Me

SEGURIDAD INFORMÁTICA

Sobre nosotros

Somos una comunidad dedicada a la Seguridad Informática con fines totalmente didácticos el cual en distintas plataformas vamos a exponer varias técnicas referentes con temas de Seguridad Informática ya sea Ethical Hacking, programación etc. Expondremos distintas formas de protegerse a ataques de intrusos e informar a las personas sobre los peligros que se puede encontrar en la red y como cuidarse de ellos. Esperamos que el contenido sea de su agrado y se mantenga informado con nosotros. Staff de Haxk.Ur

Me

Gracias por elegir nuestra comunidad como preferencia para la búsqueda de conocimientos, le deseamos una excelente jornada.

Cursos de Capacitación

Experimente los cursos de capacitación en seguridad para pruebas de penetración y supérate día a día.

Hacking Ético y Penetration Tests

Gracias al trabajo de nuestros profesionales contamos con un servicio en auditoria de seguridad.

Contenido Gratuito

Poseemos un contenido gratuito al alcance de cualquiera en nuestro Canal de Youtube y blog.

Haxk.News

Noticias en el área de la Seguridad Informática, el avance en la tecnología y lo último en información.

Herramientas

El desarrollo de nuevas herramientas es esencial y un punto importante de nuestro trabajo.

Soporte Rapido

Damos un servicio de soporte referenciado a nuestros clientes.

  • DarkSpiritz un marco de pruebas de penetración para sistemas UNIX


    DarkSpiritz es un potente Framework para pruebas de penetración en sistemas Unix, desarrollado por SecTel. Actualizando consigo al antiguo proyecto llamado "Roxysploit" .

    Fácil de utilizar similar a metasploit, el cual puede ser usado también en conjunto con esta herramienta. Dentro del programa, encontrará mucha ayuda y documentación sobre los complementos o puede dirigirse a la wiki del proyecto. Si necesita ayuda, no dude en contactarnos a sectel.team@protonmail.com por mas información.

    Instalación: 

    Su instalación es muy fácil y nada mas debe de ejecutar los siguientes comandos:

    git clone https://github.com/DarkSpiritz/DarkSpiritz.git
    Descargar del repositorio correspondiente.
    sudo python installer.py
    Esto descargara todas las dependencias correspondientes.
    python main.py
    Verás una pantalla de inicio. Esta pantalla mostrará cosas como comandos y ajustes de configuración. Puede establecer los ajustes de configuración dentro del propio archivo config.xml o mediante comandos en el shell DarkSpiritz. 


  • Chips de espionaje chinos encontrados ocultos en servidores utilizados por empresas estadounidenses


    Un informe mediático de hoy reveló los detalles de un importante ataque en la cadena de suministro que parece ser uno de los programas corporativos de espionaje y piratería de hardware más grandes de un estado-nación. Según un extenso informe publicado hoy por Bloomberg, se ha encontrado un pequeño chip de vigilancia, no mucho más grande que un grano de arroz, oculto en los servidores utilizados por casi 30 compañías estadounidenses, incluidas Apple y Amazon.

    Los chips maliciosos, que no formaban parte de las placas madre del servidor original diseñadas por la empresa estadounidense Super Micro, se insertaron durante el proceso de fabricación en China.

    El informe, basado en una investigación de alto secreto de 3 años en los Estados Unidos, afirma que los grupos afiliados al gobierno chino lograron infiltrarse en la cadena de suministro para instalar pequeños chips de vigilancia en las placas base que terminaron en servidores desplegados por el ejército estadounidense , Agencias de inteligencia de EE. UU. Y muchas empresas estadounidenses como Apple y Amazon. "Apple descubrió chips sospechosos dentro de los servidores de Supermicro alrededor de mayo de 2015, después de detectar una actividad de red extraña y problemas de firmware, según una persona familiarizada con la línea de tiempo", señala el informe.

    "Dado que los implantes eran pequeños, la cantidad de código que contenían también era pequeña. Pero eran capaces de hacer dos cosas muy importantes: decirle al dispositivo que se comunique con una de varias computadoras anónimas en otro lugar de Internet que se cargaron con más complejas. código y preparación del sistema operativo del dispositivo para aceptar este nuevo código ".

    Los chips sospechosos de haber sido agregados para ayudar al gobierno chino a espiar a las compañías estadounidenses y sus usuarios, básicamente un "hackeo de hardware" que, según la publicación, es "más difícil de lograr y potencialmente más devastador, prometiendo el tipo de largo plazo". El acceso oculto que las agencias de espionaje están dispuestos a invertir millones de dólares y muchos años para obtener ".
    chip de servidor de espionaje de china


    "Dependiendo del modelo de placa, los chips variaron ligeramente en tamaño, lo que sugiere que los atacantes habían suministrado diferentes fábricas con diferentes lotes", dijo el informe.

    La publicación afirma que Apple y Amazon encontraron estos chips en sus placas base de servidor en 2015 y lo informaron a las autoridades de EE. UU., Aunque tanto Apple como Amazon refutaron las afirmaciones.

