaciones adicionales para eliminar el USB como superficie de ataque.

Diversos expertos creen que, al menos desde el punto cubierto en esta entrada, la relación entre Apple y las fuerzas de la ley se volverá más tensa. Bien por Apple de cara a sus clientes en Estados Unidos, aunque habrá que ver si es igual de contundente a la hora de defender los de otros países.

Fuentes: ThreatPost y MuyComputer

por Eduardo Medina Fri, 15 Jun 2018 15:15:40 +0000

Un fallo hallado en Cortana abría la puerta a elevaciones de privilegios en Windows 10

Una de las vulnerabilidades más curiosas que Microsoft parcheó el martes fue una que permitía hacer una elevación de privilegios utilizando Cortana, el asistente personal digital de la compañía que un principio iba a estar disponible sus últimos sistemas, pero luego se volvió multiplataforma tras confirmarse el fracaso de Windows Phone.

El fallo de seguridad (CVE-2018-8140) explotado mediante Cortana, que solo afecta a Windows 10, fue descubierto en el mes de abril por Cedric Cochin, Arquitecto de Ciberseguridad e Ingeniero Senior Principal en McAfee, y ha sido considerada como de gravedad importante. El experto decidió reportar de forma privada sus hallazgos a Microsoft, que afortunadamente consiguió arreglarlo para el conjunto de parches de seguridad publicado este mes.

Cochin dice que el problema estuvo presente debido a ciertas peculiaridades en la forma en que Cortana permite a los usuarios interaccionar con Windows 10 mientras está bloqueado. Cuando el usuario pronuncia la orden “Hola Cortana” (Hey Cortana en inglés), se abre una ventana emergente de búsqueda especial con diversas características. Luego se puede escribir texto en la ventana emergente para buscar el índice de aplicación del ordenador y en el sistema de ficheros. En caso de escribir ciertas palabras como “pas” (de password, contraseña en inglés), se pueden obtener ficheros cuyo nombre o contenido incluye esa cadena de caracteres junto con la ruta en la que se encuentra alojado, algo que se hace poniendo el ratón encima de cada resultado de búsqueda.

Un fallo hallado en Cortana abría la puerta a elevaciones de privilegios en Windows 10

En el siguiente paso el atacante (suponemos que es alguien malintencionado) tiene diversas posibilidades a su disposición. Puede hacer clic con el botón secundario del ratón para realizar acciones como abrir la ubicación del fichero, copiar la ruta completa, ejecutar como administrador o incluso ejecutar con PowerShell.

Un fallo hallado en Cortana abría la puerta a elevaciones de privilegios en Windows 10

Después el atacante podría utilizar órdenes de voz de Cortana para ejecutar ficheros u órdenes de PowerShell.

A partir aquí se abren diversas posibilidades de poder llevar a cabo un ataque. Por ejemplo, se puede simplemente ir probando hasta hallar algún fichero con contenidos comprometedores, como contraseñas almacenadas en texto plano. Otras posibilidades son la de introducir una unidad USB que contenga un script malicioso de PowerShell o una carga útil maliciosa y la de acceder a un dispositivo bloqueado sin interacción del usuario. El experto en ciberseguridad ha publicado todos los detalles de forma detallada en una entrada publicada en la web de McAfee.

Para resolver este problema de seguridad el usuario solo tiene que actualizar su instalación de Windows 10 con los parches publicados por Microsoft en el presente mes de junio. Por otro lado, los asistentes por voz se están mostrando como una potencial amenaza para los usuarios debido a que abren más puertas de las necesarias, teniendo como precedente el de la familia que envió de forma involuntaria conversaciones privadas mediante Amazon Echo.

por Eduardo Medina Fri, 15 Jun 2018 10:09:20 +0000

Algunos fabricantes configuran mal Android, permitiendo la fácil habilitación de ADB

No todos los dispositivos Android cuentan con una buena implementación del sistema operativo, y aquí no nos referimos al desempeño del sistema, sino a la configuración para ofrecer unos buenos niveles de seguridad.

Casi todos los dispositivos Android incluyen ADB (Android Debug Bridge), que básicamente es una función que permite a los desarrolladores comunicarse de forma remota para ejecutar órdenes y obtener control total. Facilita acciones como la instalación y depuración de aplicaciones y ofrece acceso a la shell de Unix para ejecutar comandos. Recordamos que Android es un sistema operativo basado en Linux.

