Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
diciembre
(Total:
103
)
- Tecnología de Intel permite actualizar la BIOS de ...
- La Universidad de Kioto en Japón pierde 77TB de da...
- Redline Stealer es un malware que roba las contras...
- ¿Qué es un dropper? (Malware)
- Fundador de Signal asegura que Telegram es incluso...
- Diferencias entre el cifrado BitLocker y EFS en Wi...
- Mejores programas para reparar, recuperar y ver in...
- TWRP Recovery para teléfonos Android
- Herramientas para realizar ataques Man‑in‑the‑Midd...
- Vulnerabilidad en Azure App Service expone reposit...
- Las 20 mejores herramientas de Hacking de 2021
- Procesadores Intel 12th Alder Lake para el chipset...
- Alertan de una importante Campaña Phishing vía SMS...
- Extensiones Visual Studio Code para programar en ...
- ¿Qué es una APU (CPU + GPU) y un SoC?
- Crean un algoritmo capaz de adivinar el 41% de las...
- DuckDuckGo, la alternativa al buscador Google basa...
- Instalar MacOS Big Sur en una máquina Virtual con ...
- Editores de imágenes de vídeo gratuitos y de códig...
- Desinstalar todas las aplicaciones no deseadas que...
- Reparar tarjeta memoria SD dañada o estropeada
- Instalar aplicaciones Android en Windows 11: WSATo...
- Hackean servidores HP con CPUs AMD EPYC para minar...
- Logrotate: administra los registros (logs) de tu s...
- Las mejores shells para GNU/Linux
- Glosario términos en Linux: vocabulario básico
- Windows 10 versión 21H2 añade protecciones mejorad...
- Instalar varios sistemas operativos autoarrancable...
- Vulnerabilidad test de antígenos permite falsifica...
- Actualización de seguridad importante servidor web...
- Graves vulnerabilidades plugin SEO instalado en má...
- Vulnerabilidades Directorio Activo permiten hackea...
- Ministerio de Defensa de Bélgica es el primer país...
- La memoria DDR5 es apenas un 3% más rápida que la ...
- Actualizaciones de Windows 11 solucionan problemas...
- Disponible distro Hacking WiFi Wifislax de origen ...
- DuckDuckGo prepara navegador web que protegerá la ...
- Amazon patenta una red de cámaras que reconcen a p...
- Los mitos más comunes en ciberseguridad
- Hospital de Asturias (España) afectado por un ataq...
- Cable USB llamado BusKill permite borrar automátic...
- El hackeo con Pegasus para iPhone es uno de los at...
- Resumen de todas las vulnerabilidades de Log4j
- Instalación LineageOS en teléfonos Android
- Gestores de Contraseñas para Android
- Guía SysAdmin para SELinux
- Los mejores gestores de contraseñas gratuitos
- Configurar servidor DLNA para reproducir música y ...
- Instalar Kali Linux en tu teléfono móvil con NetHu...
- pfetch, screenfetch o neofetch : mostrar informaci...
- La estafa del supuesto familiar con la ‘maleta ret...
- Microsoft y Dell prepararan portátiles más reparables
- Contenedores en Firefox para mejorar privacidad al...
- Windows Terminal será la línea de comandos por def...
- Identificada una segunda vulnerabilidad en Log4j q...
- Protocolo WebDav permite conectar unidad de red re...
- Apple publica Tracker Detect para evitar que los u...
- Volvo Cars informa una brecha de seguridad
- Consejos de Seguridad para servidores Linux
- Vulnerabilidad en millones chips de WiFi y Bluetoo...
- Ataque de ransomware Lapsus al Ministerio de Salud...
- Configurar una VPN con Wireguard
- Distribuciones Linux para portátiles antiguos con ...
- Juegos retro para teléfonos móviles Androd e iPhone
- Solucionada vulnerabilidad de seguridad de Western...
- Ladrones de coches están utilizando AirTags de App...
- Cómo activar la autenticación en dos pasos en Goog...
- Detenida en España por estafar al Athletic de Bilb...
- ALPHV BlackCat es el ransomware más sofisticado de...
- Google permitirá ejecutar juegos de Android en Win...
- Google y Microsoft trabajan juntos para mejorar el...
- Vulnerabilidad crítica en Apache Log4j bautizada c...
