Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
enero
(Total:
52
)
- Configuración MariaDB (MySQL) Gestor Base de Datos
- Instalar WSL2 en Windows 10 para ejecutar Linux de...
- Análisis BackBlaze de los discos duros mecánicos m...
- Tecnologías grabación disco duro mecánico HDD: dif...
- Europol desmantela Emotet: la botnet de malware má...
- Obtener IP de un contacto mediante una llamada en ...
- Nomenclatura de la BIOS/UEFI: ErP Ready, CSM, VRM,...
- Vulnerabilidad en sudo presente desde 2011 permite...
- Seguridad en SSH: uso de llaves privadas y multifa...
- Securizar una RaspBerry Pi
- Convierte tu Raspberry PI en un analizador de red ...
- Optimizar módulo PHP FPM y opciones de seguridad e...
- Los mejores HoneyPots: ejemplos, tipos, caracterís...
- SMiShing: ¿Por qué son tan efectivos los engaños p...
- Vulnerabilidad en "Enviar a Kindle" por e-mail per...
- Utilizan Windows RDP (Escritorio Remoto) puerto 33...
- Secuestran mediante phishing la cuenta de Instagra...
- Google indexa de nuevo datos privados de WhatsApp ...
- Arbitrium-RAT: troyano de acceso remoto multiplata...
- Un exempleado interrumpe el envío de suministros d...
- Los 10 mejores sitios web descarga de Torrent de 2021
- La Policía Nacional detiene en Valencia varón 25 a...
- La policía británica borra por error 400.000 histo...
- Guía configuración y optimización Apache (MPM, suE...
- Administración de Trump añade a Xiamoi a lista de ...
- Comprobar la capacidad real de espacio en un pendr...
- Error en Windows 10 corrompe tu disco duro al ver ...
- Empresa china filtra 200 millones de datos de usua...
- Expertos alertan potente y peligroso RAT llamado R...
- nVidia presenta la serie GeForce RTX Serie 30 y AM...
- Intel agrega a procesadores capacidades de detecci...
- Archivan todas las publicaciones de Parler elimina...
- Fuga de datos privados de la ONU: trabajadores de ...
- Muchas otras redes sociales se unen al veto de Twi...
- SolarWinds contrata una nueva empresa de cibersegu...
- Compartir la ubicación de Telegram no es tan priva...
- HackTools v0.3.0 : la extensión todo en uno para W...
- FBI advierte a empresas sobre ataques del ransomwa...
- Estados Unidos condena ruso a 12 años de cárcel po...
- Aumentan las descargas de Signal y Telegram ante p...
- Condenan a Vodafone a devolver 20.380 euros a un c...
- La aplicación KeyDecoder permite usar el teléfono ...
- Comprendiendo el cifrado TPM con BitLocker y métod...
- Descubre contraseñas escuchando las pulsaciones de...
- Grupo Ransomware DoppelPaymer roba y publica datos...
- Apple compara cuántos metadatos recoge Whatsapp Vs...
- Nintendo pide $15 millones de daños de un sitio we...
- Crecen los ciberataques a los bancos a raíz del co...
- iptables Vs FirewallD: diferencias, ejemplos práct...
- Desactivar scripts PowerShell para evitar ataques ...
- Fallo en Facebook SDK permitía robar cuentas vía o...
- ¿Se atreverá Twitter banear a Donald Trump cuando ...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Si tienes claro que buscas un AMD, pero no sabes cual… esta es tu comparativa. Cuando compramos CPU, debemos tener en cuenta la plataforma...
Error en Windows 10 corrompe tu disco duro al ver el ícono un archivo
0-day sin parches en Microsoft Windows 10 permite a los atacantes corromper un disco duro con formato NTFS con un comando de una sola línea. En algunos casos, según el investigador, es posible corromper la tabla maestra de archivos NTFS (MFT). La vulnerabilidad se puede entregar oculto dentro de un archivo de acceso directo de Windows (.url), un archivo ZIP, archivos por lotes o varios otros vectores para desencadenar errores en el disco duro que corrompen el índice del sistema de archivos al instante.
Otro error (bug) de Windows 10 bloquea (BSOD, pantalla azul de la muerte Blue Screen of Death) tu PC cuando accedes a esta ubicación:
Windows URL file (.url) o si escribes en la barra de direcciones del navegador:
\\.\globalroot\device\condrv\kernelconnect
Vulnerabilidad NTFS "críticamente subestimada"
- El error de Windows 10 corrompe tu disco duro al ver el ícono de este archivo
En agosto de 2020, octubre de 2020 y finalmente esta semana, el investigador de seguridad de la información Jonas L llamó la atención sobre una vulnerabilidad de NTFS que afecta a Windows 10 y que no se ha solucionado.
Cuando se explota, esta vulnerabilidad puede desencadenarse mediante un comando de una sola línea para corromper instantáneamente un disco duro con formato NTFS, y Windows le pide al usuario que reinicie su computadora para reparar los registros del disco dañados.
El investigador dice que el fallo se volvió explotable a partir de Windows 10 build 1803, la actualización de Windows 10 de abril de 2018, y continúa funcionando en la última versión.
Lo que es peor es que la vulnerabilidad puede ser provocada por cuentas de usuario estándar y con pocos privilegios en sistemas Windows 10.
Vulnerabilidad NTFS de JonathanLyk
El tuit de Jonas sobre una vulnerabilidad "críticamente subestimada"
Una unidad puede dañarse simplemente intentando acceder al atributo NTFS $ i30 en una carpeta de cierta manera.
* ADVERTENCIA * La ejecución del siguiente comando en un sistema en vivo dañará la unidad y posiblemente la hará inaccesible. SOLO pruebe este comando en una máquina virtual que pueda restaurar a una instantánea anterior si la unidad se daña. *ADVERTENCIA*
A continuación se muestra un comando de ejemplo que corrompe una unidad.
