Disponible parche para arreglar la vulnerabilidad en Sudo

En breve: Canonical, la empresa detrás de Ubuntu, ha lanzado un parche de seguridad para el paquete SUDO, referente a la vulnerabilidad que se dio a conocer hace un par de días por Joe Vennix.

Todos los usuarios actuales de Ubuntu y de las versiones 16.04 LTS, 18.04 LTS, 19.04 y 19.10 (y Ubuntu 14.04 ESR), pueden actualizar de inmediato ejecutando el comando sudo apt upgrade.

Si aún no te has enterado de lo que ha pasado, hace un par de días, para ser exacto el 14 de octubre, Joe Vennix, de Apple Information Security, dio a conocer una vulnerabilidad grave para el comando SUDO. El blog de The Hacker News, explica como la vulnerabilidad omite la política de seguridad de sudo, para permitir al atacante mediante un programa, ejecutar comandos arbitrarios como root en un sistema Linux, aun cuando la configuración de sudoers no permita el acceso de root.

Hay que aclarar que, este parche lanzado por Canonical solo arregla este problema de seguridad, por lo que no verá otros cambios sobre el sistema.

Como siempre, se recomienda actualizar de inmediato.

AdwCleaner se actualiza, ahora detecta y elimina software preinstalado

Cuando usted adquiere un equipo nuevo, probablemente se encuentre con aplicaciones instaladas por el fabricante. Una práctica muy habitual y molesta, que, con el tiempo, el sistema empieza a ser más lento de lo normal, provocando un bajo rendimiento del equipo y un alto consumo de RAM.

Una herramienta ideal para deshacerse de este tipo de Software, es The PC Decrapifier, o el usuario también puede optar por hacerlo desde la herramienta del Panel del control, o mejor aún, usando una aplicación especial para este tipo de problemas.

AdwCleaner ahora detecta software preinstalado

AdwCleaner se caracteriza por ser una de las primeras herramientas a la hora de trabajar sobre un equipo infectado con Adware; ahora, el equipo de Malwarebytes lanza la versión 7.4, con nuevas características y con un detector de aplicaciones preinstaladas.

Este anuncio fue dado en el foro, posteriormente profundizando el tema en su respectivo blog.

Nos complace compartir la versión pública de AdwCleaner 7.4 después de un año de trabajo. Esta es una versión importante, ya que ahora también detecta aplicaciones preinstaladas.

Malwarebytes ha anunciado la posibilidad de deshacerse de las aplicaciones que los fabricantes de ordenadores dejan el sistema operativo, con la reciente versión, no solamente puedes eliminar este tipo de Software, sino también, volverlas a recuperar.

Sabemos bien que el software preinstalado no es malicioso, pero si molesto; sin embargo, puede suceder que, si le gusta una de esas aplicaciones que vienen junto a su sistema, y que por algún error la elimina, la versión más reciente de AdwCleaner le permite restaurarla completamente, eso es posible gracias a la cuarentena integrada en la herramienta.

Nuevas características

  • Escanear y gestionar software preinstalado
  • Nuevo glosario de detección disponible durante los resultados del escaneo
  • Agregue un mensaje informativo que explique qué es el software preinstalado.

AdwCleaner también recibe unas pequeñas actualizaciones en cuanto a la apariencia. Si puede apreciar, la barra de título es al estilo de Windows 10, y sus dimensiones de interfaz han incrementado.

Más información sobre esta versión: blog.malwarebytes

Error crítico en el complemento de WordPress permite a los hackers ejecutar código remoto

WordPress se caracteriza por ser uno de los principales CMS más utilizados en el mundo, y una de las grandes ventajas es la disponibilidad de complementos para potenciar más el uso de este sistema.

Sin embargo, esa misma característica hace que muchos piratas informáticos aprovechen vulnerabilidades como lo es el plugin Ad Inserter.

