Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
julio
(Total:
104
)
- Los actores de doblaje de videojuegos, en huelga c...
- Intel confirma daños permanentes en los Core Gen 1...
- Un fallo en Google Password Manager dejó sin contr...
- Múltiples malware y ransomware aprovechan vulnerab...
- Estafas del CEO mediate IA
- Nicolás Maduro declara a Elon Musk «archienemigo» ...
- Las ganancias de Tesla caen un 45 %, mientras Elon...
- Suiza exigirá que todo el software gubernamental s...
- Secure Boot está roto en más de 200 modelos de 5 g...
- Cómo evitar que X (Twitter) use tus publicaciones ...
- Elon Musk se enfrenta a nuevas sanciones por entre...
- Error en WhatsApp para Windows permite ejecución d...
- Compañía de seguridad de EEUU contrató un ingenier...
- Cómo funciona DDoSia: la herramienta DDoS utilizad...
- Grindr bloquea algunas funciones en la Villa Olímp...
- Apple Maps lanza, por fin, una versión web para co...
- Modus operandi de un ataque del ransomware Akira
- Suplantación de archivos en WhatsApp para Android
- CrowdStrike ofrece un vale de 10€ en UberEats para...
- AMD retrasa ligeramente el lanzamiento de los Ryze...
- El CNI de España coordina una respuesta al ataque ...
- Photoshop permite crear imágenes con IA desde sus ...
- Meta presenta Llama 3.1, su IA de código abierto q...
- Grupo pro ruso NoName057(16) realiza ataques DDoS ...
- Windows 11 funciona en un iPhone 15 Pro, aunque mu...
- Compañía aérea se salva del desastre de CrowdStrik...
- Facebook quiere gastarse 87.000 millones en ‘Ray-B...
- Google eliminará acortador de URLs goo.gl en 2025
- Microsoft culpa a la UE de lo sucedido con CrowdSt...
- Process Hollowing: una técnica de evasión utilizad...
- 0-Day en Telegram permitía enviar archivos dañinos...
- Herramienta de Microsoft para recuperar equipos da...
- China tiene un equipo de ciberseguridad que se enc...
- La nueva normativa pide usar botones físicos en lo...
- La Guardia Civil detiene a tres prorrusos en Españ...
- Caída global por culpa de CrowdStrike: un apagón c...
- OpenAI presenta GPT-4o mini, una IA más potente y ...
- Filtración de datos de empresa espía mSpy, revela ...
- Armas biológicas diseñadas por IA
- Hack WPA / WPA2 fácilmente sin fuerza bruta con Fl...
- Configurar Telegraf, InfluxDBv2 y Grafana para mon...
- Caddy: un servidor web con funciones de proxy inverso
- Windows resolverá el problema de las actualizacion...
- Apple y otras empresas usaron videos de YouTube pa...
- Vulnerabilidad crítica en GeoServer GeoTools explo...
- El FBI logra acceso al móvil del atacante de Donal...
- Las guerras de Unix: Un capítulo crucial en la his...
- Europa dice que X (Twitter) engaña a los usuarios ...
- Detenidos tres menores por difundir por Whatsapp f...
- Google quiere comprar la startup de ciberseguridad...
- Explotación de vulnerabilidades tan solo 22 minuto...
- 0-Day en Windows MSHTML utilizado en ataques de ma...
- HardBit ransomware version 4.0
- Fábrica de Xiaomi abierta 24/7 en la que todos los...
- Alemania dejará gradualmente sin uso de las redes ...
- Detenido de nuevo Alcasec por robar los datos de 3...
- Vulnerabilidad crítica en Exim expone a millones d...
- Cómo la desinformación rusa terminó en el top de l...
- Excel incluye un editor para programar en Python
- Parche de Microsoft para grave vulnerabilidad acce...
- Vulnerabilidad crítica en GitLab Community y Enter...
- Cómo roban cuentas de YouTube con infostealers
- Función de WhatsApp transcribe las notas de voz pa...
- The Harvester: herramienta OSINT para analizar los...
- AMD compra la finlandesa Silo AI para impulsar su ...
- Windows 10 recibe Copilot como parte de una actual...
- Samsung Galaxy Ring, un anillo cuantificador con a...
- Microsoft abandona la junta directiva de OpenAI en...
- Elon Musk es acusado de hacer trampa con el sistem...
- Vulnerabilidad crítica en libreria Ghostscript en ...
- Youtuber muestra cómo conseguir juegos gratis en S...
- La computadora cuántica de Google es humillada por...
- Fossify es una suite Open Source, gratis y sin anu...
- Nothing desvela el CMF Phone 1, un sorprendente sm...
- Google Maps introducirá anuncios en la navegación
- Todo lo que necesitas saber sobre puertos USB y ve...
- El Dorado ransomware: objetivo máquinas virtuales ...
- Batocera es una retroconsola para PC y Android
- Recopilación de 10 mil millones de contraseñas
- Limitar el ancho de banda en Linux
- Rack SSD
- Servidor Blade vs. Servidor de Rack vs. Servidor d...
- ChatGPT para Mac expuso las conversaciones de mill...
- Roban 33 millones de números de teléfono del famos...
- La UE podría eliminar la exención aduanera a los p...
- Google Drive ahora es Booteable
- Organismo rector de la Fórmula 1 revela una filtra...
- Google Chrome bloqueará los certificados TLS de En...
- Apple veta la emulación de PCs «retro» en iOS
- 54 detenidos por estafar más de 2 millones de euro...
