Categoría: Seguridad

‘Lazy FP’, una nueva vulnerabilidad que afecta a procesadores Intel

Lazy FP (Intel)

Los procesadores de Intel y AMD se han visto afectados en lo que llevamos de año por más de una decena de vulnerabilidades, algunas de ellas gravísimas, y que permitían acceder al contenido de la memoria en zonas que deberían ser seguras. A pesar de los parches, estos chips siguen teniendo otras vulnerabilidades, como la última descubierta para Intel llamada Lazy FP. Sobre la vulnerabilidad no se conocen demasiados detalles para no dar pistas a posibles atacantes, pero se han revelado algunos datos sobre el problema. De entrada, este fallo sólo afecta a procesadores de Intel, y no a los de AMD.

Además, por suerte, el fallo no afecta a nivel de hardware, sino que está ligado al software. Esto permitirá parchearlo simplemente con una actualización del sistema operativo con Windows, o en el caso de Linux también a nivel de kernel. Tanto Microsoft como Apple están trabajando en un parche que arregle la vulnerabilidad, y lo lanzarán lo antes posible. Según Intel ha descrito el problema, un atacante puede inferir mediante un proceso del sistema los datos que hay en otro proceso y realizar una ejecución especulativa, de tal manera que pueda conocer datos sensibles que en principio deberían estar ocultos ya que normalmente van cifrados. Esta vulnerabilidad es muy similar a Spectre, la cual ya tiene hasta cuatro variantes más. Por suerte, no requiere realizar cambios en el microcódigo. Los procesadores afectados van desde Sandy Bridge (Segunda generación de Intel Core, con chips como el i5-2500K) hasta los más actuales. Por ello, todos los ordenadores de los últimos 7 años que utilicen procesadores de Intel están afectados, por lo que hay que estar atento para aplicar el parche lo antes posible.

Twitter pide a sus millones de usuarios que cambien sus contraseñas

Tirita (Twitter)

La compañía ha descubierto un supuesto error que hacía que todas y cada una de las contraseñas de sus usuarios se almacenaran dentro un registro interno como texto plano, sin ningún tipo de cifrado y ante los ojos de cualquier persona que tuviera acceso a dicho registro. Twitter asegura que los primeros resultados de su investigación señalan que la información no salió de su sistema y por lo tanto no estuvieron expuestas. Sin embargo, hasta el momento no lo pueden garantizar y por ello piden que tomemos precauciones y cambiemos nuestra contraseña cuanto antes.

El fallo se debió a un error en el sistema de hashing que enmascara las contraseñas, donde a través de una función conocida como bcrypt, se reemplaza la contraseña real con un conjunto aleatorio de números y letras que se almacenan en la base de datos de la compañía. Este error hizo que las contraseñas se almacenaran dentro del registro interno antes de pasar por el proceso de hashing, es decir, en texto plano. Twitter asegura que ellos mismos encontraron el fallo y eliminaron las contraseñas del registro. La compañía a pedido a todos sus usuarios, más de 330 millones, que cambien sus contraseñas, lo que indica que se trata de un fallo grave, que ha afectado a todo el sistema.

Ocultan software de minería de criptomonedas en falsos servicios de Windows

Bitcoin (binario)

Expertos alertan de la actividad de un grupo de ciberdelincuentes que instala mineros de criptomonedas en el ordenador de sus víctimas, camuflados dentro de un ‘software’ que falsifica programas legítimos de Windows. Estos ataques tienen un «modelo sencillo» de monetización, al igual que el ‘ransomware’. Sin embargo, este tipo de amenazas no dañan «directamente» a los usuarios, y pueden permanecer sin ser detectadas «durante mucho tiempo», al usar de forma «silenciosa» la potencia del ordenador infectado. Analistas en seguridad han identificado recientemente a un grupo de cibercriminales que utilizan técnicas de APT.

Las técnicas APT, o técnicas de amenaza persistente avanzada, son usadas como herramienta para infectar a los usuarios con mineros. Este grupo ha usado el método de vaciado de procesos, que generalmente se utiliza en ‘malware’ y que se vio en algunos ataques dirigidos, pero que «nunca antes» se había observado en ataques de minería. A través de este tipo de ataque, se invita a la víctima a descargar e instalar un ‘software’ publicitario que, en su interior, esconde un instalador de mineros. Este instalador elimina una utilidad legítima de Windows con el objetivo de descargar el minero desde un servidor remoto. Después de su ejecución, se inicia un proceso de sistema legítimo, y el código legítimo de este proceso se convierte en código malicioso.

El navegador Chrome marcará como inseguras las webs que no usen HTTPS

Chrome (https)

La protección de datos en la web a través del uso de protocolos de seguridad como el HTTPS ha ido creciendo con el tiempo, pero todavía son muchos los sitios que no lo utilizan. Por eso Google ha decidido hacer algo al respecto y, de acuerdo con una publicación de Gizmodo.com, anunció que su navegador Chrome conenzará a marcar todas las páginas que no utilicen el citado protocolo como “inseguras”. El cambio vendrá integrado en la versión 68 de Chrome, la cual será lanzada en julio próximo. Se calcula que en la actualidad, el 68 por ciento de los sitios web utiliza algún protocolo de seguridad.

De hecho, 81 de los 100 sitios web con más tráfico los usan por defecto. El peligro de los sitios web sin certificado de seguridad es que, al no estar cifrado, alguna persona que se conecte a la misma red de wifi puede acceder a nuestros datos y robar información valiosa como contraseñas, números de cuenta bancaria, y datos de la tarjeta de crédito.

Windows 10 S no es tan «inmune» a los agujeros de seguridad

Windows 10 S Security

La principal característica de Windows 10 S es la de ser «inmune a cualquier ‘ransomware’ conocido», según Microsoft. Sin embargo, el sistema operativo, lanzado hace menos de un mes, ya ha demostrado que no es tan seguro como parece, pues ha sido ‘hackeado’ con un solo documento de Word. Para demostrar la supuesta invulnerabilidad ante los ataques, un conocido medio contrató a un ‘hacker’ para realizar una prueba de seguridad. Matthew Hickey, cofundador de la empresa de ciberseguridad Hacker House, afirma que tardó unas tres horas en encontrar vulnerabilidades de seguridad en Word.

«Estoy sorprendido de que haya sido tan fácil», destaca el ‘hacker’. Hickley averiguó que podía comprometer la seguridad de Windows 10 S utilizando los macros de Word. Estos macros son una serie de comandos e instrucciones que se utilizan para completar una tarea de forma automática, aunque en este caso el ‘hacker’ los utilizó para introducir código malicioso en el sistema.