    Apple, Amazon y Super Micro refutan el informe Bloomberg

    Apple le dijo a Bloomberg que la compañía nunca ha encontrado chips maliciosos, "manipulaciones de hardware" o vulnerabilidades plantadas a propósito en ninguno de sus servidores, o que "tuvo algún contacto con el FBI o cualquier otra agencia sobre tal incidente".

    Apple terminó su relación con Super Micro en 2016. A su juicio, Apple dijo que los reporteros de Bloomberg confundieron su historia con un incidente de 2016 reportado anteriormente en el que la compañía encontró un controlador infectado en un solo servidor Super Micro en uno de sus laboratorios. .
    "Si bien no hubo ninguna reclamación de que los datos de los clientes estuvieran involucrados, tomamos estas alegaciones con seriedad y queremos que los usuarios sepan que hacemos todo lo posible para proteger la información personal que nos confían", dice Apple. "También queremos que sepan que lo que Bloomberg informa sobre Apple es inexacto".
    Amazon también dice que es "falso" que la compañía supiera de "un compromiso de la cadena de suministro" o "servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China" o que "trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso ".

    Mientras tanto, Supermicro y el Ministerio de Relaciones Exteriores de China también han negado enérgicamente los hallazgos de Bloomberg al publicar declaraciones largas. Aquí puede encontrar una lista completa de las declaraciones oficiales de Amazon, Apple, Supermicro y el Ministerio de Asuntos Exteriores de China.

    Fuente: thehackernews.com
  • Investigadores Google revela una nueva vulnerabilidad del kernel de Linux y PoC Exploit.

    exploit de vulnerabilidad del kernel de Linux
    Un investigador de seguridad cibernética de Google Project Zero ha publicado los detalles y un exploit de prueba de concepto (PoC) para una vulnerabilidad de alta gravedad que existe en el núcleo de Linux desde kernel versión 3.16 a 4.18.8.

    Descubierta por el pirata informático blanco Jann Horn, la vulnerabilidad del kernel (CVE-2018-17182) es un error de invalidación de la caché en el subsistema de administración de memoria de Linux que conduce a la vulnerabilidad de uso sin cargo, que si se explota, podría permitir que un atacante obtenga una raíz privilegios en el sistema objetivo

    Las vulnerabilidades de uso después de liberación (UAF) son una clase de error de corrupción de memoria que los usuarios no privilegiados pueden aprovechar para corromper o alterar datos en la memoria, permitiéndoles denegar el servicio (bloqueo del sistema) o escalar privilegios para obtener una administración acceso en un sistema.

    El aprovechamiento del kernel de Linux demora una hora para obtener acceso raíz


    Sin embargo, Horn dice que su exploit de kernel PoC Linux puesto a disposición del público "toma alrededor de una hora para ejecutarse antes de abrir un shell raíz".

    Horn informó responsablemente la vulnerabilidad a los mantenedores de kernel de Linux el 12 de septiembre, y el equipo de Linux resolvió el problema en su árbol kernel en tan solo dos días, lo que Horn dijo que era "excepcionalmente rápido, en comparación con los tiempos de reparación de otros proveedores de software".


    La vulnerabilidad del kernel de Linux fue revelada en la lista de correo de oss-security el 18 de septiembre y fue parcheada en las versiones 4.18.9, 4.14.71, 4.9.128, y 4.4.157 del kernel estable soportado por el upstream el día siguiente.

    También hay una solución en el lanzamiento 3.16.58.


    Debian y Ubuntu Linux dejaron a sus usuarios vulnerables durante más de una semana


    "Sin embargo, una solución que está en el kernel en sentido ascendente no significa automáticamente que los sistemas de los usuarios estén realmente parcheados", señaló Horn.

    El investigador quedó decepcionado al saber que algunas de las principales distribuciones de Linux, incluidas Debian y Ubuntu , dejaban a sus usuarios expuestos a posibles ataques al no lanzar las actualizaciones del kernel más de una semana después de que la vulnerabilidad se hiciera pública.

    Hasta el miércoles, tanto Debian estable como los lanzamientos de Ubuntu 16.04 y 18.04 no habían reparado la vulnerabilidad. Sin embargo, el proyecto Fedora ya implementó un parche de seguridad para sus usuarios el 22 de septiembre.



    "Debian stable envía un kernel basado en 4.9, pero a partir de 2018-09-26, este núcleo fue actualizado 2018-08-21. Del mismo modo, Ubuntu 16.04 incluye un kernel que se actualizó por última vez 2018-08-27", señaló Horn. .
    "Android solo envía actualizaciones de seguridad una vez al mes. Por lo tanto, cuando hay una solución crítica para la seguridad disponible en un kernel estable, todavía puede tomar semanas antes de que la solución esté realmente disponible para los usuarios, especialmente si el impacto de seguridad no se anuncia públicamente. "
    En respuesta a la publicación de blog de Horn , los mantenedores de Ubuntu dicen que la compañía posiblemente lanzará los parches para la falla del kernel de Linux alrededor del 1 de octubre de 2018.

    Horn dijo que una vez que el parche se implementa en el kernel, la vulnerabilidad y el parche se vuelven públicos , que, en este caso, podría permitir a los actores maliciosos desarrollar un exploit de kernel de Linux para los usuarios objetivo.