- YouTube permite solicitar el borrado de vídeos gen...
- Primer cable Thunderbolt 5 con una velocidad 120 G...
- Los adultos Españoles que quieran entrar en webs p...
- Japón bate el récord de banda ancha superando los ...
- Wise alerta de un hackeo masivo con robo de datos ...
- Detenido autor puntos de acceso Wifi falsos en aer...
- regreSSHion: 14 millones de servidores OpenSSH vul...
- NFC - ¿Qué es, cómo funciona y qué riesgos de segu...
- WhatsApp publica su planificador de eventos para g...
- Meta deja de publicar parches de seguridad para el...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
0-Day en Windows MSHTML utilizado en ataques de malware
Microsoft soluciona una vulnerabilidad Zero-Day de Windows que se ha explotado activamente en ataques durante dieciocho meses para lanzar scripts maliciosos y eludir las funciones de seguridad integradas.
La vulnerabilidad, identificada por TrendMicro y seguida como CVE-2024-38112, es un problema de suplantación de identidad MHTML de alta gravedad que se solucionó durante las actualizaciones de seguridad del martes de parches de julio de 2024.
Haifei Li de Check Point Research descubrió la vulnerabilidad y la reveló a Microsoft en mayo de 2024. Sin embargo, en un informe de Li, el investigador señala que han descubierto muestras que explotan este defecto ya en enero de 2023.
Haifei Li descubrió que los actores de amenazas han estado distribuyendo archivos de acceso directo a Internet de Windows (.URL) para falsificar archivos que parecen legítimos, como archivos PDF, pero que descargan y ejecutan archivos HTA para instalar malware que roba contraseñas.
Un archivo de acceso directo a Internet es simplemente un archivo de texto que contiene varios ajustes de configuración, como qué icono mostrar, qué enlace abrir al hacer doble clic y otra información. Cuando se guarda como un archivo .URL y se hace doble clic, Windows abrirá la URL configurada en el navegador web predeterminado.
Sin embargo, los actores de la amenaza descubrieron que podían obligar a Internet Explorer a abrir la URL especificada utilizando el controlador URL=mhtml:URI en la directiva URL, como se muestra a continuación.
MHTML es un archivo de "encapsulación MIME de documentos HTML agregados", una tecnología introducida en Internet Explorer que encapsula una página web completa, incluidas sus imágenes, en un solo archivo.
Cuando la URL se inicia con el URI=mhtml:, Windows la inicia automáticamente en Internet Explorer en lugar del navegador predeterminado.
Según el investigador de vulnerabilidades Will Dormann, abrir una página web en Internet Explorer ofrece beneficios adicionales a los actores de amenazas, ya que hay menos advertencias de seguridad al descargar archivos maliciosos. "En primer lugar, IE le permitirá descargar un archivo .HTA de Internet sin previo aviso", explicó Dormann en Mastodon.
A continuación, una vez descargado, el archivo .HTA vivirá en el directorio INetCache, pero NO tendrá explícitamente un MotW (Mark of the Web). En este punto, la única protección que tiene el usuario es una advertencia de que "un sitio web" quiere abrir contenido web, usando un programa en la computadora, sin decir qué sitio web es. Si el usuario cree que confía en "este" sitio web, es cuando ocurre la ejecución del código.
Básicamente, los actores de amenazas aprovechan el hecho de que Internet Explorer todavía está incluido de forma predeterminada en Windows 10 y Windows 11. A pesar de que Microsoft anunció su retiro hace aproximadamente dos años y que Edge lo reemplazó en todas las funciones prácticas, el navegador obsoleto aún se puede invocar y aprovechar con fines maliciosos.
Check Point dice que los actores de amenazas están creando archivos de acceso directo a Internet con íconos para que aparezcan como enlaces a un archivo PDF. Al hacer clic, la página web especificada se abrirá en Internet Explorer, que automáticamente intenta descargar lo que parece ser un archivo PDF pero en realidad es un archivo HTA.
Sin embargo, los actores de amenazas pueden ocultar la extensión HTA y hacer que parezca que se está descargando un PDF rellenando el nombre del archivo con caracteres Unicode para que no se muestre la extensión .hta. Cuando Internet Explorer descarga el archivo HTA, le pregunta si desea guardarlo o abrirlo. Si un usuario decide abrir el archivo pensando que es un PDF, ya que no contiene la marca que proviene de la web (MotW), se iniciará solo con una alerta genérica sobre el contenido que se abre desde un sitio web. Como el objetivo espera descargar un PDF, el usuario puede confiar en esta alerta y se permite la ejecución del archivo
Check Point Research dijo que permitir la ejecución del archivo HTA instalaría el malware Atlantida Stealer, y que, de acuerdo a TrendMicro roba contraseñas en la computadora. Una vez ejecutado, el malware robará todas las credenciales almacenadas en el navegador, las cookies, el historial del navegador, las carteras de criptomonedas, las credenciales de Steam y otros datos confidenciales.
Microsoft solucionó la vulnerabilidad CVE-2024-38112 cancelando el registro de URI mhtml: de Internet Explorer, por lo que ahora se abre en Microsoft Edge. CVE-2024-38112 es similar a CVE-2021-40444, una vulnerabilidad Zero-Day que abusaba de MHTML y que los delincuentes norcoreanos aprovecharon para lanzar ataques dirigidos a investigadores de seguridad en 2021.
Vía:
https://blog.segu-info.com.ar/2024/07/zero-day-en-windows-mshtml-utilizado-en.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.