Con el fin de facilitar su utilización al máximo, ADB no está autenticado, por lo que cualquiera puede conectar un dispositivo Android para ejecutar órdenes a niveles más profundos a los que sol tendría que poder acceder el usuario común, aunque para usarlo se requiere de una conexión mediante USB y luego habilitar explícitamente el propio ADB, por lo que se necesita de ciertos conocimientos que pueden ser llevados a la práctica desde cualquiera de los tres grandes sistemas operativos para el escritorio: Windows, macOS y Linux (distribuciones como Ubuntu, Fedora… ). La característica escucha por el puerto 5555 y permite conectarse con el dispositivo mediante Internet.

Debido a que otorga privilegios de administrador, lo suyo es que ADB esté inhabilitado de cara a los usuarios finales, sin embargo, esto no es del todo así según el investigador Kevin Beaumont, que ha descubierto miles de dispositivos Android que permiten habilitar esta característica fácilmente, allanando mucho el terreno a los hackers la tarea de poder acceder a ellos de forma remota para ejecutar e instalar software malicioso. Es importante tener en cuenta que no solo hay móviles que funcionan con Android, sino también televisores, smartwatches, etc, los cuales están igualmente en riesgo por esta mala política.

Beaumont señala que “en teoría root (cuenta de administrador de Linux) no tendría que estar disponible en las compilaciones que no son de desarrollo, pero hay aparentemente una forma de saltarse esta barrera en algunos dispositivos con el comando ‘su -c command’ en la shell de ADB”. El investigador menciona un informe publicado en febrero por los investigadores de Rapid7 en la que se muestra un pico de escaneo a través del puerto 5555, mientras que los expertos de 360Netlab han identificado una campaña para esparcir mineros que se apoyaba en ADB y en el mismo puerto, que ha recibido el nombre de ADB.Miner.

ADB.Miner es un gusano que utiliza una versión modificada del código de Mirai unido a un minero. Carece de mando de control centralizado, apoyándose para esparcirse en el P2P sobre el puerto 5555, algo que limita bastante su impacto ya que no todos los dispositivos reúnen las condiciones para acabar infectados. China, Hong Kong, Taiwán, Corea del Sur y Estados Unidos son los países más impactados.

Es importante tener en cuenta que esto no se trata de un problema generalizado de Android, sino de unos fabricantes que no están configurando el sistema correctamente para que sea seguro para el usuario final. Aun así, resulta preocupante ver cómo hay compañías que siguen descuidando la seguridad de sus productos, a pesar de que, en caso de destaparse un escándalo, el perjuicio podría ser demoledor para la imagen de la empresa.

Fuente: ThreatPost

por Eduardo Medina Thu, 14 Jun 2018 15:30:10 +0000

Eliminan de Docker Hub 17 imágenes Docker con puertas traseras

Los encargados de Docker Hub han eliminado un total de 17 imágenes Docker que contenían puertas traseras que eran utilizadas para la instalación de shells invertidas y mineros maliciosos en los servidores, los cuales han estado a disposición de los usuarios de la tecnología de contenedores durante un año.

Docker Hub, que está inspirado en GitHub y portales similares, se trata del repositorio oficial de imágenes Docker que están listas para usar y disponibles para esos administradores de sistema que los quieran obtener para usarlos de forma rápida y fácil en sus servidores, aunque cualquier usuario puede utilizarlo (siempre que tenga los conocimientos básicos necesarios) independiente del perfil que tenga, ya sea para un contexto profesional o doméstico.

Según parece, no ha habido aquí ningún accidente, sino que todo se ha tratado de un conjunto de acciones llevadas a cabo de manera malintencionada. Esto ha podido pasar debido a que las imágenes maliciosas de Docker no han pasado ninguna supervisión de seguridad, permaneciendo activas entre mayo de 2017 y mayo de 2018, cuando el equipo encargado los intervino para eliminarlos. Todas las imágenes fueron subidas por el mismo grupo de personas o la misma persona tras el pseudónimo docker123321, habiendo sido algunas de ellas instaladas más de un millón de veces, por lo que la cantidad de perjudicados ha podido ser elevado. Fortinet y Kromtech han publicado todos los detalles de lo que ha ocurrido en este caso, siendo lo del segundo un informe completo.

Estas son todas las imágenes Docker maliciosas, por si alguien quiere comprobarlas en su instalación de la tecnología de contenedores:

Las 17 imágenes de Docker maliciosas halladas en Docker Hub

El minero malicioso utilizado estaba basado en XMRig, que se dedica a minar la criptodivisa Monero. Según Kromtech, docker123321 habría conseguido minar 544,74 moneros, que al cambio serían solo unos 90.000 dólares, una buena cantidad en caso de repartirse como mucho entre tres personas.

Además del minero, algunas de las imágenes Docker también contenían una shell inversa, con la cual los atacantes podrían obtener persistencia por otros medios en el sistema infectado incluso si la víctima elimina la imagen maliciosa, por lo que la eliminación total del malware podría necesitar de hasta una limpieza total del sistema.

