Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1107
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
-
▼
diciembre
(Total:
80
)
- La mejor cámara de un teléfono es la del Google Pi...
- Plataforma rusa de droga en la darknet es hackeada...
- Los submarinos de la Marina de Reino Unido usaban ...
- El Bloc de Notas en Windows 11 tendrá pestañas
- Windows 7 arranca en 28 minutos en un Pentium a 5 ...
- Vulnerabilidad crítica SMB (RCE sin autenticar) en...
- KDE Plasma
- GB Inceptor es una capturadora que funciona en uni...
- Los HDD alcanzarán el precio de 1 céntimo por GB a...
- Xiaomi Redmi Note 12: lanzamiento en Europa inminente
- Espacio reservado en un una unidad SSD (el sobreap...
- Francia multa a Microsoft con 60 millones $ por us...
- George Hotz, el hacker de la PS3 que iba a mejorar...
- TikTok reconoce que sus empleados espiaron a perio...
- El FBI recomienda usar un bloqueador de anuncios
- LastPass reconoce que robaron las contraseñas cifr...
- Google preocupada por su buscador ante la amenaza ...
- Diferencias entre PCIe Gen 3 y PCIe Gen 4: velocid...
- Mastodon ha ganado más de 2 millones de nuevos usu...
- ChatGPT no será gratis para siempre: OpenAI prevé ...
- Disponible nueva versión Tails: 5.8, la distro bas...
- En España, en caso de emergencia, todos los coches...
- Europa quiere que las baterías de los teléfonos se...
- Google empieza implementar el cifrado de extremo a...
- Una Roomba grabó a una mujer en el váter y las imá...
- Google trabaja en una IA para que puedas entender ...
- Epic Games multada por la privacidad de los menore...
- GitHub presenta escaneo gratuito de secretos para ...
- Grandes empresas tecnológicas (Meta, Microsoft, AW...
- Certificaciones Linux
- Dispositivos PLC: cómo funcionan y consejos de uso
- El Instituto Nacional de Estándares y Tecnología (...
- China prohíbe el uso de IA para la creación de imá...
- John Carmack abandona Meta tras 10 años al frente ...
- Twitter prohíbe promocionar cuentas en otras redes...
- Twitter suspende la cuenta de Mastodon y de decena...
- Un año después el 72% de las organizaciones siguen...
- El grupo de ransomware PLAY hackea la cadena de el...
- Dell presenta un portátil modular: Concept Luna, q...
- OSV-Scanner: un escáner de vulnerabilidades de Google
- El Senado de EE.UU. prohíbe el uso de TikTok en di...
- Microsoft prohíbe la minería de criptomonedas en s...
- Controladores de Windows maliciosos firmados por M...
- Top de herramientas y gadgets para hardware hacking
- Elon Muk suspende la cuenta de seguimiento de su a...
- Passkey en Google Chrome: el principio del fin de ...
- Baterías de sodio y azufre superan 4x a las de ion...
- Aumentan los ataques de ransomware en el sector sa...
- Un malware utiliza GitHub como servidor de Comando...
- Uber sufre una nueva filtración de datos
- ¿Qué son los ataque Side-channel (ataque de canal ...
- Twitter Blue será un 30% más caro desde iOs
- El scroll continuo llega a los resultados del busc...
- La historia detrás del botón «Me Gusta» de Facebook
- Google Drive, al igual que Google Chrome, también ...
- Apple M1 vs Apple M2
- Disponible el navegador Tor 12.0
- Encender un PC remotamente con Wake-on-Lan (WoL)
- Chrome presenta el modo ahorro de energía y memori...
- Apple añade cifrado de extremo a extremo a las cop...
- Lo más buscado en Google España en 2022
- Telegram ya funciona sin número ni tarjeta SIM
- Reparación de inicio en Windows 11
- Unidad SSD recibe la certificación de la NASA
- La FTC demanda a Microsoft y bloquea la adquisició...
- Ex-empleados de Twitter demandarán a la empresa
- ¿Es seguro y anónimo usar el navegador Tor?
- Investigan Neuralink (de Elon Musk) por maltrato a...
- Anuncios maliciosos en Google redirigen a sitios f...
- ¿Qué es y para que sirve ChatGPT?
