¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Vulnerables

Уязвимые

Otras ediciones de este tema (40)
  • añadir a favoritos
    Añadir a marcadores

Amenazas inventadas

Consultas: 914 Comentarios: 3 Ranking: 10

jueves 21 de junio de 2018

Cada semana consultamos noticias sobre las nuevas vulnerabilidades. Por ejemplo:

El jueves, 25 de agosto del año 2016 – nota del editor, la empresa Muddy Waters Capital que se especializa en las ventas cortas informó sobre la necesidad de revocar y volver a instalar los cardioestimuladores, los ICD (defibriladores implantados) y CRT (dispositivos terapéuticos de resincronización para el corazón) de la marca St. Jude Medical porque en estos dispositivos había vulnerabilidades que podían dañar el funcionamiento del equipamiento.

Como confirma Muddy Waters Capital en su informe, los expertos del startup MedSec presentaron al personal de la empresa los ejemplos de dos tipos de ciberataques a dispositivos. Una de ellos daña el implante, el segundo permite descargar la batería del dispositivo a 15 metros de distancia.

Es una noticia importante, ¿verdad? Demuestra que hay gente que en realidad se preocupa de la protección y la empresa productora ignora la seguridad de sus clientes. Pero no es todo.

Entendemos que os investigadores de seguridad están interesados en promocionar su trabajo. Por lo tanto, vamos a pensar: ¿será fácil (o difícil) realizar (en la práctica) la vulnerabilidad detectada?

A su vez, los representantes de St. Jude Medical desmintieron la posibilidad del ataque similar. Según la declaración oficial de la empresa, una vez instalado el implante, la radio de alcance de comunicaciones inalámbricas es de unos dos metros y para descargar la batería del dispositivo el malintencionado tendrá que estar cerca del paciente.

Un ataque puede tener éxito en determinadas condiciones. Primero, un malintencionado debe emitir señales al dispositivo durante varios días sin interrupciones. Segundo, durante todo este tiempo la víctima debe estar tumbada sin moverse.

https://www.afp.com/en/news/1316/st-jude-medical-refutes-muddy-waters-device-security-allegations-and-reinforces-security-devices-and

Por supuesto, si el paciente no puede ni moverse, se puede realizar las acciones necesarias. Pero si un malintencionado puede acceder a este paciente, es muy probable que encuentre un modo más fácil para sus delitos, sin colocar cerca ningún dispositivo que podrá ser usado para encontrarle.

Hoy día todos buscan vulnerabilidades, es una tarea muy popular que permite ganar dinero, así mismo, ilegal. La pregunta es la siguiente: ¿será que las vulnerabilidades de las que nos informaron son peligroso de verdad, se enteran o no los productores sobre las vulnerabilidades realmente críticas y trabajan o no para corregirlas.

Vamos a ver, su empresa encuentra varias vulnerabilidades entre las cuales no hay posibilidad de RCE, ni de aumentar los privilegios, pero el sistema se daña o hay rechazo de servicio (DOS). Los 0-day de DOS o son de mucho interés para APT de nivel estatal. Por lo tanto, Vd. informa sobre estas vulnerabilidades. ¿Por qué? Todo es muy fácil — si Vd. no informa de las mismas, ellas siempre podrán ser usadas contra Vd. (por los servicios de inteligencia de otros países etc.) En este caso, no podrán hacerlo primeros y sus operaciones serán más seguras. En cualquier caso, es una situación de ventaja directa para Vd. y sus informes. Sin hablar de las estadísticas positivas sobre la mayoría de las vulnerabilidades encontradas comunicadas por Vd. Todo parece muy claro, ¿verdad?

https://xakep.ru/2016/08/11/i-worked-in-tao

Lamentablemente, nadie puede estar seguro de que en los sistemas usados no hay vulnerabilidades, tanto en los productos mismos, como las vulnerabilidades vinculadas a los errores de configuración.

Un archivo robado al hackear un servidor de un grupo supuestamente vinculado a la Agencia de Seguridad Nacional de los EE.UU., Equation Group, además de exploits y el software nocivo contiene las herramientas de hackers bastante poco usadas. En particular, un módulo nocivo capaz de volver a programar el SO del disco duro. Al penetrar en el SO del disco duro, el programa nocivo se queda allí para siempre – no es posible detectarlo ni borrarlo hasta en caso de formatear el disco completamente.

El grupo The Shadow Brokers se responsabilizó del hackeo de Equation Group. Los hackers publicaron en acceso público algunos archivos robados. Según los investigadores que se dedican a la investigación del contenido, el conjunto contiene las herramientas de hackers destinadas para usar las vulnerabilidades en Firewalls y enrutadores de algunos productores.

La empresa Cisco ya confirmo que dos exploits son reales — EPICBANANA y ExtraBacon que permiten usar las vulnerabilidades en Firewalls de la empresa y ejecutar un código aleatorio. Según los expertos de Cisco, una vulnerabilidad fue corregida aún en el año 2011, pero solo ahora apareció la información sobre las demás.

https://exploit.in/2016/10839

El mundo de antivirus recomienda

  • Muchas vulnerabilidades pueden ser bloqueadas (su realización no será posible) en caso de tomar medidas de restricción de permisos del usuario en el sistema y usar las tecnologías de SO incrustadas. Aunque por supuesto hay vulnerabilidades en las mismas también.
  • Si hay un antivirus en el equipo atacado, esto dificulta bastante tanto la transferencia como la implementación del exploit en los procesos atacados, hasta si el archivo nocivo o el código transferido anteriormente no había llegado al laboratorio antivirus para el análisis.

¡Atención!

Si Vd. trabaja en un sistema con permisos de administrador, el inicio de los nuevos programas (así como el inicio del agente del antivirus para cambiar su configuración) no supone ninguna notificación del sistema UAC, y la configuración del antivirus no está protegida con contraseña, un malintencionado que penetra en su equipo puede desactivar el antivirus sin que Vd. lo note. El único cambio que Vd. puede notar es el cambio del aspecto de iconos del agente en la bandeja. Por lo tanto, recomendamos configurar la visualización continua de los iconos en la bandeja sin ocultarlos.

Se puede activar la visualización del icono al hacer clic sobre #drweb del toolbar, seleccionar Personalizar (Customize) y configurar el aspecto de visualización del icono necesario.

#drweb

El icono de SpIDer Agent refleja el estado actual del Agente Dr.Web:

  • #drweb — todos los componentes necesarios para la protección del equipo han sido iniciados y funcionan correctamente, se estableció la conexión al servidor de protección centralizada;
  • #drweb — La Autoprotección, el Agente Dr.Web o un componente importante (el guardián de archivos SpIDer Guard, Firewall) están desactivados, lo cual empeora la protección del antivirus y del equipo, o se espera la conexión al servidor aún no establecida. Active la Autoprotección o el componente desactivado, espere la conexión al servidor);
  • #drweb — durante el inicio de algún componente clave del Agente Dr.Web se ha producido un error. El equipo puede ser infectado. Compruebe si hay archivo de claves válido o contacte al administrador de la red antivirus.

Y lo último:

... EMET no puede sustituir el software antivirus o HIPS y no es panacea contra exploits.

Siglas contra creadores de virus: WIM, CSRSS, EMET, CCMP, EFS, SEHOP, ASLR, KPP, UAC, DEP y más cosas

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios