Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
febrero
(Total:
75
)
- Lapsus$ filtra un torrent con casi 19GB de informa...
- Grupo sudamericano Lapsus hackea nVidia y roba 1TB...
- El ejército de Ucrania pide a los ciudadanos que t...
- Elon Musk activa servicio internet por satélite co...
- La restauración de fábrica de Windows 11 deja arc...
- Google está modificando por primera vez su página ...
- Algunos SSD NVMe pueden perder datos cuando se va ...
- Rusia ataca de nuevo con malware destructivo (Herm...
- La descarga de una película pirata con malware pro...
- Eurolink: 6 mil millones de € de la Unión Europea ...
- Alternativas a los sistemas operativos Windows, Ma...
- Arrancar en modo seguro en Windows 11
- Sistemas vulnerables para practicar legalmente ata...
- Linux es más rápido que Apple o Microsoft en corre...
- Windows 11 dejará de admitir los cifrados inseguro...
- Xenomorph es un nuevo malware para Android capaz d...
- Google Drive bloquea por error archivos .DS__Store...
- NAS ASUSTOR afectado por ataques del ransomware De...
- Instalar un firmware no oficial en un router neutr...
- Vulnerabilidad de validación de entrada datos numé...
- Unredacter es una herramienta gratuita para recupe...
- Deja sin Internet a todo un barrio para evitar que...
- Aceptar Cookies automáticamente y evitar mensajes ...
- EE.UU. dice que Rusos atacaron contratistas americ...
- Introducción al Sandbox de Privacidad de Android
- Ficheros /etc/passwd /etc/shadow y /etc/group en G...
- Google presenta Chrome OS Flex, un nuevo sistema o...
- Envían 1TB en 1 segundo a 1 kilómetro de distancia...
- ¿Qué es el SIM Swapping? Así pueden hackear tus cu...
- El 74% del dinero robado en ataques de ransomware ...
- Actualizaciones de seguridad importantes de Apple ...
- Cibertataques en Ucrania: Agencias militares y ban...
- pfSense distro basada en FreeBSD monitoriza y admi...
- Nueva versión distro Hacking: Kali Linux 2022.1
- Administrar y crear servicios con systemd en Linux...
- Un bug de Zoom para MacOS Monterey dejaba encendid...
- Android 13 permite ejecutar Windows 10, 11 y distr...
- Windows añade protecciones para evitar la extracci...
- Telefónica, Vodafone y Orange dicen que las empres...
- Detenidos en Madrid por fraude zapatillas falsific...
- Intel estrena con el kernel 5.18 funciones de pago...
- Google paga 8.7 millones de dólares en recompensas...
- AMD rompe su récord de cuota de mercado como fabri...
- Empiezan a vender "Air Tags" silenciados para espi...
- Mejora la temperatura de tu SSD con un disipador d...
- Malware Qbot necesita sólo 30 minutos para robar d...
- La Policía Nacional desarticula una organización c...
- SpaceX pierde 40 de los 49 nuevos satélites instal...
- Plugins y addons (scripts) para el firmware router...
- EE. UU. incauta 3.600 millones de dólares robados ...
- Microsoft deshabilita temporalmente los instalador...
- Multadas con casi 6 millones de € varias operadora...
- Ciberataque a Vodafone Portugal deja sin servicio ...
- NVIDIA abandona finalmente de forma oficial sus pl...
- La UE invertirá 43.000 millones de euros para dupl...
- Google afirma que la verificación en 2 pasos ha co...
- Microsoft deshabilitará por defecto las macros en ...
- Países Bajos multa a Apple con 5 millones € por la...
- El nuevo super yate de Jeff Bezos es tan grande qu...
- Una filtración de datos expone las identificacione...
- Meta amenaza con cerrar Facebook e Instagram en Eu...
- Microsoft detectó 35.700 millones de intentos de a...
- The Wall Street Journal hackeado por China
- Facebook pierde usuarios por primera vez en su his...
- El nuevo estándar WiFi 802.11bf permitirá detectar...
- Mozilla refuerza la privacidad Firefox combinando ...
- Monitorizar el rendimiento de contenedores Docker ...
- Raspberry Pi OS ya está disponible en 64 bits de f...
- VLC denuncia que hay personas domiciliando sus rec...
- Estándar Encrypted Client Hello (ECH) permitirá me...
- Roban 320 millones dólares de Ethereum a la plataf...
- Comando Robocopy: herramienta copia de seguridad d...
- Publicado exploit para nueva vulnerabilidad local ...
- Microsoft explica el motivo porque algunos usuario...
- La huella digital de tu GPU también sirve para ras...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
Windows añade protecciones para evitar la extracción contraseñas en memoria
Microsoft está habilitando por defecto una nueva función de seguridad en Microsoft Defender para "reducir la superficie de ataque" para bloquear los ataques de robas credenciales de Windows en memoria desde el proceso LSASS o Local Security Authority Server Service. Esto es porque unos de los métodos más comunes para robar credenciales de Windows es obtener privilegios de administrador en un dispositivo comprometido y luego volcar la memoria del proceso (LSASS) que se ejecuta en Windows.