- Nueva oferta de Microsoft 365 para los usuarios pi...
- Nueva versión de Kali Linux 2021.4 que mejora el s...
- Evitar que tus mails rastreen tus datos personales...
- Cómo configurar la privacidad y seguridad en Signal
- Google demanda a 2 rusos responsables de la botnet...
- Bots se hacen pasar por personal de Twitter para r...
- Importante vulnerabilidad en Grafana: actualizació...
- Descubiertos instaladores KMSPico para activar Win...
- Eltima SDK contiene hasta 27 múltiples vulnerabili...
- Mozilla publica Firefox 95 con mejoras destacadas ...
- Cómo migrar CentOS 8 a Rocky Linux 8, AlmaLinux 8 ...
- Freesync y G-Sync: tecnologías para monitores gami...
- Ansible permite automatizar tareas en distintos se...
- Syncthing es una herramienta gratuita multiplatafo...
- Curiosidades sobre el nuevo CEO de Twitter: 11.000...
- Filtros en Linux: pipes, tuberías: cut, sort, uniq...
- El auge del negocio de los ciberataques de denegac...
- ¿Qué son los (IoC) Indicadores de Compromiso?
- Teléfonos iPhone de empleados del Departamento de ...
- Mejores sistemas de rescate para recuperar fichero...
- Ciberataque denegación de servicio distribuido DDo...
- Hasta 9 routers de marcas muy conocidas acumulan u...
- Plantillas y archivos RTF de phishing contienen ma...
- Nvidia reedita la RTX 2060, ahora con 12 GB de RAM...
- Nueva versión IPFire mejora el rendimiento IPS e i...
- El perro robótico de Xiaomi usa Ubuntu de sistema ...
- WiFi 7 tendrá doble de velocidad (hasta 46 Gbps) y...
- Vulnerabilidad en impresoras HP tras 8 años afecta...
- ► septiembre (Total: 56 )
-
▼
diciembre
(Total:
103
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Vulnerabilidades Directorio Activo permiten hackear controlador de dominio en Windows
Microsoft ha publicado un aviso fuera de ciclo de dos vulnerabilidades publicadas en noviembre y que, combinadas, podrían permitir a un atacante la escalada de privilegios de dominio. Las pruebas de concepto se han dado a conocer públicamente en diciembre.La cadena de vulnerabilidades (NoPaC, sAMAccountName) que está pasando algo desapercibida pero mediante la cual cualquier persona dentro de la red podría usar para hackear un DC. Hablamos de CVE-2021-42287 y CVE-2021-42278
Vulnerabilidad Active Directory permiten hackear los controladores de dominio de Windows
Microsoft insta a los clientes a parchear dos vulnerabilidades de seguridad en los controladores de dominio de Active Directory que abordó en noviembre luego de la disponibilidad de una herramienta de prueba de concepto (PoC) el 12 de diciembre.
Las dos vulnerabilidades, rastreadas como CVE-2021-42278 y CVE-2021-42287, tienen una calificación de gravedad de 7.5 de un máximo de 10 y se refieren a una falla de escalada de privilegios que afecta al componente de Servicios de dominio de Active Directory (AD DS). Andrew Bartlett, de Catalyst IT, se acredita con el descubrimiento y la notificación de ambos errores.
Active Directory es un servicio de directorio que se ejecuta en Microsoft Windows Server y se utiliza para la gestión de identidades y accesos. Aunque el gigante tecnológico marcó las deficiencias como "explotación menos probable" en su evaluación, la divulgación pública de la PoC ha provocado nuevos llamamientos para aplicar las correcciones para mitigar cualquier posible explotación por parte de los actores de amenazas.
Mientras que CVE-2021-42278 permite a un atacante manipular el atributo SAM-Account-Name, que se utiliza para iniciar sesión a un usuario en sistemas en el dominio de Active Directory, CVE-2021-42287 permite hacerse pasar por los controladores de dominio. Esto efectivamente otorga a un mal actor con credenciales de usuario de dominio para obtener acceso como usuario administrador de dominio.
