Cuando la vulnerabilidad dura y dura y dura…

Antivirus Microsoft Defender

Hace unos días supimos que Microsoft solucionó una vulnerabilidad del antivirus preinstalado en los ordenadores de Windows, el famoso Microsoft Defender. Pero lo que más sorprendió de la noticia es que el error estaba presente en el software ¡desde hace 12 años! Así que hemos decidido explicaros algunos otros casos, porque cuando la vulnerabilidad dura y dura y dura… vuestra empresa entra en una lotería de la que lleváis muchos números.

Otra cosa nos sorprendió de la noticia: por un lado que quienes lo detectaron no fueron los propios responsables de Microsoft, sino la compañía de ciberseguridad SentinelOne. Esta startup norteamericana fundada en 2013 y con sede en California, descubrió que la brecha permitía acceder a los privilegios de seguridad del sistema Windows reservados a los administradores.

Y os preguntaréis: ¿cómo es posible que no se haya detectado en tanto tiempo? Parece ser que el driver afectado es un componente que no se almacena en el disco duro. Dicho de otro modo, se utiliza y se elimina de forma inmediata. Pero claro, al afectar a un antivirus preinstalado en los ordenadores de Windows, se calcula que puede haber afectado a más de mil millones de dispositivos en todo el mundo. Por suerte SentinelOne cree que no hay evidencias de que el fallo haya sido aprovechado por ciberdelincuentes.

Cuando la vulnerabilidad dura y dura y dura... SentinelOne, ha descubierto una vulnerabilidad de 12 años del Windows Microsoft Defender
SentinelOne, compañía norteamericana de ciberseguridad que ha descubierto la vulnerabilidad del
Windows Microsoft Defender


Microsoft ya lo solucionó hace unos días, con un parche y una actualización automática para todos los usuarios de Windows 10. Pero recordad que, tal y como os contamos AQUÍ, hace ahora un año, las versiones anteriores a Windows 10, como Windows 7 o Windows Server 2008 ya no tienen soporte de seguridad, por lo que la actualización automática no les va a llegar y seguirán con el problema, manteniendo la puerta abierta a posibles ataques.

Para los más técnicos que queráis averiguar un poco más del tema, deciros que se ha denominado a este problema CVE-2021-24092.

Cuando la vulnerabilidad dura y dura y dura…
Otros casos relevantes

Hay que tener muy en cuenta que las vulnerabilidades se reducen cuando están parcheadas. Sin embargo las empresas siempre tardan un poco más en solucionar los problemas, por lo que generalmente se sigue estando expuesto tras la localización de errores.
Lo podéis leer en este artículo de la revista IT Digital Security titulado “Vulnerabilidades antiguas y no críticas, campo abonado por el ransomware”. En él se dice, por ejemplo, que “si bien los costos de ransomware en 2017 se estimaron en 5.000 millones en total, las estimaciones han aumentado a 11.500 millones en 2019” o que “el 35% de las vulnerabilidades explotadas en los ataques de ransomware tienen más de 3 años”.

Cuando la vulnerabilidad dura y dura y dura... el ciberdelincuente se frota las manos.
Ciberdelincuente

En este mismo sentido se expresa Silicon.es en un artículo titulado “Antiguas vulnerabilidades críticas siguen vigentes en cientos de aplicaciones Android” donde se advierte que “a través de ellas, un ciberdelincuente puede robar información y obtener permisos para acceder a la ubicación del usuario o leer sus conversaciones”.

Hay muchos ejemplos de vulnerabilidades que perduran en el tiempo. Algunas son ya tan famosas que incluso tienen una importante entrada en Wikipedia. Es el caso del Cross-site scripting (secuencia de comandos en sitios cruzados) o XSS, un fallo típico de las aplicaciones web que implica al código JavaScript.

También es el caso de la inyección SQL, que consigue infiltrar un código intruso que permite realizar operaciones sobre una base de datos o el ataque de denegación de servicio o DoS (de las siglas en inglés Denial of Service). En este caso se trata de atacar un sistema de computadoras en red que impide a los usuarios legítimos acceder a los servicios. Eso que parece tan banal, llegó a afectar puntos clave del nodo central de Londres en 2013, como podéis leer en la entrada de la Wikipedia con la que os hemos enlazado.

