Esta semana, finalmente obtenemos información privilegiada sobre algunas viejas historias, comenzando con el problema Bitwarden Windows Hello del año pasado. Quizás recuerdes que Bitwarden tiene una opción para usar Windows Hello como opción de desbloqueo de bóveda. Desafortunadamente, la API de credenciales de Windows en realidad no cifra las credenciales de una manera que requiera una verificación adicional de Windows Hello para desbloquearlas. Por lo tanto, una clave derivada se almacena en el administrador de credenciales y se puede recuperar mediante una simple llamada a la API. No se necesitan datos biométricos adicionales. Incluso con la bóveda de Bitwarden bloqueada y la aplicación cerrada.
Existe otro peligro que ni siquiera requiere acceso a la máquina en la que se ha iniciado sesión. En una máquina unida a un dominio, Windows realiza una copia de seguridad de esas claves de cifrado en el controlador de dominio. La bóveda cifrada en sí está disponible en una máquina de dominio a través de SMB de forma predeterminada. Un controlador de dominio comprometido podría bloquear una bóveda de bitwarden sin siquiera ejecutar código en la máquina de destino. La buena noticia es que este problema particular con Bitwarden y Windows Hello ya está solucionado y así ha estado desde entonces. Versión 2023.10.1.
Explotación inversa del RDP
Normalmente pensamos que el Protocolo de escritorio remoto es peligroso de exponer en Internet. Y es. No ponga su servicio RDP en línea. Pero RDP inverso Es la idea de que también podría ser peligroso conectar un cliente RDP a un servidor malicioso. Y, por supuesto, múltiples implementaciones de RDP tienen este problema. Están rdesktop, FreeRDP y el propio mstsc de Microsoft que tienen vulnerabilidades relacionadas con el RDP inverso.
Los detalles técnicos aquí no son muy interesantes. Son todas variaciones sobre el tema de no verificar adecuadamente los datos remotos del servidor y, por lo tanto, leer o escribir en los buffers internos. Esto da como resultado diversas formas de fuga de información y problemas de ejecución de código. Lo interesante son las diferentes respuestas a los hallazgos, y luego Comida para llevar de [Eyal Itkin] sobre cómo los investigadores de seguridad deberían abordar la divulgación de vulnerabilidades.
Entonces, en primer lugar, Microsoft descartó una vulnerabilidad como indigna de ser reparada. Y luego procedió a investigarlo internamente y presentarlo como un ataque novedoso sin atribuir adecuadamente a [Eyal] el hallazgo original. rdesktop contenía bastantes de estos problemas, pero pudo solucionarlos en unos pocos meses. FreeRDP solucionó algunos problemas de inmediato, en lo que podría describirse como un proceso de estilo golpear a un topo, pero se preparó un parche que en realidad abordaría el problema a un nivel más profundo: cambiar un valor de API de size_t sin firmar a uno firmado. tamaño_t. Ese cambio tomó la friolera de 2 años para llegar al mundo en un lanzamiento. ¿Porque tan largo?
Dos razones para ese largo retraso. En primer lugar, fue un cambio radical, no una respuesta a una sola vulnerabilidad. Habría evitado muchos de ellos a la vez, pero no era un cambio necesario para solucionar ninguno de ellos individualmente. Pero lo que es aún más importante es que se trataba de un cambio de API. Rompería cosas. Entonces, tíralo a la rama de la versión principal y espera. Y aquí es donde surge un pequeño dilema. ¿Debería un investigador denunciar el problema online o esperar pacientemente? No hay una única respuesta sólida aquí, ya que cada situación tiene sus propias complejidades, pero [Eyal] argumenta que los investigadores de seguridad deberían preocuparse más por la aplicación de correcciones a los proyectos, y no solo por contentarse con obtener otro CVE.
Rastrear redes con SSH-Snake
Acabamos de descubrir esta inteligente herramienta esta semana: Serpiente SSH. El concepto es simple. El script busca claves privadas SSH y luego las prueba en la lista de hosts SSH conocidos. Para cada host que acepta una clave, el script se ejecuta nuevamente. No coloca ningún archivo en el sistema de archivos y se ejecuta automáticamente sin intervención, compilando al final un ingenioso gráfico de sistemas accesibles. Definitivamente una herramienta que vale la pena tener en su caja de herramientas digitales.
Bits y Bytes
En un divertido giro del juego en línea, Mandiant perdió el control de su cuenta X por un tiempo esta semana. Era un divertido juego del gato y el ratón, ya que aparecían, desaparecían y aparecían publicaciones que promovían estafas criptográficas. Uno sólo puede imaginar el frenético trabajo realizado detrás de escena mientras esto se desarrollaba. Con suerte, podremos compartir una publicación de blog de Mandiant sobre esto en unas pocas semanas. Y si, hay un XKCD sobre eso.
Como probablemente habrás notado, ayer Mandiant perdió el control de esta cuenta X que tenía 2FA habilitada. Actualmente, no hay indicios de actividad maliciosa más allá de la cuenta X afectada, que vuelve a estar bajo nuestro control. Compartiremos los resultados de nuestra investigación una vez concluida.
- Mandiant (@Mandiant) Enero 4, 2024
Si todavía tiene una cuenta de Lastpass, es posible que haya recibido correos electrónicos esta semana sobre un cambio de requisito de contraseña maestra en proceso. El TL:DR es que Lastpass anteriormente “requería” una contraseña de 12 caracteres. A partir de pronto, todas las contraseñas deberán tener 12 caracteres, incluidas las de cuentas más antiguas. Probablemente sea mejor adelantarse a ese cambio de todos modos, si tiene una contraseña más corta.
Parece un poco sordo que 23andMe culpa a las víctimas por las recientes violaciones de cuentas allí. "Los usuarios utilizaron los mismos nombres de usuario y contraseñas utilizados en 23andMe.com que en otros sitios web que habían estado sujetos a violaciones de seguridad anteriores, y los usuarios reciclaron negligentemente y no actualizaron sus contraseñas después de estos incidentes de seguridad pasados". Excepto que eso es técnicamente correcto. Los usuarios realmente estaban reutilizando contraseñas. Y los usuarios realmente optaron por compartir detalles con sus coincidencias genéticas. El único fallo real fue que nadie en 23andMe detectó el ataque de relleno de credenciales mientras estaba ocurriendo, pero es cierto que es difícil de discernir en comparación con el tráfico normal. Probablemente una A- por el punto técnico. Y una D por la entrega.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://hackaday.com/2024/01/05/this-week-in-security-bitwarden-reverse-rdp-and-snake/
- :posee
- :es
- :no
- :dónde
- $ UP
- 1
- 10
- 12
- 2023
- 2FA
- a
- Poder
- Nuestra Empresa
- Acepta
- de la máquina
- accesible
- Mi Cuenta
- Cuentas
- actividad
- Adicionales
- dirección
- de nuevo
- adelante
- Todos
- también
- an
- y
- Otra
- https://www.youtube.com/watch?v=xB-eutXNUMXJtA&feature=youtu.be
- cualquier
- abejas
- Aparecer
- Aplicación
- aplicada
- enfoque
- somos
- AS
- At
- atacar
- automáticamente
- Hoy Disponibles
- lejos
- Atrás
- Espaldas
- BE
- esto
- detrás de
- entre bastidores
- MEJOR
- Más allá de
- biometría
- Poco
- BleepingComputer
- Rama
- infracciones
- Descanso
- Manojo
- pero
- by
- llamar al
- PUEDEN
- case
- el cambio
- cambio
- personaje
- personajes
- comprobación
- cliente
- cerrado
- código
- COM
- complejidades
- Comprometida
- concepto
- preocupado
- Concluido
- Contacto
- contenida
- contenido
- control
- controlador
- cerdo
- correcta
- podría
- curso
- CREDENCIAL
- relleno de credenciales
- Referencias
- cripto
- estafas crypto
- En la actualidad
- CVE
- PELIGRO
- peligroso
- datos
- más profundo
- Predeterminado
- que probar definitivamente
- entrega
- Derivado
- descrito
- computadora de escritorio
- detalles
- HIZO
- una experiencia diferente
- difícil
- digital
- desaparecer
- discernir
- revelación
- descubierto CRISPR
- sí
- No
- dominio
- hecho
- No
- dr
- Soltar
- cada una
- ya sea
- correo
- facilita
- cifrado
- cifrado
- final
- Incluso
- NUNCA
- Cada
- Excepto
- Fallidos
- Fracaso
- pocos
- archivos
- Finalmente
- Encuentre
- Los resultados
- Nombre
- Fijar
- fijas
- fijo
- siguiendo
- Formularios
- Desde
- diversión
- juego
- genéticas
- obtener
- conseguir
- candidato
- gráfica
- tenido
- puñado
- En Curso
- Tienen
- por lo tanto
- esta página
- Con optimismo
- fortaleza
- anfitriones
- Cómo
- HTTPS
- idea
- if
- imagen
- impactados
- implementaciones
- en tono rimbombante
- in
- Incluye
- indicaciones
- Individualmente
- información
- dentro
- interesante
- interno
- internamente
- Internet
- intervención
- dentro
- investigación
- cuestiones
- IT
- SUS
- sí mismo
- se unió a
- jpg
- solo
- Guardar
- Clave
- claves
- conocido
- Apellido
- Ultimo pase
- Fugas
- Nivel
- que otros
- Lista
- ll
- cerrado
- Largo
- largo tiempo
- MIRADAS
- perdido
- máquina
- gran
- para lograr
- HACE
- malicioso
- Malwarebytes
- gerente
- dominar
- cerillas
- Puede..
- Microsoft
- podría
- meses
- más,
- múltiples
- telecomunicaciones
- noticias
- Elegante
- no
- normal
- normalmente
- novela
- ahora
- of
- off
- Viejo
- mayor
- on
- una vez
- ONE
- en línea
- , solamente
- Optión
- or
- reconocida por
- Otro
- nuestros
- salir
- Más de
- EL DESARROLLADOR
- particular
- Contraseña
- contraseñas
- pasado
- Patch
- con paciencia
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Jugar
- jugado
- punto
- Artículos
- presente
- impedido
- previamente
- Anterior
- privada
- Llaves privadas
- probablemente
- Problema
- problemas
- proyecta
- correctamente
- protocolo
- Emprendedor
- poner
- exactamente
- Reading
- real
- realmente
- razones
- reciente
- reciclado
- ,
- recordarlo
- sanaciones
- exigir
- Requisitos
- requisito
- requiere
- la investigación
- investigador
- investigadores
- respuesta
- respuestas
- Resultados
- marcha atrás
- Derecho
- correr
- corre
- mismo
- estafas
- Escenas
- Puntuación
- guión
- EN LINEA
- brechas de seguridad
- investigadores de seguridad
- parecer
- servidor
- de coches
- servicio
- Compartir
- compartir
- tienes
- firmado
- sencillos
- desde
- soltero
- situación
- PYME
- So
- sólido
- algo
- Pronto
- Comience a
- Sin embargo
- almacenados
- Historias
- relleno
- papa
- sujeto
- Todas las funciones a su disposición
- Target
- Técnico
- técnicamente
- esa
- El
- el mundo
- su
- Les
- tema
- luego
- Ahí.
- Estas
- cosas
- pensar
- así
- esta semana
- aquellos
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- se
- del IRS
- Herramientas
- tráfico
- verdadero
- GIRO
- bajo
- Desafortunadamente
- desbloquear
- Actualizar
- utilizan el
- usado
- usuarios
- propuesta de
- variaciones
- diversos
- Bóveda
- Verificación
- versión
- las víctimas
- vs
- Vulnerabilidades
- vulnerabilidad
- esperar
- fue
- Camino..
- we
- sitios web
- semana
- Semanas
- tuvieron
- whack-a-mole
- ¿
- que
- mientras
- porque
- seguirá
- ventanas
- sin
- WordPress
- Actividades:
- mundo
- vale la pena
- se
- la escritura
- X
- años
- si
- Ayer
- Usted
- tú
- zephyrnet