Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
enero
(Total:
88
)
- Adiós a lo gratis en Google: Drive dejará de ofrec...
- Apple presenta una guía de seguridad para AirTags ...
- Grupo Norcorenao Lazarus utiliza cliente Windows U...
- Ciberataque afecta al Senado de Puerto Rico
- Cliente de Azure de Microsoft recibe el mayor ataq...
- Traefik: un proxy inverso para contenedores Docker
- Rubber Ducky pendrive USB maligno roba datos
- Vulnerabilidad en Safari y iCloud permitía tomar e...
- Rojadirecta se enfrenta hasta a 6 años de cárcel y...
- Grave vulnerabilidad en Polkit permite obtener roo...
- Navega gratis con una IPv6 gracias a un túnel con ...
- Gestos de Android que casi nadie conoce y que son ...
- Hackean el sistema de ferrocarriles de Bielorrusia...
- Microsoft deshabilita las macros de Excel 4.0 XLM ...
- Un nuevo ataque DDoS en Andorra a varios streamers...
- Manual uso htop: monitoriza recursos servidor en t...
- Un 80% de de los españoles cree ser rastreado por ...
- La UE advierte que dos tercios de las reseñas de l...
- 1 de cada 3 webs de phishing desaparece durante su...
- Rusia y la Unión Europa se plantean prohibir el mi...
- Intel invertirá 20.000M $ para construir en Ohio l...
- Estafadores colocan falsos códigos QR en parquímet...
- Vulnerabilidades ponen en peligro a la mitad de eq...
- DevToys la "navaja suiza" de utilidades para progr...
- Google Play Juegos para Windows: jugar juegos Andr...
- Usuarios antiguos Google G Suite con correo gratui...
- Cuidado con el phishing: DHL, Microsoft y WhatsApp...
- Investigadores encuentran 1 millón de credenciales...
- Guía de medidas de ciberseguridad para protegerse ...
- OnlyOffice es la suite ofimática de código abierto...
- Ciberataque a la Cruz Roja compromete los datos de...
- Europa tendrá sus propios servidores DNS públicos ...
- Gestión contenedores: DockerFile y Docker Compose
- Mejores pendrives USB 3.2
- Antivirus Windows Defender permite ver las carpeta...
- Microsoft compra Activision Blizzard por 68.700 mi...
- Error en Safari permite filtrar el historial y dat...
- Hackean Amedia, importante medio de comunicación d...
- ¿Vale la pena seguir usando banda 2.4GHz o mejor u...
- Canadá rastreó la ubicación de 33 millones de pers...
- Las CPUs Intel Alder Lake y Windows 11 no permiten...
- Comandos y ejemplos con FFmpeg
- Disponible nueva versión convertidor multimedia Ha...
- UltraRAM es el futuro del almacenamiento híbrido d...
- Cómo utilizar Grabify IP Logger o IPLogger
- Importantes detenciones de grupos de Rusos de rans...
- Ucrania denuncia un ciberataque masivo contra webs...
- El hospital de Lucena de Córdoba víctima del ranso...
- Android permitirá desactivar el 2G para evitar su ...
- Alemania estudia bloquear Telegram si persisten su...
- Samsung presenta primer sistema computacional con ...
- Mejores sistemas protección red con sistemas IDS/IPS
- La Unión Europea realizará simulacro de ciberataqu...
- Wi-Fi 6e: la actualización más importante del Wi-F...
- Vulnerabilidad crítica en la pila HTTP (IIS) en Wi...
- Kazajistán y el minado de las criptomonedas
- Varios operadores Europeos quieren que se prohíba ...
- La velocidad de Wi-Fi 6E podría alcanzar 1-2 Gbps
- Desarrollador sabotea su proyecto open source en G...
- Canon enseña a sus clientes cómo saltarse las comp...
- Avira es otro antivirus que también mina criptomon...
- Prohíben el uso de Telegram, WhatsApp y Signal a l...
- AnonSurf permite anonimizar vía TOR todas las cone...
- Consejos para proteger la privacidad de los menore...
- Descargar vídeos con Youtube-dl: con interfaz gráf...
- Programas de captura de pantalla para Windows
- Antivirus Norton 360 se pone a minar criptomonedas...
- Detenido un jefe de la mafia italiana fugado hace ...
- Multa millonaria de Francia a Google y Facebook po...
- Instalar ADB y usar los comandos básicos
- Starlink llega oficialmente a España: precios y ve...
- SEGA Europa sufre una filtración de su Base de Datos
- Glances: herramienta monitorizar servidores Window...
- Registrarse en Skype pide rellenar un captcha 10 v...
- DanderSpritz herramienta con panel de control post...
- Críticas a Chrome por nueva API para identificarte...
- La UE desconecta 48 mil dominios .eu registrados p...
- Así te pueden hackear por copiar y pegar comandos ...
- Instaladores falsos de Telegram Desktop contienen ...
- Error efecto del año 2022 afecta servidores de cor...