De todo esto debemos sacer dos conclusiones muy claras:

1.- ¡Estamos expuestos! Continuamente. No tengáis dudas. Imaginaros hasta que punto si el mismísimo Microsoft ha tenido una vulnerabilidad durante 12 años. Así que “un poquito de por favor”. Mirad bien todos nuestros servicios y abrid el desplegable para tener claro en que os podemos ayudar y que LA CIBERSEGURIDAD NO ES UN GASTO, SINO UNA INVERSIÓN. ¡Y es muy asequible económicamente hablando! Contactadnos y lo veréis.

2.- La segunda conclusión a lo que llegamos es que no debéis de dejar nunca de actualizar vuestros equipos, sistemas, móviles, etc. Eso “que es tan pesado” y que siempre “dejamos para más tarde” porque “nunca nos viene bien” es imprescindible. Pensad que cerca del 90% de los contenidos de una actualización están ligados a mejorar la seguridad.
Así que… ¡no lo dudéis y hacedlo!

Leer más
No Comments

HoneyCon 2020, otro apoyo de TECNOideas a un gran evento

Desde que empezamos nuestra especialización en seguridad, hace ya dos años, apostamos por tener una estrecha relación con el mundo Hacker, de donde provenimos gran parte del equipo técnico. Ahora le toca el turno al congreso HoneyCon 2020.

HoneyCon es un congreso de seguridad informática que organiza HoneySec, una asociación sin ánimo de lucro que tiene su sede en Guadalajara.
Pero este año va a tener un formato diferente al del año pasado, donde ya estuvimos presentes, tal y como anunciamos en este blog.

HONEYCON
HoneyCon, congreso de seguridad informática de Guadalajara (España).

Y es que dadas las circunstancias actuales, incluso estuvo en el aire su celebración. Pero finalmente ya tiene fechas seguras: será el fin de semana del 7 y 8 de noviembre. Recordamos que antes de la crisis sanitaria se prolongaba durante toda una semana en Guadalajara. Además, la pandemia obliga a que no pueda ser presencial, por lo que la edición de este año será online.

Sin embargo, el formato es un poco diferente a todos los “onlines” actuales, ya que será una maratón de 24 horas de duración, que comenzará el 7 de noviembre.

TECNOideas en HoneyCon20

Nuestro compañero Jordi Ubach ha sido escogido para dar una charla sobre uno de los temas que más nos apasionan porque somos expertos : la ciberseguridad industrial. De hecho, poseemos la certificación más alta del Centro de Ciberseguridad Industrial.

Jordi Ubach realizará la charla, de la historia real de un ataque a un sistema de control industrial considerado como crítico. Se trata de una subestación eléctrica de distribución, que daba servicio a mas de 25.000 personas. Un ataque real donde se realizó un análisis forense de dispositivos como SCADA, PLC, RTU, etc.

TECNOideas 2.0 estará presente y aprovechará el congreso para dar a conocer sus nuevos vídeos promocionales. Os avanzamos que os sorprenderán, porque son divertidos y en un formato que no suele verse en nuestro sector. ¡No os los perdáis!

Leer más
1 Comment

Ubuntu: sobre el pop up “no hay espacio carpeta var/logs llena” – Segunda parte

Ubuntu es un sistema operativo de software libre y código abierto, una distribución de Linux basada en Debian y orientado al usuario promedio. Ha tenido bastante éxito por su facilidad de uso y mejora de la experiencia del usuario. Pero hay un problema en Ubuntu.

Hace unos días os comentaba en este mismo blog como semi-solucionar el problema en Ubuntu que dio lugar al título del post y que motiva ahora esta segunda parte.
El problema en Ubuntu es muy común en este sistema: hace que los logs del sistema pesen gigas y gigas, con lo que al final nuestros discos se saturan.

ubuntu_logo
Ubuntu_logo

Esto que puede no parecer un problema, lo es si uno tiene un portátil con un disco sólido, no demasiado grande. O si se tiene un sistema justito, o un servidor donde no sobra el espacio libre.

Os comenté en la anterior ENTRADA, como vaciar estos logs, como recurso de urgencia, y os daba el enlace al MANUAL de logrotate para que pudierais investigar.