- Disponible distro hacking ético: Kali Linux 2022.4
- Nivel RAID 1 en un NAS
- Herramienta de IA muestra qué aspecto tendrías en ...
- El sitio web del Vaticano recibe ataques proRusos ...
- Encuentran nuevas app con el troyano bancario Shar...
- Elon Musk espera poder implantar su ordenador Neur...
- Gorilla Glass Victus 2 para teléfonos móviles quie...
- Google vincula a una empresa española vendiendo sp...
- LastPass confirma un nuevo incidente de seguridad ...
- Apple amenaza con retirar la aplicación de Twitter...
- ► septiembre (Total: 72 )
-
▼
diciembre
(Total:
80
)
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Arm Holdings Plc es una empresa británica dedicada al diseño de software y semiconductores . Con sede en Cambridge, Reino Unido, tiene una ...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
Controladores de Windows maliciosos firmados por Microsoft utilizados en ataques de ransomware
En una investigación, se ha detallado que se han detectado algunos de estos controladores que son maliciosos y que se la habían colado a Microsoft habrían provocado casos de ransomware.
Los controladores en Windows son completamente necesarios para que funcione todo el hardware que conectamos al ordenador, como una tarjeta gráfica, el procesador, el adaptador de red e incluso cualquier periférico. Estos pueden tener acceso al núcleo del propio ordenador y controlarlo sin problema, y es por ello que es realmente importante que estén firmados por Microsoft.
Microsoft cuenta con un Programa de Desarrolladores de Hardware en Windows que permite firmar los controladores necesarios para poder usar todos los productos que crean. Estos dan la confianza de que están limpios de malware, aunque esto no siempre ocurre como se ha podido comprobar. Ya que algunos de estos controladores han pasado el filtro, y es algo que puede ser realmente peligroso.
Microsoft reconoce un fallo de seguridad en controladores firmados
El hecho de tener instalado un controlador malicioso es realmente peligroso. Esto se debe que Microsoft al firmarlos le da permisos para acceder al kernel del ordenador, es decir, que consigue tener los máximos privilegios para poder hacer lo que quiera en el ordenador. De esta manera conseguirá acceder a información personal y de tu uso.
Para poder hacer a este programa y pasar la seguridad, se utilizaron diferentes componentes llamados STONESTOP y POORTRY, y además se utilizaron herramientas que estaban firmadas por Microsoft para una tercera persona al que pagaban para acceder los actores de esta amenaza. Igualmente, todavía está bajo investigación al no estar claro del todo el procedimiento que se ha seguido. Lo que si conoce es que este controlador provocaba el secuestro de los datos, lo conocido como ransomware.
Para poder detectar a estos actores de la amenaza, han conseguido extraer los nombres de las organizaciones que han creado estos controladores que ahora pasan a estar en la lista negra. Estos son:
- Qi Lijun
- Luck Bigger Technology Co., Ltd
- XinSing Network Service Co., Ltd
- Hangzhou Shunwang Technology Co.,Ltd
- Fuzhou Superman
- Beijing Hongdao Changxing International Trade Co., Ltd.
- Fujian Altron Interactive Entertainment Technology Co., Ltd.
- Xiamen Hengxin Excellence Network Technology Co., Ltd.
- Dalian Zongmeng Network Technology Co., Ltd.
Desde Microsoft ya han querido responder a esta amenaza que se ha descubierto liberando diferentes actualizaciones de seguridad para poder revocar los certificados a estos controladores maliciosos. Además, se liberó la actualización 1.377.987.0 de Windows Defender para poder detectarlos y eliminarlos también. Si bien, aunque se han descubierto varios editores que han mandado este tipo de controladores todavía pueden quedar algunos que hayan usado el mismo sistema. Es por ello que han liberado la siguiente comunicación:
Microsoft está trabajando con los socios del Programa de Procciones Activas de Microsoft (MAPP) para ayudar a desarrollar más detecciones y proteger mejor a nuestros clientes compartidos. Microsoft Partner Center también está trabajando en soluciones a largo plazo para abordar estas prácticas engañosas y prevenir futuros impactos en los clientes
Fuentes:
https://www.mandiant.com/resources/blog/hunting-attestation-signed-malware
https://msrc.microsoft.com/update-guide/vulnerability/ADV220005
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.