- Consiguen ocultar malware en unidades SSD
- Samsung presenta en el CES el Galaxy S21 FE
- Hoy es el adiós definitivo para productos BlackBerry
- Intel muestra la increíble velocidad de las unidad...
- Google Drive borrará archivos de tu cuenta si inci...
- La Universitat Oberta de Catalunya vuelve a la nor...
- Framework post explotación Powershell-Empire
- Sandboxie Plus: ejecuta aplicaciones poco confiabl...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Antivirus Windows Defender permite ver las carpetas excluidas para su análisis
El antivirus de Microsoft, Windows Defender emplea una lista de exclusiones que no está protegida y puede ser aprovechada para saber donde esconder “malware” sin que sea detectado. La vulnerabilidad afecta Windows 10 y Windows Server 2019, pero no Windows 11. Por ejemplo el ramsonware Conti se aloja en una ubicación excluida en Microsoft Defender, así que el antivirus fue incapaz de detectarlo. Cuando se movió a otra ubicación que no estaba excluida, Microsoft Defender lo detecta inmediatamente.
Microsoft Defender: una vulnerabilidad desde hace 8 años permite evitar la detección de malware en Windows 10
Desde la actualización 'Creators Update' de Windows 10, este sistema operativo incorpora un Centro de Seguridad de Windows Defender, que facilita la tarea de agregar exclusiones en las políticas de protección del antivirus de Microsoft.
Dichas excepciones son directorios (o archivos, o procesos, o unidades) que no deseamos que Defender analice en busca de malware: la principal razón para agregar una es saber que genera falsos positivos (muchos programas que alteran ciertos elementos del sistema operativo, por ejemplo, hacen 'saltar' a los antivirus, por legítimos que sean).
Pero, ¿y si los cibercriminales tuvieran un modo de saber exactamente qué directorios hemos excluido de la comprobación, y aprovecharan dicho conocimiento para instalar ahí su malware e infectar nuestro sistema desde allí? Sería una catástrofe, ¿verdad?
Información disponible a través de cualquier usuario local
Esto es exactamente lo que ha ocurrido con las últimas versiones de Windows 10 (la 21H1 y la 21H2), que presentan una vulnerabilidad que permite a los atacantes leer la lista de exclusión de Defender. Según el experto en ciberseguridad Nathan McNulty, esta vulnerabilidad no afecta a Windows 11.
Esto es posible gracias a que Windows permite que dicha lista es accesible por cualquier usuario local consultando el Registro de Windows. Por otro lado, si tú mismo quieres consultar la lista, tendrás que abrir la terminal de Windows con permisos de administrador y ejecutar el siguiente comando:
reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s
Antonio Cocomazzi, investigador de la firma de seguridad SentinelOne, ha explicado como la lista es accesible por cualquier usuario tanto a través de la consola de comandos de Windows como del menú de Configuración de Windows 10. En el primer caso, pulsando en el icono de Windows, tecleando “cmd” y en Símbolo del Sistema introduciendo la línea de comandos “reg query “HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions” /s”, sin las comillas de inicio y finales. El sistema mostrará todo lo que Microsoft Defender tiene indicado no escanear, sean archivos, carpetas, extensiones o procesos.
La misma información es accesible de forma aún más sencilla a través del menú de Windows seleccionando
- Inicio > Configuración; > Actualización y seguridad > Seguridad de Windows > Protección contra virus y amenazas > Configuración de Protección contra virus y amenazas > Administrar la configuración > Exclusiones > Agregar o quitar exclusiones.
Que el acceso a esta información tenga que realizarse a través de un usuario local está lejos de ser un problema para el ciberatacante si el sistema al que se pretende acceder forma parte de una red social ya comprometida o si ha instalado otro malware no reconocido por el antivirus.
Los administradores de sistemas pueden solventar este problema configurando las exclusiones de Defender no desde el Centro de Seguridad, sino creando directivas de grupo desde el 'Editor de directivas de grupo local' (Ejecutar > gpedit.msc) y luego accediendo a 'Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Defender > Exclusiones'.
Otro investigador de seguridad, Nathan Mc Nulty, ha señalado que el problema afecta a las versiones 21H1 y 21H2 de Windows 10, pero no a Windows 11, la versión más reciente del sistema operativo de Microsoft. Microsoft Defender opera en un servidor configura “exclusiones automáticas que se activan cuando determinados roles y características son instaladas”. Con esta información, un atacante puede alojar “malware” en una serie de equipos en la misma red sin temor a que sea detectado.
https://www.larazon.es/tecnologia/20220114/5fn6n42vybepdelgparbdbk4gm.html
1 comentarios :
La mejor defensa es agregar excepciones a archivos ejecutables específicos, y no a las carpetas que los contienen.
Además, el agregar archivos específicos también se prestaría a reemplazar esos archivos con el virus. Siendo los permisos de archivo la única defensa. Por lo que los antivirus deberían, como mínimo, hacer una comprobación de fecha de modificación y tamaño de archivo, ver que coincidan con los que eran cuando fue agregada la excepción. Hash sería lo ideal, pero bueno.
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.