  • La función de llamada de Telegram pierde sus direcciones IP.

    piratear telegrama mensajero


    Se descubrió que la versión de escritorio de la aplicación de mensajería cifrada de extremo a extremo, centrada en la seguridad y la privacidad, Telegram , filtra las direcciones IP privadas y públicas de los usuarios de forma predeterminada durante las llamadas de voz.

    Con 200 millones de usuarios activos mensuales a partir de marzo de 2018, Telegram sepromociona a sí mismo como un servicio de mensajería instantánea ultraseguro que permite a sus usuarios realizar conversiones de voz y chat cifrados de extremo a extremo con otros usuarios a través de Internet.

    El investigador de seguridad Dhiraj Mishra descubrió una vulnerabilidad (CVE-2018-17780) en la versión oficial de escritorio de Telegram (tdesktop) para Windows, Mac y Linux, y las aplicaciones Telegram Messenger para Windows que filtraban direcciones IP de los usuarios por defecto durante las llamadas de voz debido a su marco de igual a igual (P2P).

    Para mejorar la calidad de la voz, Telegram utiliza por defecto un marco P2P para establecer una conexión directa entre los dos usuarios al iniciar una llamada de voz, exponiendo las direcciones IP de los dos participantes.


    Las llamadas de Telegram podrían filtrar su dirección IP


    Sin embargo, al igual que Telegram ofrece la opción 'Chat secreto' para los usuarios que desean que sus chats estén cifrados de extremo a extremo, la compañía ofrece una opción llamada "Nadie", que los usuarios pueden habilitar para evitar que sus direcciones IP durante las llamadas de voz.

    Al habilitar esta función, las llamadas de voz de Telegram se enrutarán a través de los servidores de Telegram, lo que eventualmente reducirá la calidad de audio de la llamada.

    Sin embargo, Dhiraj descubrió que esta opción Nadie solo está disponible para usuarios móviles, y no para Telegram for Desktop (tdesktop) y Telegram Messenger para aplicaciones de Windows, lo que revela la ubicación de todos los usuarios de computadoras de escritorio sin importar cuán cuidadosos puedan ser.

    Para obtener una dirección IP de alguien, todo lo que un atacante debe hacer es iniciar una llamada. Tan pronto como los destinatarios elijan una llamada, la falla revelará su dirección IP.

    Dhiraj informó sus hallazgos al equipo de Telegram, y la compañía solucionó el problema en las versiones 1.3.17 beta y 1.4.0 de Telegram for Desktop al proporcionar una opción para configurar su "P2P a Nadie / Mis contactos".

    Los usuarios pueden habilitar la opción dirigiéndose a Configuración → Privada y Seguridad → Llamadas de voz → Punto a punto a Nunca o Nadie.

    Dhiraj también recibió una recompensa por errores de 2.000 euros (unos 2.300 dólares) por encontrar y revelar responsablemente el problema a la empresa.

    La fuga de direcciones IP para una aplicación destinada a ser segura es una preocupación real y sirve como un recordatorio de que no se puede depender ciegamente de los servicios más seguros y centrados en la privacidad.


    Telegram Messenger pierde las credenciales de proxy SOCKS5 (sin parche)
    Además de esto, Dhiraj también descubrió y reportó una falla por separado ( CVE-2018-17613 ) en Telegram for Desktop que filtra las credenciales de proxy SOCKS5 en texto plano, cuando se usa, ya que es una característica opcional.
    "El enlace que se genera tiene la contraseña en texto plano, SOCKS5 es un protocolo de transporte y, por sí solo, no está encriptado. Las solicitudes transmiten las credenciales en texto sin formato, lo que se considera una mala práctica de seguridad", dijo Dhiraj.
    "Sin embargo, la URL que se genera mediante telegrama está en HTTPS, pero los productores de URI no deben proporcionar un URI que contenga un nombre de usuario o una contraseña secreta. Los navegadores suelen mostrar los URI, guardarlos en marcadores de texto claros y registrarlos. por historial de agente de usuario y aplicaciones intermediarias (proxies) ".
    Aunque el equipo de Telegram es consciente de este defecto, no tiene planes de solucionarlo en el corto plazo, ya que la compañía cree que la función está funcionando según lo previsto.

    A principios de este año, también se descubrió que la versión de escritorio de Telegram se vio afectada por una vulnerabilidad de día cero que se había explotado en la naturaleza desde el año pasado para diseminar malware que extraía criptomonedas.

    Fuente: thehackernews.com
  • PowershellEmpire Pt.1


    PowershellEmpire es básicamente un marco post-explotación que utiliza la herramienta PowerShell ampliamente desplegada para todas sus necesidades de destrucción de sistemas. Se siente bastante similar a Metasploit con menús de texto, gestión de módulos y funciones de ejecución, pero es puramente para generar agentes de PowerShell y aprovechar la post-explotación. Por supuesto, Powershell es nativo de Windows, lo que significa que AV no es una preocupación (por ahora), y Empire tiene algunas características bastante ingeniosas, pero estoy divagando.

    Instalación: 

    La instalación es trivial. Clone el repositorio en la ubicación que elija y ejecute el script de instalación /opt/Empire/setup/install.sh para extraer las dependencias y configurarlo todo:







    De acuerdo a todo. Se descargarán e instalarán varios paquetes nuevos.

