Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
junio
(Total:
67
)
- Grupos de menores en Discord se dedican a crear o ...
- Firefox incorpora opción eliminar los parámetros d...
- El FBI alerta de un aumento de personas que utiliz...
- Un japonés ebrio y pierde los datos personales de ...
- China quiere detener posibles criminales antes de ...
- Técnicas y procedimientos grupos ransomware
- El grupo de Ransomware Lockbit crea un programa de...
- Nuclei: un escáner vulnerabilidades automatizado y...
- Lituania sufre ciberataques rusos como respuesta a...
- Windows Defender tiene un problema de rendmiento c...
- Utilidad Rufus ya permite instalar Windows 11 sin ...
- Malware Revive se hace pasar por una falsa utilida...
- Instagram está escaneando caras para comprobar eda...
- Cuidado al conectar tu teléfono móvil para cargar ...
- Google advierte nuevo spyware creado en Italia que...
- LibreWolf es un navegador basado en Firefox que ap...
- Según Microsoft, Rusia intentó hackear a más de 12...
- inteligencia artificial da «vida» a las fotos de t...
- Víctima de phishing recupera de su banco los 12.00...
- El Ayuntamiento de Vitoria estafado con 89.991 eur...
- Copilot será de pago: 10$ al mes
- Malware de macro: mala hierba nunca muere
- 18 apps con malware encontradas en la Google Play ...
- Facebook está recopilando datos médicos de los cen...
- Nueva modalidad de extorsión del grupo de ransomwa...
- En el Reino Unido demandan a Apple por 907 millone...
- Restic: herramienta backups con soporte de version...
- Nuevo récord mundial de ataque DDoS con 26M petici...
- Adobe Photoshop presenta novedades: tendrá una ver...
- MaliBot es un nuevo troyano bancario para Android
- Bill Gates crítica los NFT: "se basan al 100% en l...
- Firefox mejora el seguimiento de las cookies
- Desactivar TrustPid, la nueva supercookie con la q...
- Finaliza el soporte del navegador Internet Explore...
- Estafa del 'Bizum inverso': ¿en qué consiste este ...
- Robo de cuentas de Instagram para anunciar Criptom...
- El timo y la estafa de devolver una "llamada perdida"
- Europol alerta intentos de Estafa al CEO con los f...
- Señal Bluetooth en teléfonos permite rastrear la u...
- El 76% de las organizaciones admite haber pagado a...
- Vectores de ataques de Ransomware: RDP y Phishing ...
- Consejos de seguridad y privacidad en Twitter
- Unidades SSD WD Blue pierden mucho rendimiento con...
- DALL-E Mini: IA genera imágenes a partir del texto...
- Final de vida para el editor de código Atom
- Se puede robar un Tesla en 130 segundos, mediante NFC
- Microsoft quiere que Windows 11 solo se pueda prei...
- El mercado de la Dark Web ha ganado 16,55 millones...
- Los colores en los puertos USB: velocidades y está...
- Phishing mediante tunelización inversa y el uso de...
- Bossware, el software para controlar a los emplead...
- Ciudad italiana de Palermo víctima de un ciberataq...
- El spam como negocio: 360 euros por enviar propaga...
- El USB-C será el puerto de carga estándar en Europ...
- Ayuntamiento de Palma de Mallorca estafado con 300...
- Telegram cede a las autoridades alemanas el acceso...
- Ransomware para dispositivos de internet de las cosas
- Los ataques de ransomware toman una media de solo ...
- Otro día cero (más o menos) en la “URL de búsqueda...
- Herramienta encuentra 47.300 plugins maliciosos de...
- Actualización de seguridad en GitLab corrige error...
- Evil Corp cambia de nombre al ransomware LockBit p...
- Foxconn confirma que el ataque de ransomware inter...
- España se convierte en el primer objetivo de malwa...
- Sistema de salud nacional de Costa Rica víctima de...
- Europol desmantela infraestructura del troyano ban...