Volcado de memoria contiene los hashes NTLM de las credenciales de Windows de los usuarios que han iniciado sesión en el ordenador, que pueden ser forzados para obtener contraseñas en texto plano o utilizados en ataques Pass-the-Hash para iniciar sesión en otros dispositivos.
Mimikatz vs Windows Defender
La novedad anunciada busca evitar que se pueda abusar de los volcados de memoria de LSASS introduciendo funciones de seguridad que impiden el acceso al proceso.
Como forma de mitigar el robo de credenciales de Windows sin causar los conflictos introducidos por Credential Guard, Microsoft pronto habilitará una regla de reducción de la superficie de ataque (ASR) de Microsoft Defender por defecto.
"El estado predeterminado de la regla de reducción de la superficie de ataque (ASR), de bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)" cambiará de No configurado a Configurado y el modo predeterminado se establecerá en Bloquear. Todas las demás reglas ASR permanecerán en su estado predeterminado: No configurado", explica Microsoft en el documento actualizado sobre la regla ASR.
Como las reglas de Reducción de la Superficie de Ataque tienden a introducir falsos positivos y mucho ruido en los Registros de Eventos, Microsoft no había habilitado previamente la característica de seguridad por defecto.
Esta semana, también hemos sabido que Microsoft ha comenzado a retirar la herramienta WMIC que los actores de amenazas suelen utilizar para instalar malware y ejecutar comandos.
Es importante decir que la función completa de reducción de la superficie de ataque sólo es compatible con las licencias de Windows Enterprise que ejecutan Microsoft Defender como antivirus principal. Los investigadores de seguridad han descubierto rutas de exclusión integradas en Microsoft Defender que permiten a los actores de amenazas ejecutar sus herramientas desde esos nombres de archivo/directorios para eludir las reglas de ASR y seguir volcando el proceso de LSASS.
- Microsoft está habilitando una regla de seguridad de "Reducción de la superficie de ataque" de Microsoft Defender de forma predeterminada para bloquear los intentos de robar las credenciales de Windows del proceso LSASS.
- Cuando los actores de amenazas comprometen una red, intentan propagarse lateralmente a otros dispositivos mediante el robo de credenciales o el uso de exploits.
Uno de los métodos más comunes para robar las credenciales de Windows es obtener privilegios de administrador en un dispositivo comprometido y luego volcar la memoria del proceso del Servicio del servidor de la autoridad de seguridad local (LSASS) que se ejecuta en Windows.
Este volcado de memoria contiene hashes NTLM de las credenciales de Windows de los usuarios que habían iniciado sesión en la computadora que pueden ser forzados por fuerza bruta para obtener contraseñas de texto sin cifrar o utilizados en ataques Pass-the-Hash para iniciar sesión en otros dispositivos.
A continuación se muestra una demostración de cómo los actores de amenazas pueden usar el popular programa Mimikatz para volcar hashes NTLM de LSASS.
Volcar credenciales NTLM desde LSASS deump usando mimikatz
Si bien Microsoft Defender bloquea programas como Mimikatz, aún se puede transferir un volcado de memoria LSASS a una computadora remota para volcar las credenciales sin temor a ser bloqueado.
ASR de Microsoft Defender al rescate
Para evitar que los actores de amenazas abusen de los volcados de memoria LSASS, Microsoft ha introducido funciones de seguridad que impiden el acceso al proceso LSASS.
Una de estas características de seguridad es Credential Guard, que aísla el proceso LSASS en un contenedor virtualizado que evita que otros procesos accedan a él.
Sin embargo, esta función puede generar conflictos con los controladores o las aplicaciones, lo que hace que algunas organizaciones no la habiliten.
Como una forma de mitigar el robo de credenciales de Windows sin causar los conflictos introducidos por Credential Guard, Microsoft pronto habilitará una regla de reducción de superficie de ataque (ASR) de Microsoft Defender de forma predeterminada.
La regla, 'Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows', evita que los procesos abran el proceso LSASS y descarguen su memoria, incluso si tiene privilegios administrativos.
Este nuevo cambio fue descubierto esta semana por el investigador de seguridad Kostas, quien detectó una actualización en la documentación de las reglas ASR de Microsoft.
"El estado predeterminado para la regla de reducción de la superficie de ataque (ASR) "Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)" cambiará de No configurado a Configurado y el modo predeterminado se establecerá en Bloquear. Todas las demás reglas de ASR permanecen en su estado predeterminado: No configurado", explicó Microsoft en el documento actualizado sobre la regla ASR.
Como las reglas de reducción de la superficie de ataque tienden a introducir falsos positivos y mucho ruido en los registros de eventos, Microsoft no había activado previamente la función de seguridad de forma predeterminada.
Por ejemplo, Microsoft anunció recientemente que evitaría que las macros VBA en los documentos de Office descargados se habilitaran dentro de las aplicaciones de Office en abril, acabando con un popular método de distribución de malware.
Esta semana, también supimos que Microsoft había comenzado a desaprobar la herramienta WMIC que los actores de amenazas suelen usar para instalar malware y ejecutar comandos.
No es la solución perfecta, pero es un gran comienzo.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.