    Luego se le pedirá que elija una clave para asegurar el canal de comunicación entre los agentes y los oyentes Empire. Presiona enter para permitir que se genere una clave aleatoria (puedes elegir una diferente más adelante si lo deseas). Ahora estás listo para ir. Enciende el Empire ejecutando ./empire desde /opt/Empire (o desde donde lo tiene almacenado):

    Mas información sobre la herramienta: https://www.powershellempire.com/

    VÍDEO:

  • Facebook filtra datos (incluidas conversaciones privadas) de 50 millones de cuentas



    40 millones más "probables" afectados

    Si nació a fines de los 80, probablemente sepa el significado de AFK. De lo contrario, no solo es probable que no tenga idea de qué es, sino que es probable que nunca haya cerrado sesión en su cuenta. Y eso estuvo perfectamente bien.

    Hasta el día de hoy, cuando casi 90 millones de usuarios se han desconectado de Facebook hace horas como precaución para lo que parece ser el peor error de privacidad de la red social hasta la fecha. Y, sí, hemos oído hablar de Cambridge Analytica y del resto de las historias.

    La historia, cuadro a cuadro

    Según el anuncio de Facebook, casi 50 millones de cuentas se han visto comprometidas a través de una vulnerabilidad encadenada en la función Ver como, que permitió a una parte desconocida arrebatar los tokens de autenticación de estos 50 millones de usuarios. Estos tokens de autenticación le permiten permanecer conectado a la cuenta cada vez que actualiza la página del navegador, reinicia la computadora o la pone a dormir. Mientras tenga el token, se le concede acceso a su cuenta sin tener que pasar por el proceso de inicio de sesión. Quien tenga este token también está exento de pasar por el proceso de inicio de sesión, incluido el que lo arrebató a través de esta vulnerabilidad.

    Hay poca información adicional sobre este error, excepto por el hecho de que ha sido parcialmente mitigada por la red social al desactivar la función Ver como, pero vale la pena mencionar que no se menciona una recompensa Bug Bounty o una cuenta de un blanco. hacker ha reportado esta vulnerabilidad En este punto, es seguro suponer que este no fue un informe controlado y que un tercero se retiró literalmente con al menos 50 MILLONES de tokens de acceso a tantas cuentas.

    Aquí viene la parte dolorosa

    Según Statista, Facebook Messenger es la segunda plataforma de mensajería instantánea más grande del mundo con casi 1.300 millones de usuarios activos. También es la plataforma de mensajería instantánea más grande del mundo que no tiene activado el cifrado de extremo a extremo por defecto. Esto significa que el historial de chat siempre está disponible desde cualquier máquina en la que inicies sesión, a menos que hayas activado manualmente la opción Conversaciones secretas. En este punto, es seguro asumir que, si se desconectó de Facebook sin razón aparente:
    Lo más probable es que tu cuenta haya sido pirateada. Lo que nos lleva al punto número 2.
    Sus publicaciones privadas, conversaciones y cada información, como registros, imágenes enviadas por chat, etc., probablemente hayan caído en manos equivocadas. Si, en cualquier momento, se hacen públicos después de un "vertedero de datos", los matrimonios se romperán, la amistad terminará abruptamente y las imágenes delicadas inundarán Internet. La vida nunca será la misma que antes, "gracias" a un pequeño error en una plataforma.
    Es posible que se haya accedido a otras cuentas que usan la autenticación de Facebook.

    A partir de ahora, es difícil decir lo que los hackers pudieron tener en sus manos. Sin embargo, dada la complejidad del error y el generoso cronograma (el error fue detectado el pasado martes por la red social, pero podría haber sido explotado por mucho más tiempo ), es justo suponer lo peor. La razón por la que tuvo que volver a iniciar sesión hoy fue la forma en Facebook de denegar el acceso de los hackers a las cuentas: invalidaron el token de acceso tanto de las cuentas comprometidas confirmadas de 50 millones como de las cuentas sospechosas de comprometerse.

    Y, como estamos hablando de contenido extremadamente delicado, como conversaciones de chat privadas, chats grupales e interacciones entre empresas, cambiar la contraseña no será suficiente para que todo vuelva a funcionar. Por lo tanto, si ha compartido contenido confidencial en Facebook Messenger, es hora de aceptarlo. Si es una empresa que utiliza Facebook Messenger para fines de soporte y ha cerrado sesión en su cuenta, será mejor que comience a evaluar qué información se ha intercambiado en el medio y comience a notificar a los clientes. En general, se trata de una violación de datos que cae bajo el GDPR y debe tratarse como tal.

    Qué deberías hacer ahora

    La revelación de hoy se basa en el viejo adagio que dice "nunca pongas tus huevos en una sola canasta". Las redes sociales se han convertido en la pieza central de nuestra vida digital que se difumina en la vida física misma. También es una cuenta que las redes sociales pueden hacer mucho más que influir en su comportamiento de compra o robar una elección: puede tener consecuencias graves en su estilo de vida basadas en interacciones sociales privadas.

