Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
julio
(Total:
78
)
- Webs de Orange, Telefónica y Euskaltel recibieron ...
- Agujero de seguridad en los mods de Minecraft perm...
- Apple subirá el precio a todos los iPhone 15
- El Banco Santander condenado a devolver dinero est...
- Una mujer y su hija menor, denunciadas en Granolle...
- La Comisión Europea investiga a Microsoft por incl...
- Nuevo malware Nitrogen se difunde a través de anun...
- OpenAI cancela su herramienta de detección de plag...
- Vulnerabilidad en OpenSSH expone a inyección de co...
- Una vulnerabilidad en los procesadores Zen 2 de AM...
- El creador de ChatGPT lanza Worldcoin: promete una...
- Twitter limitará los mensajes directos a las cuent...
- Las grandes tecnológicas firman un acuerdo volunta...
- Chrome introduce la «privacidad mejorada en la pub...
- Elon Musk cambia el nombre y el logo de Twitter por X
- Grupo pro-Ruso NoName057 colapsa mediante ataques ...
- El NFT del primer tuit de Jack Dorsey costó 2,9 mi...
- Ucrania desmantela una enorme granja de bots Pro R...
- Una banda vende cuentas antiguas en Telegram para ...
- Traficante en la dark web fue detenido gracias a l...
- Abuela valenciana consiguió crear arte en Paint y ...
- La policía de China comienza a arrestar a los vend...
- Samsung anuncia los primeros chips GDDR7, la prime...
- Reddit recibe una multa de Rusia por no eliminar e...
- Muere Kevin Mitnick, el hacker más famoso del mund...
- LlaMa 2, el ChatGPT de Meta no es 'open source', p...
- La Policía Nacional España detiene ucraniano en Ba...
- Google Meet ya permite crear fondos con inteligenc...
- Reddit ha eliminado todas tus conversaciones anter...
- Filtración de datos de VirusTotal expone datos de ...
- WormGPT, el «lado oscuro» de ChatGPT
- YouTube prueba una nueva y muy deseable función, «...
- España multa a Apple y Amazon con 194 millones eur...
- El problema de equivocarse al teclear: un error ti...
- Twitter ha sufrido una caída de ingresos por publi...
- Rusia ha prohibido a los funcionarios del gobierno...
- Hackers rusos usan el anuncio de un BMW de segunda...
- Tras 15 años, Microsoft cambia la fuente predeterm...
- Twitter empieza a compartir los ingresos publicita...
- Hollywood propuso a los actores escanear su imagen...
- Vulnerabilidad en Ghostscript (presente en numeros...
- Google Bard llega a España
- La cuarta grave vulnerabilidad en Fortinet
- Microsoft alerta que piratas informáticos chinos h...
- Los vips de la joyería Rabat hackeados: Messi, Sab...
- Nothing Phone (2)
- Intel deja de fabricar los miniordenadores NUC
- Elon Musk propone un concurso a Zuckerberg para "m...
- Empresas de Estados Unidos podrán guardar datos pe...
- Europa exigirá que las baterías de móviles y orden...
- Así es el rendimiento de los SSD Samsung falsos de...
- Así ha estafado 'el pez gordo del cibercrimen en E...
- ¿Microsoft podría mitigar ataques de ransomware li...
- TeamsPhisher: herramienta automatizada para phishi...
- Windows Update Restored permite mantener actualiza...
- 500.000 cámaras Hikvision vulnerables
- La Unión Europea ya ha elegido a los 7 Gatekeepers
- RansomHouse publica nuevos datos privados de pacie...
- Un hackeo filtra datos privados de clientes vip de...
- El puerto más grande de Japón detiene sus operacio...
- La inteligencia artificial ayuda a personas ciegas...
- Anonymous Sudán afirma haber robado contraseñas de...
- OpenAI se prepara para evitar que la «superintelig...
- Envían "decenas de gigabits" por segundo de datos ...
- DistroSea permite probar distribuciones Linux dire...
- ChatGPT enfrenta su primera demanda por derechos d...
- La nueva vulnerabilidad en FortiNAC de Fortinet ex...
- El auge y la caída de Skype
- Threads de Instagram es el nuevo competidor de Twi...
- Atacan satélites de comunicaciones del Ejército Ruso
- La historia de Alcasec: el joven que amenazó la se...
- WhatsApp ya permite enviar vídeos en alta calidad
- Los nuevos AirPods Pro podrán medir la temperatura...
- Acusan a Google de estafa publicitaria por sus anu...
- Libros sin sentido generados por IA están en todas...