"Al combinar estas dos vulnerabilidades, un atacante puede crear una ruta directa a un usuario administrador de dominio en un entorno de Active Directory que no ha aplicado estas nuevas actualizaciones", dijo el gerente de productos senior de Microsoft, Daniel Naim. "Este ataque de escalada permite a los atacantes elevar fácilmente sus privilegios a los de un administrador de dominio una vez que comprometen a un usuario normal en el dominio".
La empresa con sede en Redmond también ha proporcionado una guía paso a paso para ayudar a los usuarios a determinar si las vulnerabilidades podrían haber sido explotadas en sus entornos. "Como siempre, recomendamos encarecidamente implementar los últimos parches en los controladores de dominio lo antes posible", dijo Microsoft.
Microsoft y CERT-EU recomiendan parchear los servidores afectados para evitar cualquier compromiso. Además, es recomendable la comprobación de un posible compromiso anterior.
Microsoft ofrece una guía para buscar un posible compromiso mediante la ejecución de consultas de Threat Hunting en Microsoft 365 Defender:
CVE-2021-42278 – SAM Name impersonation
- El cambio de sAMAccountName se basa en el evento 4662. Habilitarlo en el controlador de dominio para detectar estas actividades.
- Abrir Microsoft 365 Defender y navegar hasta Advanced Hunting.
- Copiar la siguiente consulta (también disponible en Microsoft 365 Defender GitHub Advanced Hunting query)
IdentityDirectoryEvents | where Timestamp > ago(1d) | where ActionType == "SAM Account Name changed" | extend FROMSAM = parse_json(AdditionalFields)['FROM SAM Account Name'] | extend TOSAM = parse_json(AdditionalFields)['TO SAM Account Name'] | where (FROMSAM has "$" and TOSAM !has "$") or TOSAM in ("DC1", "DC2", "DC3", "DC4") // DC Names in the org | project Timestamp, Application, ActionType, TargetDeviceName, FROMSAM, TOSAM, ReportId, AdditionalFields
- Sustituir el área marcada por la convención de nomenclatura de sus controladores de dominio.
- Ejecutar la consulta y analizar los resultados que contienen los dispositivos afectados. Puede utilizar Windows Event 4741 para encontrar el creador de estos equipos, si fueron creados recientemente.
- Investigar los ordenadores comprometidos para determinar si los atacantes han desarrollado y distribuido exploits para las vulnerabilidades.
Detalles vulnerabilidad
La combinación de estas dos vulnerabilidades podría permitir a un atacante la escalada de privilegios de dominio:
- Active Directory (AD) utiliza varios esquemas de nomenclatura para un objeto determinado, como userPrincipalName (UPN) y sAMAccountName (SAM-Account), que suelen terminar con un '$' en su nombre para distinguir entre 'user objects' y 'computer objects'. No hay restricciones o validaciones para cambiar este atributo e incluir o no el carácter $, por lo que con la configuración por defecto, un usuario normal tiene permisos para modificar una cuenta de máquina (hasta 10 máquinas) y para editar su atributo sAMAccountName. Se ha asignado el identificador CVE-2021-42278.
CVE-2021-42287 - KDC bamboozling
- Cuando se realiza una autenticación mediante Kerberos, se solicita el Ticket-Granting-Ticket (TGT) y el Ticket-Granting-Service (TGS) desde el Centro de Distribución de Claves (KDC). En caso de que se solicite un TGS que no se haya podido encontrar, el KDC intentará buscarla de nuevo con un $ al final. Un atacante podría crear una cuenta de máquina, renombrar su nombre de cuenta SAM con el nombre de un Controlador de Dominio sin el $ final y solicitar un TGT. Luego, el atacante podría renombrar el nombre de la cuenta SAM con un nombre diferente, y solicitar un ticket TGS presentando el TGT válido para que, durante el proceso de solicitud, KDC emita un ticket utilizando los privilegios del Controlador de Dominio suplantado. Se ha asignado el identificador CVE-2021-42287 para esta vulnerabilidad.
Productos afectados - Versiones Windows
- Windows Server 2012 R2 (Server Core Installation)
- Windows Server 2012 R2
- Windows Server 2012 (Server Core Installation)
- Windows Server 2012
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2016 (Server Core installation)
- Windows Server 2016
- Windows Server, versión 20H2 (Server Core Installation)
- Windows Server, versión 2004 (Server Core installation)
- Windows Server 2022 (Server Core installation)
- Windows Server 2022
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.