Para evitar problemas como los mencionados en esta entrada, lo mejor es utilizar imágenes propias o solo descargar aquellas que estén verificadas.

Fuente: BleepingComputer

por Eduardo Medina Thu, 14 Jun 2018 11:34:58 +0000

Reino Unido multa a Yahoo con 250.000 libras por la brecha de datos de 2014

La Oficina del Comisionado de Información de Reino Unido ha multado a Yahoo con 250.000 libras por el ataque hacker ocurrido en 2014, que derivó un brecha de datos que afectó a 500 millones de cuentas.

La compañía culpó del incidente a un ataque patrocinado por algún estado, aunque de momento no ha especificado cuál. A pesar de haber ocurrido en 2014, Yahoo no lo confirmó hasta septiembre de 2016. Ese lapso de tiempo le ha venido muy bien a los cibercriminales, que han podido utilizar impunemente los datos de los usuarios. Esto último es lo que menos ha gustado a los reguladores británicos, que decidieron poner en marcha una investigación que ha derivado en la presente multa por no asegurar correctamente los datos de los usuarios frente a los accesos no autorizados.

Las autoridades británicas han determinado que de las 500 millones de cuentas afectadas 515.121 pertenecían a personas residentes en el Reino Unido. Por otro lado, han hecho hincapié en que Yahoo ha tenido oportunidades de sobra para implementar mejores medidas de seguridad en fechas anteriores al ataque, y esto no solo abarca los ataques externos, sino también el impedir a los mismos empleados el acceso a los datos robados, dejando claro que las “insuficiencias” en la seguridad estuvieron sin ser atendidas durante mucho tiempo.

Yahoo ha tenido suerte de solo tener que responder ante la legislación de un país, ya que de producirse la brecha de datos en los tiempos actuales, tendría que responder ante el GDPR, que otorga bastante más poder a los usuarios y pone muchas exigencias a las empresas, aunque en el caso particular de Reino Unido, podrá cambiar esa legislación por la que crea conveniente una vez haya culminado su proceso de salida de la Unión Europea.

Fuente: ZDNet

por Eduardo Medina Wed, 13 Jun 2018 18:23:27 +0000

Los parches de junio de Microsoft corrigen 51 vulnerabilidades

Microsoft ha corregido en su conjunto de actualizaciones Parche del Martes 51 vulnerabilidades halladas en sus productos, abarcando Windows, Microsoft Edge, Internet Explorer, la suite ofimática Microsoft Office y mucho más, además de Flash.

En esta ocasión no se ha mostrado ninguna vulnerabilidad zero-day y destacan las nuevas mitigaciones contra la variante 4 de Spectre, que ya cubrimos en su momento en MuySeguridad tras ser reconocida por Intel. Además de eso, el gigante de Redmond ha corregido la vulnerabilidad crítica CVE-2018-8225, que se trata de una ejecución de código en remoto que afecta a DNSAPI de Windows y permitía a un atacante ejecutar código arbitrario en el contexto del usuario local utilizando un servidor de DNS malicioso que enviara respuestas de DNS corruptas al objetivo. Afecta a todas las versiones del sistema operativo Windows y no se constancia de que haya sido activamente explotada.

Otra vulnerabilidad crítica parcheada ha sido la CVE-2018-8231, que era una de ejecución de código en remoto que podía ser explotada cuando el Conjunto de Protocolo HTTP (Http.sys) manejaba de forma incorrecta objetos en la memoria, abriendo así la puerta a la ejecución de código arbitrario para tomar el control del sistema afectado. Para ello, el atacante tenía que enviar un fichero específicamente diseñado a un servidor HTTP.sys. Solo afectaba a los usuarios de Windows 10, Windows Server 2016 y Windows Server versiones 1709 y 1803.

Además de su gran catálogo de productos propios, Microsoft también suele proporcionar parches para una tecnología de terceros muy popular (ahora no tanto) pero que tradicionalmente ha sido muy problemática en términos de seguridad: Flash. Concretamente, el gigante de Redmond ha publicado mediante sus actualizaciones un parche contra la vulnerabilidad CVE-2018-5002, que ya cubrimos en su momento.

Parece que en esta ocasión el paquete mensual de parches de seguridad ha sido algo menos “movido” que en anteriores ocasiones. Aun así, eso no es motivo para bajar la guardia por parte de Microsoft, más en un contexto en el que la ciberseguridad se enfrenta a más retos que nunca y frentes que estuvieron aparentemente descuidados durante mucho tiempo, como los procesadores.

Fuentes: BleepingComputer y Softpedia

por Eduardo Medina Wed, 13 Jun 2018 15:54:35 +0000