Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
septiembre
(Total:
56
)
- Caduca un certificado raíz SSL que afectará dispos...
- Presentan teléfono móvil: Fairphone 4 con 5 años d...
- Astro: el robot asistente de Amazon: seguridad dom...
- Activar el Modo Dios en Windows 10
- XSS o Cross‑Site Scripting: tipos de ataque y prev...
- Herramientas SysInternals para administrar y monit...
- Significado pitidos placas bases Asus, GigaByte, A...
- Mozilla y Apple en contra que Google implemente un...
- Europa obligará a utilizar cargador estándar USB-C...
- Vulnerabilidad protocolo AutoDiscover de Microsoff...
- Filtración masiva datos privados de agencia inmobi...
- 11 graves vulnerabilidades en software Nagios
- Tipos de Phishing y trucos para detectarlo
- Ministerio de Defensa de Lituania aconseja a sus c...
- SOVA es un nuevo y sofisticado troyano bancario pa...
- Google restablecerá automáticamente los permisos d...
- Fallece a los 81 años, Clive Sinclair, creador de ...
- Detenidos 106 miembros de la mafia italiana en Ten...
- Elegir cable de red: categorías y velocidades
- Microsoft lanza para todos el inicio de sesión sin...
- El administrador sitio web para realizar ataques D...
- Turnos de vacunación: la nueva estafa para robarte...
- OMIGOD es una grave vulnerabilidad en máquinas vir...
- Disponible herramienta gratuita descifrado víctima...
- Apple presenta los nuevos iPhone 13
- Facebook admite en documentos internos que Instagr...
- Vulnerabilidad HP OMEN Gaming Hub afecta a millone...
- Disponible nueva versión de Kali Linux 2021.3
- Actualizaciones de seguridad importantes de Micros...
- Vulnerabilidad en Ghostscript explotada a través d...
- Programa secreto de Facebook permite a usuarios VI...
- WhatsApp finalmente permitirá cifrar copias de seg...
- Apple soluciona vulnerabilidad en iMessage permití...
- Red informática de las Naciones Unidas fue hackeada
- Ataques Denegación Servicio DDoS y DrDDoS: herrami...
- Digi España ofrece un servicio de fibra de 10 Gbps...
- El 64% del tráfico de Internet procede de bots, y ...
- Borrador OWASP Top 10 2021
- C1b3rWall Academy 2021: completo curso online grat...
- Nueva botnet Mēris realiza ataque DDoS récord al p...
- Justicia Estados Unidos condena 4 años vendedor ca...
- Expuestas credenciales de 500 mil cuentas VPN comp...
- Ofrecen hasta 1 millón de dólares a cambio de infe...
- Un anuncio de Microsoft Teams bloquea y ralentiza ...
- El aumento de ransomware se ha multiplicado por 10...
- Nueva y grave vulnerabilidad en documentos Office ...
- ProtonMail comparte la dirección IP de un activist...
- Alemania quiere 7 años de actualizaciones de segur...
- Filtrado código fuente del ransomware Babuk
- Google pagará Apple 15.000 millones dólares por se...
- Millones de dispositivos Bluetooth en riesgo por f...
- Irlanda multa a WhatsApp con 225 millones de euros...
- Cable malicioso de carga Lightning de Apple permie...
- Consiguen ocultar malware en la VRAM de las tarjet...
- Vulnerabilidad ProxyToken en Microsoft Exchange p...
- Empresa de reparto con drones alcanza las 100 mil ...
-
▼
septiembre
(Total:
56
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Vulnerabilidad ProxyToken en Microsoft Exchange puede permitir atacantes leer tus correos electrónicos
ProxyToken es una vulnerabilidad grave en Microsoft Exchange Server que podría permitir que atacantes no autenticados accedan a correos electrónicos desde una cuenta objetivo.
Los detalles técnicos de una vulnerabilidad grave en Microsoft Exchange Server, denominada ProxyToken (CVE-2021-33766), se revelaron públicamente. Un atacante no autenticado podría aprovechar el problema para acceder a los correos electrónicos de una cuenta de destino.
Aunque se parcheó en julio, ahora han salido los detalles de CVE-2021-33766, o ProxyToken en Exchange, que se une a la mala racha reciente de este sistema en cuestión de vulnerabilidades. Permite robar información del inbox de cualquier usuario y resulta muy sencilla de explotar con un POST donde viaje el correo de la víctima y una cookie con valor “SecurityToken=x”.
En Exchange se crean puertos 80 y 443 para su front end y 81 y 444 para
su back end al que redirige esperando que resuelva la autenticación
delegada si ve el SecurityToken no vacío. Pero por algún motivo, el back
end (el ECP, Exchange control panel) deja pasar todo lo que le llegue
con el SecurityToken no vacío porque el módulo DelegatedAuthModule que
debería encargarse de autenticar, no se carga por defecto.
Para
explotarlo el atacante debe conocer además un “ECP canary”, que es como
una cookie de sesión. Pero cuando se intenta atacar el sistema devuelve
un 500 con un valor válido que se puede reinyectar junto con la cookie
“SecurityToken=x” y modificar la configuración del Exchange.
