Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
-
▼
septiembre
(Total:
65
)
- LaLiga de España presenta MOOD, un sistema de moni...
- Seagate logra la peor tasa de fallos SSD en un est...
- Vivaldi llega a iOS ofreciendo privacidad y manten...
- ¿Cómo detectar si un texto fue escrito con Intelig...
- Raspberry Pi 5
- Microsoft quiere usar energía nuclear en sus centr...
- La FCC quiere recuperar la Neutralidad de Red
- RedPersist una herramienta de persistencia en Wind...
- Sony víctima de un ciberataque con filtración de 2...
- Meta Quest 3: en octubre por 500 dólares
- Signal Messenger presenta el cifrado a prueba de a...
- Cómo recuperar tu cuenta de WhatsApp robada: guía ...
- ChatGPT ahora puede ver, oír y hablar
- Amazon invertirá hasta 4.000 millones de dólares e...
- El 95 % de los NFT ya no valen nada
- Falso exploit para vulnerabilidad WinRAR infecta c...
- Microsoft desvela la nueva actualización de Window...
- Relay privado de iCloud
- OpenAI anuncia DALL-E 3 y lo integra de forma nati...
- El gobierno de Sri Lanka pierde meses de datos tra...
- El actor Stephen Fry denuncia el robo de su voz me...
- Bard ahora puede interactuar con aplicaciones de G...
- Así es el último phishing a través de Wallapop
- Elon Musk comienza "el reclutamiento" de humanos p...
- El tribunal y la FTC aseguran que Microsoft ha fil...
- Elon Musk quiere que Twitter sea de pago para todo...
- Twitter pedirá una identificación oficial para evi...
- Microsoft expone por error 38TB datos sensibles de...
- DeepNude: la aplicación que "desnuda" a cualquier ...
- Unity cambiará su tarifa basada en las veces que s...
- Lazarus robó 54 millones de dólares del exchange C...
- Federación Holandesa de Fútbol (KNVB) pagó un resc...
- MGM y Caesars Palace, hackeados con ransomware en ...
- Ransomware paraliza servicios en múltiples países:...
- ThemeBleed: exploit para vulnerabilidad en theme d...
- Irlanda multa a TikTok con 345 millones de euros p...
- Colombia: activan protocolos de emergencias por ra...
- Nueva función de Windows 11 bloquea los ataques ba...
- 3AM es un nuevo ransomware escrito en Rust
- iPhone 15 limitará la carga de la batería para red...
- Ciberataque masivo en Colombia: los portales y ser...
- Atacantes chinos robaron la clave de firma de Micr...
- Francia retira el iPhone 12 por emisiones de ondas...
- Dennis Austin: la mente detrás de PowerPoint, el p...
- Inyección de prompts: el mayor fallo de seguridad ...
- WhatsApp será compatible con Telegram, Signal y ot...
- Microsoft elimina los controladores de impresoras ...
- Vulnerabilidades en iMessage de Apple para infecta...
- Un youtuber pierde 50.000 dólares en criptomonedas...
- Google habilita la protección contra phishing en t...
- Microsoft te protegerá legalmente si alguien te de...
- El hackeo de LastPass habría facilitado el robo de...
- Las fabricas de Toyota se detuvieron por un disco ...
- La Comisión Europea designa a Google, WhatsApp y T...
- Rockstar está vendiendo sus juegos crackeados en S...
- Los ‘deepfakes’ de voz van a por tus ahorros
- Presionar INTRO para omitir el cifrado completo de...
- Un ciberataque paraliza al Ayuntamiento de Sevilla...
- Dimite el jefe de la Policía de Irlanda del Norte ...
- Extensiones del navegador maliciosas
- Archivo malicioso de Microsoft Word en un archivo ...
- Qishing: phishing en códigos QR
- Microsoft eliminará Wordpad de Windows tras cerca ...
- Acusan a escolares de manipular fotos de sus compa...
- X (Twitter) ahora podrá recopilar tus datos biomét...
-
▼
septiembre
(Total:
65
)
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Atacantes chinos robaron la clave de firma de Microsoft del volcado de memoria de Windows
Microsoft dice que los atacantes chinos de Storm-0558 robaron una clave privada de firma, que luego fue utilizada para violar las cuentas de correo electrónico del gobierno, de un volcado de Windows después de comprometer la cuenta corporativa de un ingeniero de Microsoft.