Ad Inserter es un complemento de administración de anuncios con muchas funciones publicitarias avanzadas para insertar anuncios en posiciones óptimas, y tiene soporte para todo tipo de anuncios, incluidos AdSense de Google, Administrador de anuncios de Google (DFP – DoubleClick para editores), Anuncios nativos de compras contextuales de Amazon, Media.net y banners rotativos.

El pasado 12 de julio el equipo Threat Intelligence, descubrió una vulnerabilidad presente en el complemento Ad Inserter, mismo que se encuentra instalado en más de 200,000 sitios web, y que este error critico permite a los atacantes ejecutar código PHP de forma remota.

«La debilidad permitió a los usuarios autenticados (suscriptores y superiores) ejecutar código PHP arbitrario en sitios web usando el complemento», según los investigadores de Wordfence.

Los atacantes autenticados que tienen acceso a un nonce (un token de una sola vez utilizado para evitar que se procesen solicitudes no deseadas repetidas, caducadas o maliciosas), pueden omitir las comprobaciones de autorización activadas por la función check_admin_referer () para acceder al modo de depuración proporcionado por el complemento Ad Inserter.

Con un nonce en la mano, y un suscriptor o una cuenta de usuario superior, un atacante ahora puede explotar la función de vista previa del anuncio enviando una carga maliciosa que contiene código PHP arbitrario, como <?php echo file_get_contents(‘/etc/passwd’); ?>

Los sitios web que ejecutan Ad Inserter 2.4.21 o inferior deben actualizarse a la versión 2.4.22 de inmediato, para recibir una nueva regla de firewall para protegerse contra las vulnerabilidades.

Según el blog BleepingComputer, solo en 50,000 sitios han instalado la actualización de Ad Inserter, de los más de 200,000 sitios web activos. A través de Bleepingcomputer.

Más información: Wordfence

Mozilla recomienda actualizar Firefox con urgencia, tras encontrar un grave fallo de seguridad


Noticia breve: Mozilla ha lanzado una importante actualización para su navegador web Firefox, actualización que ha sido descrito por el equipo de seguridad como crítico. Este importante fallo podría causar ataques de tipo zero-day en equipos que ejecutan una versiones anteriores a la 67.0.3 y ESR 60.7.1.

Las vulnerabilidades fueron dados a conocer por el equipo de Mozilla como solucionadas el día de ayer 18 de junio de 2019; sin embargo, no fue la propia compañía que descubrió este hallazgo, sino fue informada por Samuel Groß, miembro del equipo de seguridad Project Zero de Google, y Coinbase Security.

Aunque Mozilla esté consciente de la gravedad de este problema, aún no ha dado a conocer los detalles sobre esta vulnerabilidad. Se espera que lo hagan después de que todos sus usuarios tengan la última versión de seguridad instalada. Pero al parecer, hay rumores que podrían estar relacionados con la criptomoneda debido a la participación de Coinbase Security.

Mozilla describe el problema de la siguiente manera:

Se puede producir una vulnerabilidad de tipo confusión cuando se manipulan objetos de JavaScript debido a problemas en Array.pop. Esto puede permitir un accidente explotable. Somos conscientes de los ataques dirigidos en la naturaleza abusando de esta falla.

Aunque normalmente los navegadores web suelen actualizarse de manera automática, no está demás asegurarse que tengamos instalada la última versión. Para esto, seleccionamos Menú> Ayuda> Acerca de Firefox. Si su navegador web encuentra una nueva actualización, este se descargará de manera automática, cuando finalice, es necesario que reinicien Firefox para que la actualización sea efectuada.

La nueva versión del navegador web está disponible como descarga en el sitio web oficial de Mozilla. Las descargas de Firefox ESR (para administradores de sistemas) se proporcionan en una página de descarga a parte para organizaciones.

Más información: Mozilla

HiddenWasp: El nuevo malware sofisticado para sistemas Linux

Muchos fanáticos (sin ofender) de sistemas operativos GNU/Linux, sostienen que para Linux no existe peligro, que es súper seguro, (lo he leído en algunos grupos xD), y entre otras cosas más, ya me entienden; lo cierto es que, usuarios que leen o investigan sobre temas de este tipo, saben que ningún sistema operativo es totalmente seguro, que si bien, la cantidad de malware que hay en Windows no es comparado con los de Linux, pero eso no quiere decir que haya cero peligros en este último sistema.

A través del blog de Noticias de seguridad informática, me he enterado de un nuevo malware dirigido especialmente a los usuarios de Linux.

HiddenWasp, un sofisticado malware no detectable afecta a los sistemas Linux

El grupo investigador Intezer dio a conocer HiddenWasp, un malware que ha sido desarrollado partiendo de códigos de gusanos famosos como Mirai, el rootkit de Azazel, y algunos fragmentos de cadena del malware ChinaZ.

Una vez que el sistema es afectado por HiddenWasp, los piratas informáticos toman el control del sistema, incluso, si el malware es eliminado, HiddenWasp sigue ejecutándose, gracias a que la infección implica la creación de una nueva cuenta de usuario de nombre (sftp) junto con su respectiva contraseña codificada.

Este malware es capaz de limpiar el sistema como un medio para actualizar variantes anteriores en caso de que el sistema haya sido comprometido con anterioridad.

Analizamos cada componente de HiddenWasp explicando cómo los implantes de rootkit y troyanos funcionan en paralelo entre sí para forzar la persistencia en el sistema.
También hemos cubierto cómo los diferentes componentes de HiddenWasp han adaptado piezas de código de varios proyectos de código abierto. Sin embargo, estos implantes lograron permanecer sin ser detectados.

Este malware comprende un script bash junto con implante binario de un troyano y un rootkit, permitiendo el control remoto total del sistema afectado. Según el blog Intezer, este malware es indetectable por los principales programas antivirus, dando como resultado de una detección del 0%.

Hasta ahora, no se sabe exactamente de que manera los sistemas están siendo comprometidos, lo que lleva a creer que, HiddenWasp puede ser un ataque secundario a un sistema que haya sido comprometido con anterioridad.

Para un análisis más técnico, visita el blog de Intezer: HiddenWasp Malware dirigidos a sistemas Linux

BlackArch Linux tiene nueva versión con más de 150 herramientas nuevas

BlackArch Linux, la distribución de pruebas de penetración basada en Arch Linux, orientada al hacking ético, ha lanzado hoy una nueva versión, y se le han integrado muchas herramientas nuevas y actualizadas, entre otras mejoras.

BlackArch Linux 2019.06.01 viene con más de 150 herramientas nuevas e incluido el más reciente kernel de Linux, 5.1.4; también se actualizó su instalador, pasando a la versión 1.1.1 y se le agregó el plugin «jedi-vim» y otros actualizados para vim.

Se han actualizado todas las herramientas y paquetes de BlackArch y del sistema, así como también los archivos de configuración. Los menús del administrador de ventanas Awesome, Fluxbox y Openbox, también se han actualizado.

Se aconseja no utilizad UNetBootIn para crear el medio de instalación, ya que esta herramienta modifica la configuración del cargador de arranque, en su lugar, puede utilizar el siguiente ejemplo en la terminal, en donde file.iso es BlackArch ISO.

$ sudo dd bs=512M if=file.iso of=/dev/sdX

El inicio de sesión predeterminado para todos los ISO y OVA es: root:blackarch

El sistema completo tiene un peso de 12 GB, mientras que la imagen liviana para máquinas de arranque, tiene un tamaño de 651 MB. Ambas versiones puedes descargarla desde su sitio web oficial aquí.

Disponible Tor Browser 8.5: correcciones de seguridad y versión estable para Android

Tor Browser, el navegador web orientado a la seguridad, lanzó hace unos días la versión 8.5 para todos los sistemas operativos compatibles, incluyendo la primera versión estable para dispositivos Android.

En esta versión se le han incluido importantes actualizaciones de seguridad de Firefox, que se tenían considerado de alto impacto.

Después de la versión alpha lanzada en septiembre para los dispositivos Android, Tor Browser 8.5 ya está disponible en Google Play como una versión estable, y se espera que llegue en los próximos días en F-Droid, una popular herramienta de aplicaciones para Android.

Tor Browser para Android, proporcionan esencialmente las mismas protecciones que se encuentran en las versiones para escritorio.

Nos aseguramos de que no haya desvíos de proxy, que el aislamiento de la primera parte esté habilitado para protegerlo del seguimiento entre sitios y que la mayoría de las defensas de huellas digitales estén funcionando. Estamos seguros de que Tor Browser para Android proporciona esencialmente las mismas protecciones que se pueden encontrar en las plataformas de escritorio.

Uno de los cambios más notables se encuentra en el control deslizante de seguridad, que se encarga de visualizar y establecer los niveles de seguridad utilizados, esta característica ahora se encuentra disponible en la barra de herramientas principal, para que el usuario pueda interactuar con el control deslizante más fácil y un mejor acceso.

Tor Browser 8.5 viene con algunos problemas, entre los más importantes:

  • El soporte de accesibilidad para usuarios de Windows durante la estabilización 8.5, todavía no es perfecto.
  • Los informes de errores sugieren que las huellas digitales relacionadas con WebGL son compatibles.
  • La actualización a Tor Browser 8.5 rompió los inicios de sesión y las contraseñas guardadas.

Y por último, pero no menos importante, Tor Browser 8.5 es compatible con la interfaz de usuario Photon de Firefox, sus logotipos han sido rediseñados, así como también la página about:tor en todas las plataformas.

Tor Browser 8.5 está disponible para su descarga para Windows, Linux y mac OS, desde su página oficial, y en el directorio de distribución. Para Android visite Google Play.

Más información: blog de Tor

Microsoft encuentra una vulnerabilidad grave y lanza actualización para Windows 7 y versiones anteriores

Microsoft ha lanzado una actualización para versiones anteriores de Windows, en la que se ha incluido Windows XP. Recientemente la compañía encontró un grave fallo de seguridad, que puede ser manipulada por un gusano, por lo que puede propagarse de un ordenador a otro.

Los usuarios de Windows 8 y Windows 10 están protegidos.

Las versiones de Windows afectadas son Windows XP, Windows Server 2003, Windows 7 y Windows Server 2008. Los usuarios que ejecutan Windows 7 recibirán las actualizaciones de manera automática, siempre y cuando no tengan bloqueada la herramienta de actualizaciones de Windows. Para los usuarios de Windows XP, necesitarán descargar las actualizaciones de forma manual desde el siguiente enlace: Catálogo de Microsoft Update.

«Existe una vulnerabilidad de ejecución remota de código en Servicios de escritorio remoto, anteriormente conocida como Servicios de Terminal Server, cuando un atacante no autenticado se conecta al sistema de destino a través de RDP y envía solicitudes especialmente diseñadas, una vulnerabilidad que es una autenticación previa y requiere sin interacción del usuario Un atacante que aprovechó esta vulnerabilidad podría ejecutar código arbitrario en el sistema de destino y un atacante podría instalar programas, ver, modificar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario «.

Microsoft dice que no está al tanto de ninguna explotación de la vulnerabilidad, aunque la firma advierte que es muy probable que los cibercriminales hagan ingeniería inversa al parche y desarrollen software malicioso que comprometa las computadoras sin parches.

«Esta vulnerabilidad es una autenticación previa y no requiere la interacción del usuario; en otras palabras, la vulnerabilidad es» vulnerable «, lo que significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de una computadora vulnerable a otra computadora vulnerable. como el malware WannaCry que se extendió por todo el mundo en 2017. Aunque no hemos visto el aprovechamiento de esta vulnerabilidad, es muy probable que los actores maliciosos aprovechen esta vulnerabilidad y la integren en su malware».