    Lamentablemente, lo que se ha visto no se puede perder y es poco lo que puede hacer ahora para cambiar el curso de las cosas. Lo que debes hacer es considerar tus opciones futuras:
    • Comprenda que las redes sociales no son lugares a prueba de balas donde sus secretos están seguros. Planifica lo peor y actúa en consecuencia.
    • Nunca ponga algo por escrito que no le gustaría perder varios años a partir de ahora cuando se rompe la plataforma.
    • Acepta la encriptación de extremo a extremo como tu vida y tu libertad depende de ello. A veces lo hace.
    • Use clientes de mensajería instantánea centrados en la privacidad, como Signal para chats delicados o cualquier otro negocio que deba mantenerse separado de su persona física.
    Fuente: hotforsecurity.bitdefender.com
  • Scrounger un Kit de herramientas de prueba de aplicaciones móviles.



    Aunque se han desarrollado otras herramientas de análisis de aplicaciones móviles, no existe una herramienta que se pueda usar tanto para Android como para iOS, y se puede denominar "estándar" en todas las evaluaciones de aplicaciones móviles.

    La idea detrás de Scrounger es crear una herramienta similar al metasploit que no haga funcionar a los pentesters pero que ayude al pentestre en su evaluación mediante la ejecución de tareas mundanas que deben realizarse en todas las evaluaciones.

    Scrounger es una herramienta modular diseñada para realizar las tareas rutinarias requeridas durante una evaluación de seguridad de aplicaciones móviles. Scrounger reúne convenientemente los dos principales sistemas operativos móviles, Android e iOS, en una sola herramienta, de una manera fácil de usar, bien documentada y fácilmente extensible.

    Scrounger consiste en una serie de módulos que fueron construidos sobre un núcleo fuerte. La razón es permitir una fácil extensibilidad, al igual que Metasploit. Como resultado, si desea que Scrounger realice comprobaciones adicionales, puede simplemente agregar un nuevo módulo que luego se puede ejecutar a través de la consola interactiva de Scrounger o sus interfaces de línea de comando.

    Además, contiene tanto módulos de Android como iOS, por lo tanto, en lugar de utilizar múltiples herramientas para ayudarlo durante una evaluación de aplicaciones móviles, Scrounger le ofrece la posibilidad de usar solo una herramienta y aprender solo un conjunto de comandos, que funcionarán para ambos sistemas operativos. sistemas.

    Scrounger ya viene incluido con varios módulos que se pueden ejecutar para realizar varias comprobaciones en las aplicaciones móviles.


    La diferencia
    Las características principales que Scrounger ofrece a los demás no:
    Funciona con Android e iOS
    Consola y módulos similares a Metasploit
    Ofrece una variedad de módulos que se pueden ejecutar para dar al pentester un punto de partida
    Fácilmente extensible


    Binarios requeridos
    Para los módulos de Android


    Para los módulos de iOS


    Binarios de iOS
    Binarios Bundled:
    • embrague
    • dump_backup_flag
    • dump_file_protection
    • dump_keychain
    • dump_log
    • listapps
    • Repositorio de Cydia Karen ( https://cydia.angelxwind.net ) (Opcional):
    • AppSync Unified (paquete: net.angelxwind.appsyncunified)
    • appinst (Paquete: com.linusyang.appinst)
  • Investigador revela un nuevo Zero-Day que afecta a todas las versiones de Windows

    vulnerabilidad de Windows día cero
    Un investigador de seguridad ha revelado públicamente una vulnerabilidad de día cero no parcheada en todas las versiones compatibles del sistema operativo Microsoft Windows (incluidas las ediciones de servidor) después de que la compañía no parcheó un error divulgado responsablemente dentro del plazo de 120 días.

    Descubierta por Lucas Leong del equipo de Trend Micro Security Research, la vulnerabilidad de día cero reside en Microsoft Jet Database Engine que podría permitir a un atacante ejecutar de forma remota código malicioso en cualquier computadora vulnerable de Windows.

    El Motor de base de datos JET de Microsoft o simplemente JET (Joint Engine Technology) es un motor de base de datos integrado en varios productos de Microsoft, incluidos Microsoft Access y Visual Basic. De acuerdo con el un asesor lanzada por Zero Day Initiative (ZDI), la vulnerabilidad se debe a un problema con la administración de índices en el motor de la base de datos Jet que, si se explota exitosamente, puede causar una escritura de memoria de límites máximos, lo que lleva a la ejecución remota de código.

    Un atacante debe convencer a un usuario específico para que abra un archivo de base de datos JET especialmente diseñado a fin de aprovechar esta vulnerabilidad y ejecutar código malicioso de forma remota en una computadora Windows vulnerable.
    "Los datos elaborados en un archivo de base de datos pueden desencadenar una escritura más allá del final del búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual", escribió Zero Day Initiative de Trend Micro en su blog .

    "Varias aplicaciones usan este formato de base de datos. Un atacante que use esto podría ejecutar código en el nivel del proceso actual".

    Según los investigadores de ZDI, la vulnerabilidad existe en todas las versiones compatibles de Windows, incluidos Windows 10, Windows 8.1, Windows 7 y Windows Server Edition 2008 a 2016.

    ZDI informó sobre la vulnerabilidad a Microsoft el 8 de mayo, y el gigante tecnológico confirmó el error el 14 de mayo, pero no paró la vulnerabilidad y lanzó una actualización dentro de un plazo de 120 días (4 meses), haciendo que ZDI se haga pública con los detalles de vulnerabilidad .

    El código de explotación de prueba de concepto para la vulnerabilidad también ha sido publicado por Trend Micro en su página GitHub.

    Microsoft está trabajando en un parche para la vulnerabilidad, y dado que no se incluyó en el parche de septiembre el martes, puede esperar la solución en el lanzamiento de parches de octubre de Microsoft.

    Trend Micro recomienda a todos los usuarios afectados que "restrinjan la interacción con la aplicación a archivos de confianza", como una medida de mitigación hasta que Microsoft presente un parche.

    Fuente: TheHackerNews
  • Marco de prueba de seguridad de correo


       Mail Security Testing Framework es un marco de prueba para la seguridad del correo y las soluciones de filtrado. El marco de prueba de seguridad de correo funciona con Python> = 3.5. Solo jala este repositorio y sigue adelante. No se requieren más dependencias.

    Uso
       El script  mail-tester.py  ejecuta las pruebas. Lea el mensaje de ayuda  ./mail-tester.py --help y consulte la lista de módulos de prueba y evasión  ./mail-tester.py -l para obtener una descripción general de las capacidades y el uso del script. Algunos consejos:


    • Al menos los parámetros  --smtp-server y  --to deben darse para una ejecución de prueba mínima.
    • Todos los parámetros también pueden almacenarse en archivos de configuración sin el prefijo  --. Estos archivos de configuración se pueden usar invocando  ./mail-tester.py @tester.conf (configuración contenida en  tester.conf ).
    • Se pueden configurar múltiples destinatarios  --to para probar diferentes configuraciones de filtro.
    • Algunas soluciones de filtrado de correo pueden rechazar mensajes después de un tiempo. Se usa  --auto-delay para la regulación automática de los correos. Esto se puede ajustar con  --delay-step,  --delay-max y  --delay.
    • Algunas pruebas (Spam y Malware) requieren muestras. Ponlos en directorios y configura estos directorios con  --spam-folder y  --malware-folder parámetros. Las muestras no están incluidas en este repositorio (y no lo serán). Los mejores lugares para obtener malware son  theZoo ,  Das Malwerk  u otras colecciones. El spam puede exportarse directamente desde su carpeta de spam, pero debe estar en formato EML.
    • Las listas negras se pueden suministrar con el  --blacklist parámetro y se usan como direcciones de remitente.
    • Los casos de prueba XSS de Shellshock y Subject deben tener un dominio de conexión a la conexión válido, donde pueda ver cualquier conexión retrasada (especialmente las solicitudes DNS). El servicio gratuito de  tokens canarios  se puede utilizar para este propósito. ¡Gracias a  Thinkst por brindar este increíble servicio!
    • Se pueden habilitar algunos trucos de evasión de reconocimiento de archivos adjuntos  --evasion content-disposition. Estos fueron utilizados en el pasado para confundir las soluciones AV / sandboxing y dejarles pasar correos maliciosos.
    • No te olvides de registrar los resultados de la prueba con  --log. Los proveedores de filtrado de correo a menudo rechazan los correos en el diálogo SMTP, que se refleja en el registro generado.
    • Los casos de prueba se pueden volcar  --output como archivos sin formato en un directorio, en formato MBox ( --mbox) o MailDir ( --maildir). Esto es útil para probar agentes de usuario de correo sin enviar ningún correo electrónico, para documentar o revisar casos de prueba generados.



       Las pruebas propias se pueden implementar con una clase en uno de los archivos Python existentes o recién creados en el  tests/ directorio. La clase debe ser una subclase de  MailTestBase ubicado en el módulo  tests.base de este proyecto. Las pruebas recién implementadas se descubren automáticamente cuando la variable de clase  active está configurada en  True. Además (si planea contribuir con las pruebas al repositorio principal), el identificador de las variables de clase  , el  nombre  y la  descripción se  deben configurar de manera apropiada.


    IMPORTANTE:  ¡No hagas nada malo con esto! Las pruebas en la nube u otras soluciones alojadas siempre deben ser aprobadas por el proveedor evaluado. Solo use sus propias cuentas de prueba y no moleste a nadie con una gran cantidad de correos de prueba.


    Fuente : https://github.com/TKCERT/mail-security-tester
  • La ofuscación de PowerShell sube la alerta en Antivirus



    El desarrollo se ajusta a una tendencia que hace que los actores de amenazas recurran al conocido malware de productos básicos, superando su fácil detección con métodos de ofuscación cada vez mejores.
    Se ha detectado una nueva técnica de ofuscación que utiliza las características de PowerShell, una herramienta que viene incorporada en Microsoft Windows. El análisis de Cylance muestra que la táctica logra evitar la mayoría de los productos antivirus.

    Los investigadores de Cylance tropezaron con un archivo de malware usando un método de ofuscación de PowerShell mientras buscaban en un conjunto de scripts maliciosos que tenían poca detección antivirus. El archivo era un archivo ZIP que contenía tanto un documento PDF como un script VBS, y solo tres productos antivirus lo marcaban.

