Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET
Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
junio
(Total:
67
)
-
Grupos de menores en Discord se dedican a crear o ...
-
Firefox incorpora opción eliminar los parámetros d...
-
El FBI alerta de un aumento de personas que utiliz...
-
Un japonés ebrio y pierde los datos personales de ...
-
China quiere detener posibles criminales antes de ...
-
Técnicas y procedimientos grupos ransomware
-
El grupo de Ransomware Lockbit crea un programa de...
-
Nuclei: un escáner vulnerabilidades automatizado y...
-
Lituania sufre ciberataques rusos como respuesta a...
-
Windows Defender tiene un problema de rendmiento c...
-
Utilidad Rufus ya permite instalar Windows 11 sin ...
-
Malware Revive se hace pasar por una falsa utilida...
-
Instagram está escaneando caras para comprobar eda...
-
Cuidado al conectar tu teléfono móvil para cargar ...
-
Google advierte nuevo spyware creado en Italia que...
-
LibreWolf es un navegador basado en Firefox que ap...
-
Según Microsoft, Rusia intentó hackear a más de 12...
-
inteligencia artificial da «vida» a las fotos de t...
-
Víctima de phishing recupera de su banco los 12.00...
-
El Ayuntamiento de Vitoria estafado con 89.991 eur...
-
Copilot será de pago: 10$ al mes
-
Malware de macro: mala hierba nunca muere
-
18 apps con malware encontradas en la Google Play ...
-
Facebook está recopilando datos médicos de los cen...
-
Nueva modalidad de extorsión del grupo de ransomwa...
-
En el Reino Unido demandan a Apple por 907 millone...
-
Restic: herramienta backups con soporte de version...
-
Nuevo récord mundial de ataque DDoS con 26M petici...
-
Adobe Photoshop presenta novedades: tendrá una ver...
-
MaliBot es un nuevo troyano bancario para Android
-
Bill Gates crítica los NFT: "se basan al 100% en l...
-
Firefox mejora el seguimiento de las cookies
-
Desactivar TrustPid, la nueva supercookie con la q...
-
Finaliza el soporte del navegador Internet Explore...
-
Estafa del 'Bizum inverso': ¿en qué consiste este ...
-
Robo de cuentas de Instagram para anunciar Criptom...
-
El timo y la estafa de devolver una "llamada perdida"
-
Europol alerta intentos de Estafa al CEO con los f...
-
Señal Bluetooth en teléfonos permite rastrear la u...
-
El 76% de las organizaciones admite haber pagado a...
-
Vectores de ataques de Ransomware: RDP y Phishing ...
-
Consejos de seguridad y privacidad en Twitter
-
Unidades SSD WD Blue pierden mucho rendimiento con...
-
DALL-E Mini: IA genera imágenes a partir del texto...
-
Final de vida para el editor de código Atom
-
Se puede robar un Tesla en 130 segundos, mediante NFC
-
Microsoft quiere que Windows 11 solo se pueda prei...
-
El mercado de la Dark Web ha ganado 16,55 millones...
-
Los colores en los puertos USB: velocidades y está...
-
Phishing mediante tunelización inversa y el uso de...
-
Bossware, el software para controlar a los emplead...
-
Ciudad italiana de Palermo víctima de un ciberataq...
-
El spam como negocio: 360 euros por enviar propaga...
-
El USB-C será el puerto de carga estándar en Europ...
-
Ayuntamiento de Palma de Mallorca estafado con 300...
-
Telegram cede a las autoridades alemanas el acceso...
-
Ransomware para dispositivos de internet de las cosas
-
Los ataques de ransomware toman una media de solo ...
-
Otro día cero (más o menos) en la “URL de búsqueda...
-
Herramienta encuentra 47.300 plugins maliciosos de...
-
Actualización de seguridad en GitLab corrige error...
-
Evil Corp cambia de nombre al ransomware LockBit p...
-
Foxconn confirma que el ataque de ransomware inter...
-
España se convierte en el primer objetivo de malwa...
-
Sistema de salud nacional de Costa Rica víctima de...
-
Europol desmantela infraestructura del troyano ban...
-
Vulnerabilidad 0day Windows mediante herramienta d...
-
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es... -
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Vulnerabilidad 0day Windows mediante herramienta diagnóstico de Microsoft
Lo que empezó siendo un vector de ataque para una vulnerabilidad para Office se ha convertido en una vulnerabilidad más grave que afecta a
prácticamente todas las versiones de Windows. Microsoft ha publicado la vulnerabilidad de ejecución remota de código
cuando se llama a la herramienta de diagnóstico de soporte de Microsoft
(MSDT), utilizando el protocolo URL (llamada URI, con ms-msdt y ms-search) desde una aplicación como Word o incluso cualquier otra, como por ejemplo el navegador.
.png)
La vulnerabilidad afecta a Windows y no sólo Office
Existe una vulnerabilidad de ejecución remota de código cuando se llama a MSDT mediante el protocolo URL desde una aplicación como Word. Un atacante que aproveche con éxito la vulnerabilidad podrá ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Después, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.
- En Windows, ms-msdt: es un tipo de URL propietario que inicia el kit de herramientas de software MSDT.
Debido a la gran disponibilidad de la herramienta de diagnóstico que ofrece Microsoft, el exploit es aprovechable en un gran número de sistemas de la compañía, entre ellos Windows 7, 8.1, 10, 11, y Windows Server 2008, 2012, 2016, 2019 y 2022. Localizado como CVE-2022-30190, se trata de un problema de seguridad de alto nivel. Además, debido a los pocos detalles que ha ofrecido la compañía, es probable que el problema aún no haya sido parcheado.
El exploit parece ser aprovechable a través del protocolo URL de la llamada de una aplicación como Microsoft Word. Según explica la compañía, el atacante que logre aprovechar esta vulnerabilidad podrá ejecutar código arbitrario con los mismos privilegios que la aplicación de llamada. De esta manera, si Word se estuviese ejecutando con privilegios de administrador, esto significa que el atacante podría obtener esos mismos privilegios.
El ciberatacante que explote con éxito esta vulnerabilidad podría ejecutar código arbitrario para instalar programas; ver, cambiar o borrar datos, o crear nuevas cuentas en el ámbito permitido por los permisos del usuario.
¿Cómo se puede mitigar CVE-2022-30190?
Deshabilitar el protocolo URL de MSDT: ms-msdt y search-ms
Deshabilitar
el protocolo de URL de MSDT evita que los solucionadores de problemas
se inicien como enlaces, incluidos enlaces en todo el sistema operativo.
Aún se puede acceder a los solucionadores de problemas usando la
aplicación Obtener ayuda y en la configuración del sistema como otros
solucionadores de problemas adicionales.
Los pasos a seguir para mitigar la vulnerabilidad son los siguientes:
- Ejecuta símbolo del sistema como administrador.
- Para hacer una copia de seguridad de la clave de registro, ejecute el comando
reg export HKEY_CLASSES_ROOTms-msdt nombre-del-backup
- Ejecuta el comando
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Y eliminar también vector de ataque mediante search-ms
reg delete HKEY_CLASSES_ROOT\search-ms /f
O guardar el siguiente código en fichero .reg y ejecútalo:
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\ms-msdt]
[-HKEY_CLASSES_ROOT\search-ms]
Para revertir los cambios, hacemos lo siguiente:
- Ejecuta Símbolo del sistema como administrador
- Ejecutamos el siguiente comando para restaurar la clave del registro: "reg import nombre-del-backup" (sin comillas).
Microsoft recomienda también activar la protección basada en la nube y el envío de muestras automático en Windows Defender.
Otra manera (solución) difundida por Benjamin Delpy —experto en ciberseguridad— consiste en desactivar los asistentes de solución de problemas a través de Regedit, accediendo a
HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
y asignando el valor '0' (deshabilitado) a la variable 'EnableDiagnostics'. Si ésta no existe, deberás crear una variable de tipo REG_DWORD con dicho nombre.
Deshabilitar el exploit mediante Política de grupo (GPO)
Puedes deshabilitar esto a través de GPO (que es un método totalmente compatible frente a los hacks de registro)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics" /t REG_DWORD /v EnableDiagnostics /d 0
o a través de la GUI (localmente) o a través de GPMC, etc. en un entorno de dominio.
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.