Los atacantes utilizaron la clave MSA robada para violar las cuentas de Exchange Online y Azure Active Directory (AD) de aproximadamente dos docenas de organizaciones, incluidas agencias gubernamentales de Estados Unidos, como los Departamentos de Estado y de Comercio de Estados Unidos. Explotaron un problema de validación Zero-Day ahora parcheado en GetAccessTokenForResourceAPI, que les permitió falsificar tokens de acceso firmados y suplantar cuentas dentro de las organizaciones objetivo.
Mientras investigaba el ataque de Storm-0558, Microsoft descubrió que la clave MSA se filtró en un volcado de memoria después de que un sistema de firma del consumidor fallara en abril de 2021.
Aunque el volcado de memoria no debería haber incluido la firma de claves, una condición de carrera llevó a que se agregara la clave. Posteriormente, este volcado de memoria se trasladó de la red de producción aislada de la empresa a su entorno de depuración corporativo conectado a Internet.
Los actores de amenazas encontraron la clave después de comprometer con éxito la cuenta corporativa de un ingeniero de Microsoft, que tenía acceso al entorno de depuración que contenía la clave incluida erróneamente en el volcado de memoria de abril de 2021 y la utilizaron en ataques a Exchange y Outlook en mayo de 2023.
"Debido a las políticas de retención de registros, no tenemos registros con evidencia específica de esta exfiltración por parte de este actor, pero este fue el mecanismo más probable por el cual el actor adquirió la clave", reveló Microsoft. "Nuestros métodos de escaneo de credenciales no detectaron su presencia (este problema ha sido corregido)".
Si bien Microsoft dijo en julio, cuando reveló el incidente, que solo Exchange Online y Outlook se vieron afectados, el investigador de seguridad de Wiz, Shir Tamari, dijo más tarde que la clave de firma del consumidor de Microsoft comprometida proporcionó a Storm-0558 acceso generalizado a los servicios en la nube de Microsoft.
Como dijo Tamari, la clave podría usarse para hacerse pasar por cualquier cuenta dentro de cualquier cliente afectado o aplicación de Microsoft basada en la nube. "Esto incluye aplicaciones administradas de Microsoft, como Outlook, SharePoint, OneDrive y Teams, así como aplicaciones de clientes que admiten la autenticación de cuentas de Microsoft, incluidas aquellas que permiten la funcionalidad 'Iniciar sesión con Microsoft'", dijo Tamari. "Todo en el mundo de Microsoft aprovecha los tokens de autenticación de Azure Active Directory para el acceso", dijo también a BleepingComputer el CTO y cofundador de Wiz, Ami Luttwak.
"Un atacante con una clave de firma AAD es el atacante más poderoso que puedas imaginar, porque puede acceder a casi cualquier aplicación, como cualquier usuario. Esta es la superpotencia definitiva de ciberinteligencia que cambia de forma. "El antiguo certificado de clave pública reveló que fue emitido el 5 de abril de 2016 y expiró el 4 de abril de 2021", añadió Tamari.
Más tarde, Redmond dijo que la clave comprometida solo podía usarse para apuntar a aplicaciones que aceptaran cuentas personales y cuyo error de validación fuera explotado por los delincuentes informáticos chinos.
En respuesta a la violación de seguridad, Microsoft revocó todas las claves de firma MSA válidas para evitar que los actores de amenazas accedan a otras claves comprometidas. Este paso también bloqueó efectivamente cualquier esfuerzo adicional para generar nuevos tokens de acceso. Además, Microsoft reubicó los tokens de acceso generados recientemente al almacén de claves utilizado por sus sistemas empresariales.
Después de revocar la clave de firma robada, Microsoft no encontró evidencia adicional de acceso no autorizado a cuentas de clientes empleando la misma técnica de falsificación de tokens de autenticación.
Presionado por CISA, Microsoft también acordó ampliar el acceso a los datos de registro en la nube de forma gratuita para ayudar a los defensores de la red a detectar intentos de violación similares en el futuro.
Antes de esto, dichas capacidades de registro solo estaban disponibles para clientes con licencias de registro de Purview Audit (Premium). Como resultado, Redmond enfrentó importantes críticas por impedir que las organizaciones detectaran rápidamente los ataques de Storm-0558.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2023/09/atacantes-chinos-robaron-la-clave-de.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.