La actualización se debe descargar e instalar manualmente, y se ha diseñado específicamente para Windows XP SP3 x86, Windows XP Professional x64 Edition SP2, Windows XP Embedded SP3 x86, Windows Server 2003 SP2 x86 y Windows Server 2003 x64 Edition SP2. (A través de Softpedia)

Más información: CVE-2019-0708

Piratas informáticos accedieron a cuentas de Outlook.com durante varios meses

Cualquier usuario que use el servicio de correo de Microsoft «Oulook.com», se le aconseja que cambie su contraseña lo más pronto posible.

Microsoft revela que piratas informáticos accedieron a algunas cuentas de Outlook.com durante varios meses.

La compañía empezó a notificar hoy a una lista desconocida de usuarios, que un pirata informático pudo haber accedido a cierta información de varias cuentas de correo electrónico.

A principios de este año hasta el 28 de marzo de este mismo año, los hackers pudieron haber visto las direcciones de correo electrónico de las cuentas, direcciones donde fueron enviados los correos, nombre de carpetas y líneas de asunto de correos electrónicos.

«Nuestros datos indican que la información relacionada con la cuenta (pero no el contenido de los correos electrónicos) pudo haber sido vista, pero Microsoft no tiene ninguna indicación de por qué se vio esa información ni de cómo pudo haber sido utilizada», dice Microsoft en un correo electrónico a usuarios afectados.

Aunque los hackers no pudieron robar datos, contraseñas u otra información personal, Microsoft recomienda que los usuarios restablezcan sus contraseñas por seguridad.

Aquí una imagen del correo electrónico de un usuario afectado:

Clic en la imagen para ampliarla

Vía: The Verge

Emsisoft Decrypter for Planetary: Herramienta gratuita para recuperar sus archivos llenos de ransomware

De las amenazas que hay en Internet nadie está salvo, últimamente ha estado muy activo los Ransomwares, he visto a usuarios en Foros y grupos en Facebook pidiendo ayuda por problemas de este tipo de infecciones.

¿Alguien sabe algo del Ransomware Planetary? Hay demasiada información al respecto en Internet, pero una de las características de este secuestrador de datos, es que, al final de la extensión de cada archivo, le agrega una extensión, más con el nombre de «PLANETARY»; ahora, tambien agrega el nombre de los planetas, por ejemplo: .mira, .yum, .Pluto o .Neptune.

La ultima variante, es con la extensión .mira, nombre sacado de un planeta ficticio del videojuego Xeboblade.

Emsisoft Decrypter for Planetary

Emsisoft Decrypter for Planetary, es una herramienta gratuita disponible para el descifrado de archivos encriptados por Planetary Ransomware.

El usuario debe primeramente desinfectar su ordenador para usar la herramienta de descifrado; para ello, se aconseja descargar la herramienta gratuita de Emsisoft Anti-Malware.

Otro punto y el más importante, es el de  NO eliminar la nota de rescate («!!! READ_IT !!!. Txt») o la herramienta de descifrado no funcionará.

Algunas veces, las herramientas gratuitas pueden no tener éxitos, por lo que se le recomienda a la víctima a mantener los archivos cifrados.

Una vez que el Ransomware no guarda ninguna información sobre los archivos no cifrados, el descifrador no puede garantizar que los datos descifrados sean idénticos a los que estaban cifrados previamente. Por lo tanto, el descifrador por defecto optará por el lado de la precaución y no eliminará ningún archivo encriptado después de que haya sido descifrado. Si desea que el descifrador elimine los archivos cifrados después de que se hayan procesado, puede desactivar esta opción. Puede ser necesario hacerlo si el espacio de su disco es limitado.

Emsisoft ha publicado un manual de ayuda para ayudar a las victimas, el blog de BleepingComputer tambien ha publicado información al respecto.

Más información y descarga: Emsisoft Decrypter for Planetary