Pues bien, como me han preguntado como lo solucioné finalmente EN MI EQUIPO, os voy a pegar el apéndice que añadí a /etc/logrotate.conf

/var/log/*.log {
size 10M
copytruncate
rotate 3
compress
missingok
}

sacado del manual de logrotate

En estos comandos le decimos a logrotate que:

  • cualquier fichero con extensión .log, tenga un tamaño máximo de 10 megas
  • haga una copia con 0 bytes (para que miapp lo encuentre y no haya problemas)
  • guarde tres copias antiguas
  • comprima las demás
  • no muestre mensajes de error si los hubiera

Espero que os haya ayudado un poco más, junto con la anterior entrada, ya que desespera que en un momento crítico te quedes sin espacio y no puedas trabajar.

¿Te ha gustado esta explicación? ¿Te ha servido para solucionar tu problema?
Si aún no te has registrado en https://tecnoideas20.com/
hazlo ahora y recibirás nuestras newsletter gratuitamente.
Gracias por confiar en TECNOideas2.0.

Leer más
No Comments

Ubuntu: no hay espacio carpeta var/logs llena.

¿Alguna vez te ha saltado este temido pop up en tu sistema Ubuntu? no hay espacio carpeta var/logs llena.

ubuntu_logo
ubuntu_logo

Te pones a investigar y ves gigas y gigas en la dichosa carpeta var/logs, pero claro, no los puedes borrar, porque sino luego el sistema no arrancará.

Hay que programar una rotación de logs, para que no alcancen estos despropocionados tamaños – a mi me han llegado a 100 gbs nada menos -, ya que por defecto Ubunto no la tiene.

Pero si estamos con el dichoso aviso, primero hay que hacer sitio, y cuesta. He probado tricks, atajos, recomendaciones, y ni una me han funcionado, en version 18.04

Pero tiene solución, aunque no es la idónea. Primero vaciar, que no borrar, los dichosos logs:

cd /var/log
sudo su

y con el comando 
echo " " >fichero.log   o el comando cat /dev/null >fichero.log
vaciaremos los siguientes ficheros:
> lastlog
> wtmp
> dpkg.log 
> kern.log
> syslog

Un reinicio, y voilà, ya tenemos espacio de nuevo en el disco duro, que puede llegar a ser mucho. Ahora tenemos que hacer la rotación de logs para que no nos vuelva a pasar.

Esto es ya más complicado, ya que cada uno necesita más o menos rotación, antigüedad, datos, ficheros….

El manual de UBUNTU para logratate está en este enlace, pero hay que hacer un máster para poder llegar a manejarlo bien, a no ser que seas administrador de sistemas, y te hayas tenido que pelear con él.

He encontrado un pequeño tutorial, que me ha servido, AQUÍ, para poder gestionarme yo una rotación, que a falta de probar con el tiempo, espero que funcione. Sino, al menos, tenéis como vaciar los dichosos logs.

Leer más
3 Comments

La inacción en temas de seguridad.

Se suele dar el caso que tras dar un aviso de un fallo de seguridad, con toda la buena fe del mundo, a una empresa o institución – no cliente – que a los dos o tres meses sigue estando ese fallo presente.

Esto viene a colación de un ejemplo como el acaecido esta ultima semana en un centro comercial de Cornellà del Llobregat –NOTICIA

Vago tecnológico
Vago tecnológico

Si la noticia es verdadera, ya que parece que no confirman el hecho del aparato que hace streaming, se darían dos casos. Uno, una instalación que si para casa funciona, habría sido barata para un centro comercial, pero toda una chapuza a nivel profesional.

La segunda, como no, la seguridad. ¿que seguridad da este tipo de aparato? Si está activado el wifi direct, cada cual puede vincularse y conectarse. Si es a través del wifi, esperemos que sea uno privado, y no el de clientes, aunque lo dudamos, solo haría falta un poco de paciencia para entrar en él, y otra vez, vincularse al chromecast.

La cuestión ya no es si es una mala instalación, poco segura, o las dos cosas. La cuestión es que se ha avisado, y no se ha puesto remedio. Otra cosa es como sea avisa. La gente suelta muy a la ligera “se ha denunciado en las redes sociales”, cuando lo mejor sería decir “se ha enrabietado en las redes sociales”.

Las denuncias y avisos de este tipo han de ser a la empresa primero, y a las autoridades segundo. Que hay mucha gente que piensa que por hacer un vídeo y colgarlo en facebook ya lo ha hecho todo y bien.

Leer más
No Comments

Fallo de seguridad en OpenSSH

OpenSSH
OpenSSH

El pasado 14 de Agosto, los investigadores de seguridad de la empresa Qualys, descubrieron un fallo de seguridad en el protocolo SSH, presente desde hace nada menos que 19 años.