    Toma una página de otras técnicas de ofuscación comunes, que incluyen el uso de empaquetadores para comprimir un programa de malware; cifrado para ocultar sus cadenas únicas de código; o técnicas que cambian los cosméticos de malware, como la cantidad total de bytes en el programa. Todo esto altera el hash y la firma del malware para que las herramientas antivirus comunes no lo marquen como un agente malicioso conocido.

    "La ofuscación es un término artístico que describe un conjunto de técnicas utilizadas para evadir productos antivirus que dependen en gran medida de las firmas", explicaron los investigadores de Cylance, en un análisis técnico publicado el miércoles sobre la táctica. "Estas técnicas cambian la estructura general de una pieza de malware sin alterar su función. A menudo, esto tiene el resultado general de crear capas que actúan para enterrar la carga máxima, como las figuras anidadas en una muñeca rusa ".

    PowerShell: un nuevo juguete
    En el gambito de PowerShell, el script de VBS antes mencionado usaba una codificación rudimentaria de Base64 para oscurecer la primera capa. Ese script VBS luego descargó y ejecutó un archivo DAT a través de PowerShell. El equipo descubrió que el script utilizaba técnicas como la división de cadenas mediante la asignación de concatenación y variables, así como el uso de marcas y mayúsculas de letras aleatorias para dividir las palabras o firmas con las que comúnmente confían las compañías antivirus para la identificación maliciosa de PowerShell.

    "El archivo 1cr.dat es donde las cosas se pusieron interesantes", explicaron los investigadores. "Utiliza un método de encriptación de cadenas inherente a C # llamado SecureString ... comúnmente utilizado para encriptar cadenas sensibles dentro de aplicaciones usando el DPAPI integrado de Microsoft".

    Agregaron que el script en sí descargaba el archivo "ravigel.com/top.dat", que era un archivo ZIP que contenía un archivo PE codificado por la representación ordinal de cada byte hex, separado por un carácter de espacio, y precedido del encabezado "google \". r \ n. "

    Mientras tanto, la carga real es "una simple herramienta de espionaje ampliamente conocida por la comunidad de seguridad".
    "El juego del gato y el ratón de detección y respuesta no es nuevo", dijo Kevin Livelli, director de inteligencia de amenazas en Cylance, a Threatpost. "Los atacantes, ya sean grupos avanzados o delincuentes comunes, son astutos observadores de las defensas del objetivo y se adaptan en consecuencia. El malware no tiene que ser especialmente complicado o incluso nuevo para ser efectivo. La ofuscación brinda a los atacantes una forma simple y económica de hacer el trabajo hasta que la industria se adapte y los atacantes pasen a la siguiente técnica ".

    Malware de productos en aumento
    El desarrollo se ajusta a una tendencia que hace que los actores de amenazas recurran al conocido malware de productos básicos, superando su fácil detección con métodos de ofuscación cada vez mejores.

    "Cuando la huella dactilar de un malware es conocida por todos y está al alcance de todos, el actor de la amenaza puede esconderse entre un grupo increíblemente grande de sospechosos. La firma de la carga útil esencialmente no tiene sentido ", explicaron los investigadores.

    Añadieron: "Esta tendencia va en contra de una suposición ampliamente aceptada en el espacio de seguridad de la información que sostiene que el malware altamente personalizado junto con los exploits de día cero son los que merecen la mayor atención ... [Estos actores] ahora están pasando por alto los productos antivirus con herramientas que no son 'día cero' sino 'todos los días' ".

    Fuente: threatpost.com 
  • Kit de herramientas de reconocimiento de red avanzado badKarma



    badKarma es un kit de herramientas python3 GTK + que tiene como objetivo ayudar a los probadores de penetración durante todas las fases de actividad de prueba de penetración de la infraestructura de red. Permite a los probadores ahorrar tiempo al tener acceso de apuntar y hacer clic a sus kits de herramientas, ejecutarlos contra objetivos únicos o múltiples e interactuar con ellos a través de interfaces GUI o Terminales.

    La salida de cada tarea se registra bajo un archivo de sesión para ayudar durante la fase de generación de informes o en un posible escenario de respuesta a incidentes. También está disponible un conmutador de proxycains que permite que todo pase por proxies, y por último pero no menos importante, cada comando se puede ajustar antes de la ejecución deshabilitando la casilla de verificación "auto-execute".

    badKarma tiene licencia bajo GNU GPL versión 3.

    Archivo de sesión
    El archivo de sesión es solo una base de datos sqlite, contiene toda la información obtenida durante la actividad, actualizada en tiempo real, puede exportarse o importarse desde la GUI de badKarma. Por defecto, la base de datos se encuentra dentro del directorio "/ tmp", esto significa que debe guardarla en una ubicación diferente antes de reiniciar su computadora.

    Dentro de la base de datos hay cuatro tablas: hosts, puertos, activity_log y notas.


    Objetivos
    Es posible agregar objetivos y escanearlos con nmap y / o masscan desde la GUI, algunos de los perfiles de escaneo predeterminados ya están disponibles. Es posible importar resultados de escáneres XML desde el menú principal.