- Elon Musk limita "temporalmente" los mensajes que ...
- El conserje de una universidad apaga el congelador...
- Demandan a OpenAI por entrenar ChatGPT con datos p...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
¿Microsoft podría mitigar ataques de ransomware limitando la API CreateFile()?
El ransomware funciona revisando los archivos, uno por uno, y reemplazando su contenido con una versión cifrada (a veces también envía copias a otros lugares, pero eso resulta ser lento y, a veces, activa las alarmas). Windows usa una API llamada "CreateFile()" para acceder a los archivos. De forma un tanto confusa, CreateFile no solo crea archivos, sino que también es la forma principal de abrirlos.
Microsoft podría limitar la velocidad de la API CreateFile(). Es decir, podría limitar la frecuencia con la que un programa determinado puede usar la API. Debido a que no se puede cifrar un archivo hasta que logre abrirlo, esto tendría un impacto dramático en el ransomware. Lo ralentizaría y ayudaría a las herramientas defensivas a detectarlo a tiempo para que los humanos reaccionen.
En la superficie, esta solución es muy simple y elegante. En la práctica, habrá complejidades prácticas y preocupaciones y no sabemos cuáles serán todos los posibles efectos.
¿Qué tasa es razonable?
La primera pregunta es, ¿qué tasa es razonable? Si elijo un valor muy bajo, romperá las aplicaciones; si elijo un valor muy alto, el valor de protección disminuir.
Para muchos casos, una apertura por segundo parece estar bien, pero cuando llegamos a cosas como los compiladores, que van a abrir muchos archivos, vemos que es posible que necesitemos un límite general y permitir ráfagas. Cuando llegamos al software de backup, se vuelve aún más complicado. El software de respaldo necesita abrir todos los archivos, o al menos todos los archivos modificados, lo cual, si lo pensamos bien, es muy similar a lo que hace el ransomware. No podemos permitir una excepción para aperturas de solo lectura. El ransomware abrirá un archivo, cifrará el contenido, lo escribirá en un archivo nuevo o lo agregará a una base de datos y eliminará el original.
Entonces, Windows probablemente necesitará múltiples límites de velocidad. Tendrá que haber una forma de eximir a los programas (como compiladores y herramientas de copia de seguridad), y tal vez eso deba emitirse globalmente, lo que significa un proceso para que los creadores de software obtengan un certificado especial.
Es necesario que haya registros y alertas creadas, probadas, internacionalizadas, etc. Será necesario crear y documentar nuevos GPO (una herramienta utilizada para administrar Windows). Tiene que haber una forma local de permitir más llamadas a CreateFile para software desarrollado localmente u oscuro, o cuyos creadores ya no existen. Necesitamos asegurarnos de que el ransomware no pueda abusar de esos mecanismos. En las Mac recientes, se necesita un proceso complejo de reinicios para realizar ciertos cambios en el sistema; ¿quizás se justifica algo similar?
Esto último es complicado: el administrador tiene poder, por diseño, y es difícil limitar ese poder. Incluso el registro de aperturas de archivos facilitaría ver qué software está abriendo muchos archivos nuevos y dificultaría que el ransomware sea sigiloso. Y sí, ya hay demasiadas alarmas.
Siempre que no nos concentremos demasiado en los detalles, los atacantes cambian lentamente. Todavía hacen phishing, a través de más y más canales. Durante 20 años, los robos han pasado de abusar del software que escucha en puertos abiertos a otros problemas. Ese fue el resultado de un cambio radical al activar el Firewall de Windows de forma predeterminada, en respuesta al "verano de gusanos" de 2003.
La ley de Hyrum Wright establece aproximadamente que alguien dependerá de cada comportamiento observable del sistema o API. Y el cambio se vuelve complejo. La simple declaración "Microsoft debería limitar la velocidad de la API CreateFile()" es una lata de gusanos.
Dado el costo excepcional del ransomware hoy en día, creo que vale la pena abrir esa lata de gusanos.
Adam Shostack es un destacado experto en modelado de amenazas. Es miembro del BlackHat Review Board y ayudó a crear el CVE. Ayuda a organizaciones a mejorar su seguridad. Mientras estuvo en Microsoft, incorporó la solución Autorun a Windows Update, fue el diseñador principal de SDL Threat Modeling Tool v3 y creó el juego "Elevation of Privilege". Adam es autor de Threat Modeling: Designing for Security y coautor de The New School of Information Security.
Fuente: Dark Reading
Vía:
https://blog.segu-info.com.ar/2023/07/microsoft-podria-solucionar-el.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.