ProxyToken: vulnerabilidad crítica
El atacante puede desencadenar la falla enviando una solicitud especialmente diseñada a los servicios web dentro de la aplicación Exchange Control Panel (ECP) y acceder a los mensajes desde la bandeja de entrada de la víctima. Podría aprovechar el problema para acceder a la configuración del buzón y configurar una regla de reenvío de correo electrónico para recibir los mensajes enviados a las víctimas.
Como requisito previo para el ataque, el atacante debe tener una cuenta en el mismo servidor de Exchange que la víctima.
La vulnerabilidad fue descubierta por Le Xuan Tuyen del Centro de Seguridad de la Información del Grupo de Correos y Telecomunicaciones de Vietnam (VNPT-ISC) en marzo.
Los expertos notaron que Outlook Web Access y el Panel de control de Exchange pasan las solicitudes de autenticación al Back End de Exchange.
ECP canary
Los expertos notaron que para desencadenar el problema, se requiere que cada solicitud a una página / ecp tenga un ticket conocido como el "canario ECP". En ausencia del canario, la solicitud volverá con un HTTP 500. Sin embargo, los investigadores notaron que la respuesta de error 500 va acompañada de un canario válido que podría usarse para emitir una solicitud no autenticada.
Microsoft ha abordado la falla de ProxyToken en julio, ha sido calificado con una puntuación CVSS de 7.5 porque podría ser explotado por un atacante con una cuenta en el mismo servidor de Exchange que la víctima.
ProxyShell
Casi 2.000 servidores de correo electrónico de Microsoft Exchange han sido hackeados en los últimos días y se han infectado con backdoor porque los propietarios no instalaron parches para una colección de vulnerabilidades conocidas como ProxyShell.
Descubierto por el investigador de seguridad taiwanés Orange Tsai, ProxyShell es una colección de tres fallas de seguridad diferentes que se pueden utilizar para tomar el control de los servidores de correo electrónico de Microsoft Exchange. Éstos incluyen:
- CVE-2021-34473 proporciona un mecanismo para la ejecución remota de código previo a la autenticación, lo que permite a los actores malintencionados ejecutar código de forma remota en un sistema afectado.
- CVE-2021-34523 permite que los actores malintencionados ejecuten código arbitrario después de la autenticación en los servidores de Microsoft Exchange debido a una falla en el servicio PowerShell que no valida adecuadamente los tokens de acceso.
- CVE-2021-31207 permite a los actores malintencionados posteriores a la autenticación ejecutar código arbitrario en el contexto de SYSTEM y escribir archivos arbitrarios.
En el gran esquema de las cosas, ProxyShell es parte de un trío de cadenas de ataque que Tsai ha descubierto y creado durante el año pasado desde que comenzó a buscar vulnerabilidades en los servidores de Microsoft Exchange a mediados de 2020:
- ProxyLogon
- ProxyOracle
- ProxyShell
Tsai usó el exploit ProxyShell durante el concurso de hacking Pwn2Own 2021 en abril de este año, donde ganó U$S 200.000 por un compromiso exitoso del servidor.
Más de 30.400 servidores Exchange expuestos a ataques
Después de su sesión, los detalles sobre el exploit se compartieron de inmediato con Microsoft, y la compañía parcheó las tres vulnerabilidades en mayo y julio de este año. Pero al igual que con las divulgaciones de ProxyLogon y ProxyOracle en marzo y abril de este año, no todos los administradores de servidores se apresuraron a parchear los sistemas vulnerables.
Un escaneo realizado el 8 de agosto por ISC SANS, dos días después de la publicación del código de prueba de concepto de ProxyShell, encontró que más de 30.400 servidores Exchange de un total de 100.000 sistemas aún no se habían parcheado y seguían siendo vulnerables a los ataques.
Más de 1.900 servidores Exchange ya hackeados
La explotación inicial comenzó con análisis de sistemas vulnerables, que luego se convirtieron en ataques reales durante el pasado fin de semana, según los registros de honeypot recopilados por los investigadores de seguridad Rich Warren and Kevin Beaumont.
Los ataques se intensificaron esta semana, e incluso una nueva operación de ransomware conocida como LockFile comenzó a utilizar el exploit ProxyShell como una forma de ingresar a las redes corporativas. El viernes, la firma de seguridad Huntress Labs dijo que escaneó servidores Microsoft Exchange que habían sido hackeados usando ProxyShell y encontró más de 140 shells web diferentes en más de 1.900 servidores Exchange.
Para empeorar las cosas, a principios de esta semana, un usuario de un foro clandestino de ciberdelincuencia de habla rusa también publicó una lista de los más de 100.000 servidores Exchange accesibles por Internet, reduciendo la barrera para que incluso más actores de amenazas puedan simplemente aprovechar el exploit público y comenzar a atacar.
Vía:
https://t.me/s/cybersecuritypulse/305
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.