- Vulnerabilidad 0day Windows mediante herramienta d...
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Otro día cero (más o menos) en la “URL de búsqueda” de Windows
Recapitulando. El fallo Follina, ahora más conocido como CVE-2022-30190, depende de una extraña URL no estándar soportada por el sistema operativo Windows. En términos generales, la mayoría de las URL están estructuradas de manera que indican a dónde ir, cómo llegar y qué pedir cuando se llegue.
Esquemas de URL revisados
Por ejemplo, la URL:
https://example.com/ask/forthis.item
Dice: “Usa el esquema llamado https: para conectarte a un servidor llamado ejemplo.com y luego solicita un archivo llamado /ask/forthis.item”.
Del mismo modo, la URL:
file:///Users/duck/thisone.txt
Dice: “Busca un archivo en el ordenador local llamado thisone.txt en el directorio /Users/duck”.
Y la URL:
ldap://192.169.1.79:8888/Runthis
Dice: “Haz una búsqueda LDAP a través del puerto TCP 8888 al servidor 192.168.1.79, y busca un objeto llamado Runthis”.
Pero Windows incluye una larga lista de esquemas de URL propietarios (las letras hasta el primer carácter de dos puntos), también conocidos como controladores de protocolo, que pueden utilizarse para desencadenar una serie de actividades no estándar simplemente haciendo referencia a la URL especial.
El fallo Follina, por ejemplo, se aprovechó del esquema de URL ms-msdt:, que se refiere a los diagnósticos del sistema.
El esquema de ms-msdt:, que suponemos tenía sentido en el momento en que se implementó aunque ahora parezca una temeridad, dice: “Ejecutar la Herramienta de Diagnóstico de Soporte de Microsoft”, un programa llamado MSDT.EXE que está destinado a guiarte a través de una serie de pasos básicos para tratas de solucionar el que una aplicación se comporta incorrectamente.
Pero un grupo de ciberdelincuentes descubrió que se puede abusar del manejador de protocolo ms-msdt: mediante una URL incrustada dentro de un documento o correo electrónico abierto por Outlook u Office.
Con una URL ms-msdt: maliciosa, los atacantes no sólo pueden lanzar silenciosamente la aplicación MSDT.EXE en tu ordenador, sino también alimentarlo con un montón de código de script PowerShell malicioso para obligarte a ejecutar el malware de su elección.
En lugar de ayudarte a solucionar los problemas de tu ordenador, los delincuentes explotan MSDT para infectarlo.
Las URL de las que nunca has oído hablar
Resulta que ms-msdt: no es el único esquema de URL extraño y maravilloso específico de Windows que ha ideado Microsoft.
Hay numerosos esquemas de URL “de ayuda”, estándar y no estándar, conectados a los controladores de protocolo a través de entradas en el registro de Windows.
Estas claves del registro significan que se deben desencadenar acciones especiales cuando alguien intenta acceder a las URLs relevantes.
Por ejemplo, como sabes por experiencia, el acceso a una URL https: suele disparar tu navegador, si es que no se está ejecutando ya.
Y, como explicamos anteriormente, visitar una URL ms-msdt: dispara MSDT.EXE, aunque sospechamos que muy poca gente lo sabía antes del comienzo de esta semana. (Nosotros no lo sabíamos: nunca habíamos utilizado ni visto una URL de ese tipo antes de que saliera la historia de Follina).
Pues bien, un investigador de ciberseguridad conocido como @hackerfantastic ha descubierto un esquema de URL de Windows llamado search-ms: que podría, al igual que ms-msdt:, ser utilizado indebidamente por los ciberdelincuentes.
Como ya hemos dicho, no estamos muy convencidos que esto se sitúe en el territorio de lo que llamaríamos “exploits de día cero”, porque no conduce directamente a la ejecución remota de código inesperado pero aceptamos que está cerca, y que es posible que quieras bloquear esta URL especial para que no funcione.