Úselo bajo tu propia responsabilidad.
c:\:$i30:bitmap
El atributo de índice de Windows NTFS, o cadena '$ i30', es un atributo NTFS asociado con directorios que contiene una lista de los archivos y subcarpetas de un directorio. En algunos casos, el índice NTFS también puede incluir archivos y carpetas eliminados, lo que resulta útil cuando se realiza una respuesta a incidentes o análisis forense.
No está claro por qué el acceso a este atributo corrompe la unidad, y Jonas dice que una clave de registro que ayudaría a diagnosticar el problema no funciona.
'No tengo idea de por qué corrompe las cosas y sería mucho trabajo averiguarlo porque la clave de registro que debería BSOD sobre la corrupción no funciona. Entonces, se lo dejo a las personas con el código fuente ''
Después de ejecutar el comando en el símbolo del sistema de Windows 10 y presionar Enter, el usuario verá un mensaje de error que dice: "El archivo o directorio está dañado y es ilegible".
Windows 10 comenzará inmediatamente a mostrar notificaciones que le pedirán al usuario que reinicie su PC y repare el volumen del disco dañado. Al reiniciar, la utilidad de comprobación de disco de Windows se ejecuta y comienza a reparar el disco duro, como se muestra en el siguiente video.
Después de que las unidades se corrompan, Windows 10 generará errores en el registro de eventos que indica que la tabla maestra de archivos (MFT) para la unidad en particular contiene un registro dañado.
Las pruebas también muestran que puede usar este comando en cualquier unidad, no solo en la unidad C: y esa unidad se dañará posteriormente.
Formas más sofisticadas de explotar el día cero
En las pruebas realizadas, los actores de amenazas pueden usar el comando de manera maliciosa en varios exploits de PoC.
Un hallazgo sorprendente que Jonas compartió fue que un archivo de acceso directo de Windows diseñado (.url) que tenía la ubicación de su icono establecida en C: \: $ i30: $ bitmap desencadenaría la vulnerabilidad incluso si el usuario nunca abrió el archivo.
Según lo observado tan pronto como este archivo de acceso directo se descargue en una PC con Windows 10, y el usuario vea la carpeta en la que está presente, el Explorador de Windows intentará mostrar el icono del archivo.
Para hacer esto, el Explorador de Windows intentaría acceder a la ruta del icono diseñada dentro del archivo en segundo plano, corrompiendo así el disco duro NTFS en el proceso.
A continuación, las notificaciones de "reiniciar para reparar el disco duro" comienzan a aparecer en la PC con Windows, todo esto sin que el usuario ni siquiera haya abierto o hecho doble clic en el archivo de acceso directo.
Entrega de carga útil a través de archivos ZIP, archivos HTML y varios medios
Los atacantes creativos también pueden entregar esta carga útil de diversas formas a la víctima.
Si bien la política del mismo origen en la mayoría de los navegadores limitaría la publicación de estos ataques desde un servidor remoto (p. Ej., Un archivo de referencia de documento HTML file:///C:/:$i30:$bitmap, existen medios creativos para evitar tales restricciones.
El investigador declaró brevemente que se podrían usar otros vectores para activar este exploit de forma remota, como a través de páginas HTML diseñadas que incorporan recursos de recursos compartidos de red o unidades compartidas que tienen referencias a la ruta $ i30 infractora.
En algunos casos, según el investigador, es posible corromper la tabla maestra de archivos NTFS (MFT).
Durante nuestra investigación se encontró con una advertencia.
En algunas pruebas, después de que la utilidad chkdsk de Windows 10 había "reparado" los errores del disco duro al reiniciar, el contenido del archivo de explotación, en este caso, el acceso directo de Windows diseñado con su icono establecido en C: \: $ i30: $ bitmap se borraría y se reemplazaría con bytes vacíos.
Esto significa que el archivo de acceso directo de Windows creado fue suficiente para realizar un ataque único si esto sucede.
Además, es poco probable que una víctima descargue un archivo de acceso directo de Windows (.url) de Internet.
Para hacer que el ataque sea más realista y persistente, los atacantes podrían engañar a los usuarios para que descarguen un archivo ZIP para entregar el archivo creado.
Un atacante puede, por ejemplo, colarse en su archivo de acceso directo de Windows malicioso con una gran cantidad de archivos legítimos dentro de un archivo ZIP.
No solo es más probable que un usuario descargue un archivo ZIP, sino que es probable que el archivo ZIP active el exploit cada vez que se extrae.
Esto se debe a que el contenido comprimido (y posiblemente encriptado) del archivo ZIP, incluido el acceso directo de Windows, no activará el exploit a menos que se extraiga.
E incluso cuando se extrae, el proceso de reparación del disco duro vaciaría el archivo de acceso directo de Windows extraído sin tocar la copia comprimida presente dentro del archivo ZIP hasta que el usuario intente volver a extraer el ZIP.
Según fuentes de la comunidad de seguridad de la información, las vulnerabilidades graves como estas se conocen desde hace años y se informaron a Microsoft anteriormente, pero siguen sin parchearse.
"Microsoft tiene un compromiso con el cliente de investigar los problemas de seguridad informados y proporcionaremos actualizaciones para los dispositivos afectados lo antes posible", dijo un portavoz de Microsoft
Fuente:
1 comentarios :
NO es en Windows únicamente, es un malware y está presente en todos lo sistemas operativos, la única diferencia es que en Linux se elimina fácilmente, con un rm -rf ya que lo que hace es crear un archivo raw en el que va copiando toda la información de PC y la sube a servidores en otros países, está un poco divertido aunque no me he dado tiempo de ver proseso hasta el final
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.