El fallo consiste en que un atacante puede adivinar nombres de usuarios registrados en el servidor donde se aloja el servicio, más concretamente enviando peticiones de login, si se cierra la conexión sin decir que si ni que no, ya tendremos usuario válido.

Como no, se ha parcheado en cuanto se ha conocido, pero al ser un protocolo tan extendido, las actualizaciones pueden tardar en realizarse, si se llegan a hacer, ya que aparte de casi todos los sistemas, Linux, Windows, Mac, OpenBSD…se utiliza en dispositivos pequeños, como los que forman parte de la Internet de las cosas, que se descuidan más en actualizaciones.

Leer más
No Comments

Spectre y Meltdown ya son oficialmente una crisis mundial.

Desde que hace unas semanas se publicara en The Register una serie de vulnerabilidades críticas en procesadores Intel y métodos de ataque para saltarse un mecanismo de protección de los sistemas opertivos, surgieron Spectre y Meltdown.

La primera afecta a microprocesadores modernos, Intel, AMD, ARM, IBM Power y PowerPC, la segunda, a Intel, IBM Power y ARM. Los sistemas operativos afectados, esta vez incluye casi todos: Windows, iOs, MacOs, GNU/Linux, Windows 10 mobile, Android, etc…

Aunque desde enero se han ido publicando parches, y han salido a la luz información de que los fabricantes de Micros, han referido a sus partners, de momento no hay comunicados oficiales.

Dado que es un fallo de diseño del core, y como utiliza los saltos de memoria, para que no será posible parchear totalmente para eliminar estas vulnerabilidades, y que la única solución sería el reemplazo de dichos micros. De hecho Intel ya anuncia una nueva arquitectura, para sustituir a esta versión, que tiene por nombre Sunny Cove.

Leer más
No Comments

¿Sirve para algo contactar con soporte de algún programa o App gratuita?

La gente suele pensar que no, sobre todo de grandes apps o programas, porque ya que al no pagar no tenemos “derecho” a soporte. Otras escriben hasta en sus foros, exigiendo que corrijan los errores a la voz de Ya!

Centro de soporte
Centro de soporte

El procedimiento ha de ser el correcto, y si tenemos una app o utilidad como dios manda, aunque sea gratuita para nosotros (tranquilos, ellos ya ganan su dinero de otra manera), la respuesta será adecuada al problema.

Nuestro ejemplo: tras la última actualización de Whatsapp en Windows Mobile el tamaño de letra de toda la apliación casi se duplicó, dejando poco a la vista, y siendo muy molesto, aún con un smartphone de gran tamaño. Respuesta en menos de 24 horas, diciendo que están trabajando en ello.

 

Leer más
No Comments

Cuando el antivirus no funciona, o es tarde.

Siempre alertamos e incidimos en que hay que usar un buen antivirus, y combinarlo con un buen antispyware o antimalware (no con otro antivirus a la vez!), pero hay veces que ni así es suficiente.

malware
malware

Cuando se ha producido la temible infección, y nos damos cuenta de ello, claro, hay que averiguar rapidamente que virus es, y ponerle coto. Las mismas páginas de los antivirus suelen ofrecer métodos manuales o automáticos de reparación de un virus o familia de estos, en concreto, sin tener que pagar el paquete al completo.

Después de desinfectar, parchear el sistema, navegador o programa por donde se haya colado, para que no vuelva a pasar, y usar un antivirus! aunque sea gratuito.

Leer más
No Comments

Error Outlook: Operación cancelada debido a restricciones en este equipo.

Outlook
Outlook

A veces después de realizar cambios como borrar temporales, vaciar papelera, etc.. nos puede aparecer este mensaje:

“Operación cancelada debido a restricciones en este equipo. Póngase en contacto con el administrador del sistema.”

osea, nosotros. Tiene una simple solución, aunque todo el detalle se puede encontrar en soporte de Microsoft, AQUÍ.

Iremos a panel de control, opciones de internet, pestaña programas, y predeterminaremos IExplorer como navegador por defecto.

Reiniciamos Outlook (a veces necesita un reinicio del equipo) y ahora ya funcionarán los hipervínculos de nuestro gestor de correo, que es lo que provocaba ese dichoso mensaje.

 

Leer más
No Comments