El truco de la “URL de búsqueda”
En pocas palabras, una URL search-ms: realizará una búsqueda en Windows de forma automática, como si tú mismo hubieras hecho clic en la lupa de la barra de tareas, hubieras introducido un texto de tu elección y hubieras esperado el resultado.
Y al incrustar este tipo de URL en un documento, como un archivo DOC o RTF, de la misma manera que el truco de Follina, un atacante puede atraer al usuario para que abra un documento y, a continuación, hacer aparecer automáticamente una lista de resultados de búsqueda de aspecto oficial en asociación con él:
Los atacantes que incrustan la URL especial en el documento trampa pueden elegir, de antemano, lo que aparece en el título de la barra de búsqueda, y qué archivos mostrar.
Los archivos que aparecen no tienen que ser archivos almacenados localmente como C:\sers\duck\mypreso.ppt, sino que pueden ser archivos remotos (rutas UNC) como \live.sysinternals.com\psshutdown.exe o \example.org\dgy.exe.
Por supuesto, esto no lanza automáticamente los archivos maliciosos, por lo que sólo lo consideramos una “especie de” día cero.
Todavía hay que elegir uno de los archivos, hacer doble clic para ejecutarlo y reaccionar ante una advertencia de seguridad, como se ve en el vídeo de Twitter de antes.
Sin embargo, este truco te pone en peligro de forma mucho más creíble que un señuelo de correo electrónico de la vieja escuela con enlaces web de aspecto sospechoso.
La ventana que aparece no es un navegador ni un cliente de correo electrónico.
En su lugar, parece lo que verías si hicieras una búsqueda normal en tu ordenador local, y no contiene nada que se parezca a un enlace web tradicional.
¿Qué debes hacer?
- No abras nunca los archivos sin comprobar dos veces su nombre. No des por sentado que los archivos que aparecen en un cuadro de diálogo de búsqueda de Windows son archivos locales en los que puedes confiar, especialmente si la búsqueda no la has iniciado tú mismo deliberadamente. En caso de duda, no lo hagas.
- Activa la opción de Windows de mostrar las extensiones de los archivos. Por desgracia, Windows suprime las extensiones de los archivos por defecto, de modo que un archivo como exe aparece simplemente como “peligro”. Esto significa que un archivo renombrado deliberadamente como readme.txt.exe acaba aparentemente mal etiquetado como el inocente readme.txt. Abre el Explorador de archivos y ve a Vista > Extensiones de nombre de archivo.
- Recuerda que los nombres de archivos remotos no son tan obvios como los enlaces web. Windows permite acceder a los archivos por la letra de la unidad o por la ruta UNC. Una ruta UNC a menudo se refiere a un nombre de servidor en tu propia red, por ejemplo, \MAINSRV, pero puede igualmente referirse a servidores remotos en Internet, como \files.ejemplo.com o \198.51.100.42. Al hacer doble clic en un archivo remoto especificado como ruta UNC, no sólo se descargará en segundo plano desde el servidor especificado, sino que también se iniciará automáticamente una vez que finalice la descarga.
- Considera la posibilidad de eliminar la entrada del registro HKEY_CLASSES_ROOT\search-ms.
Esta es una mitigación similar a la utilizada para el fallo de Follina,
en la que se elimina la entrada ms-msdt en ese caso. Esto rompe la
conexión mágica entre el clic en una URL search-ms: y la activación de la ventana de búsqueda. Después de borrar la entrada del registro, las URL search-ms: no tienen ningún significado especial, y por lo tanto no activan nada.
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
reg delete HKEY_CLASSES_ROOT\search-ms /f
- Mantente informado. No nos sorprenderá que otras URLs propietarias de Windows sean noticia en materia de ciberseguridad en los próximos días o semanas, puestas al servicio de los ciberdelincuentes para fines tortuosos o incluso directamente destructivos, o simplemente descubiertas por investigadores que intentan superar los límites del sistema tal y como está.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.