    También hay una secuencia de comandos de shodan-api (smap.py) que permite al probador importar datos del objetivo directamente desde shodan. Está ubicado dentro del directorio de scripts y requiere una clave api de shodan dentro de conf / shodan.conf para poder funcionar.

    Por defecto, todas las salidas de escaneo se almacenan dentro del directorio "/ tmp", luego la salida se importa en el archivo de sesión y se elimina.


    Extensiones
    badKarma es modular, las extensiones son totalmente interactivas y permiten que el verificador de penetración ajuste las opciones de tareas, dado que la salida se registra bajo el archivo de sesión, su salida se puede exportar como un txt sin formato desde la pestaña "Registros".

    Las extensiones se pueden encontrar en el directorio "extensión", las extensiones disponibles actuales son:
    • Shell: este es el módulo principal del kit de herramientas, ya que permite que el probador ejecute tareas de shell preconfiguradas. Los comandos de Shell se encuentran en el directorio "conf".
    • Bruter: como su nombre lo dice, bruter es la extensión de la fuerza bruta. Permite al probador enviar un objetivo directamente a Hydra y configurar los parámetros a través de una GUI. Los parámetros predeterminados de hydra se pueden modificar desde conf / bruter.conf.
    • Captura de pantalla: esta extensión permite al verificador tomar capturas de pantalla de posibles servidores http, rdp, rtsp, vnc y x11, las capturas de pantalla se almacenarán en el archivo de sesión como base64 y se pueden mostrar desde badKarma.
    • Navegador: solo un "abrir en el navegador" para el elemento del menú http, tómelo como ejemplo para crear sus propias extensiones.

    Instalación:
    apt install python3-pip python3-gi phantomjs gir1.2-gtk-vnc-2.0 gir1.2-gtksource-3.0 gir1.2-vte-2.91 gir1.2-osmgpsmap-1.0 ffmpeg


    Repositorio:

     git clone https://github.com/r3vn/badKarma.git


    Instala dependencias de Python:

    cd badKarma  pip3 install -r requirements.txt

    Ejecución:
     chmod +x badkarma.py ./badkarma.py

    Mas información ;  https://github.com/r3vn/badKarma
  • SandboxEscaper revela un nuevo 0Day de Windows sin parchear.

    Windows día cero exploit


    Un investigador de seguridad ha revelado públicamente los detalles de una vulnerabilidad de día cero previamente desconocida en el sistema operativo Windows de Microsoft que podría ayudar a un usuario local o programa malicioso a obtener privilegios del sistema en la máquina objetivo.

    ¿Y adivina qué? La falla de día cero ha sido confirmada trabajando en un "sistema Windows 10 de 64 bits completamente parcheado".

    La vulnerabilidad es un problema de escalada de privilegios que reside en el programa del programador de tareas de Windows y se produjo debido a errores en el manejo de los sistemas de llamada de procedimiento local avanzado (ALPC).

    La llamada de procedimiento local avanzado (ALPC) es un mecanismo interno, disponible solo para los componentes del sistema operativo Windows, que facilita la transferencia de datos de alta velocidad y segura entre uno o más procesos en el modo de usuario.

    La revelación del día cero de Windows llegó antes hoy de un usuario de Twitter con alias en línea SandboxEscaper, que también publicó un enlace a una página de Github que alberga un exploit de prueba de concepto (PoC) para la vulnerabilidad de escalada de privilegios en Windows.
    "Aquí está el error alpc como 0day: https://t.co/m1T3wDSvPX Ya no me importa la vida. Tampoco quiero volver a enviar a MSFT de todos modos. A la mierda con toda esta mierda", tuiteó SandboxEscaper ( archivo ), que ahora se ha eliminado.

    Zero-Day funciona bien en PC Windows 10 de 64 bits completamente parcheado

    Poco después, el analista de vulnerabilidades de CERT / CC Will Dormann verificó la autenticidad del error de día cero, y tuiteó :
    "Confirmé que esto funciona bien en un sistema Windows 10 de 64 bits completamente parcheado. ¡LPE es el sistema!"
    Según un breve aviso en línea publicado por CERT / CC, la falla de día cero, si se explota, podría permitir a los usuarios locales obtener privilegios elevados (SISTEMA). Como la interfaz de Llamada de procedimiento local avanzada (ALPC) es un sistema local, el impacto de la vulnerabilidad es limitado con una puntuación de CVSS de 6.4 a 6.8, pero el exploit de PoC lanzado por el investigador podría ayudar a los autores de malware a apuntar a los usuarios de Windows. SandboxEscaper no notificó a Microsoft sobre la vulnerabilidad de día cero, dejando a todos los usuarios de Windows vulnerables a los piratas informáticos hasta que el gigante de la tecnología libere un parche de seguridad para solucionar el problema. Es probable que Microsoft remienda la vulnerabilidad en el parche de seguridad del próximo mes, que está programado para el 11 de septiembre.

    El CERT / CC observa que actualmente no tiene conocimiento de ninguna solución práctica para este error de día cero.

    Fuente: TheHackerNews
  • Deja tu comentario te responderemos en breve...

    Staff de Haxk.Ur