Noticias de seguridad informatica

Ultimas noticias destacadas de seguridad informática

Segu-Info - Noticias de Seguridad Informática Segu-Info - Noticias de Seguridad Informática

  • Denuncian a Meta por el uso indiscriminado de datos personales para el entrenamiento de su modelo de IA
    por SeguInfo el septiembre 12, 2024 a las 1:38 pm

    Meta está utilizando las fotos y publicaciones públicas de Facebook e Instagram de sus usuarios para entrenar inteligencia artificial y, aunque a los usuarios europeos se les ha permitido optar por no participar en el scraping masivo de su contenido, los usuarios del resto del mundo no tienen esa opción, según ha informado un comité parlamentario. Uso de datos personales: La utilización de datos personales para entrenar modelos de IA significa que las interacciones privadas, como fotos familiares, mensajes personales y vídeos, podrían ser analizadas y utilizadas para desarrollar tecnologías de IA. Esto genera preocupación sobre la confidencialidad y la seguridad de los datos personales. Meta está obligada a realizar un Análisis de Impacto en el Tratamiento de Datos Personales (PIA) y a recolectar nuevamente los consentimientos de sus usuarios, informándoles previamente de "la nueva finalidad". Se prevé que este PIA arroje como resultado que se trata de una actividad de alto riesgo. Por lo tanto, Meta deberá informar este nuevo objetivo a las distintas Autoridades de Control y puede enfrentar la posibilidad de que estas autoridades le nieguen la autorización para proceder. Por otro lado, en el mes de junio, Meta fue denunciada en once países de Europa por la misma actividad en varios países del viejo continente. La Unión Europea (UE) declaró que Meta posee acciones violatorias de normas de privacidad digital con su modelo binario conocido como consent-or-pay (también, pay-or-okay, paga o traga) para el uso de datos personales. Ello infringiría la Ley de Mercados Digitales de la UE, la cual constituye un pilar fundamental en la regulación del sector, junto con la Ley de Servicios Digitales de la UE. La empresa matriz de Facebook e Instagram detuvo el lanzamiento de su producto de inteligencia artificial en Europa en julio debido a las reglas de privacidad del Reglamento General de Protección de Datos (GDPR) y como resultado de la ley GDPR. Se ordenó a Meta que dejara de entrenar su modelo de lenguaje grande con datos de usuarios europeos sobre cuestiones de privacidad, y Meta les ha dado a los usuarios europeos una opción de exclusión voluntaria. En Argentina, día 30 de julio de 2024, fue ingresada ante la Agencia de Acceso a la Información Pública (AAIP, por sus siglas) la denuncia contra Meta Argentina por el uso indiscriminado de datos personales de sus usuarios para el entrenamiento de su modelo de inteligencia artificial (IA). La AAIP es el organismo encargado de supervisar y garantizar el derecho de acceso a la información pública y la protección de los datos personales en Argentina. El presidente laborista de la investigación que examina la adopción de la IA en Australia, el senador Tony Sheldon, cuestionó el martes a los ejecutivos de Meta por qué esa opción no se había extendido a los usuarios australianos. "Me gustaría optar por no participar en Australia... y me gustaría tener opciones similares a las de Europa, para todos los australianos, incluido yo personalmente. ¿Por qué no puedo tener esa opción?" Melinda Claybaugh, directora de política de privacidad de Meta, dijo que eran sólo las publicaciones de aquellos que eligieron hacerlas públicas (no sólo privadas para las personas con las que tienes amistad) y sólo para aquellos mayores de 18 años. Pero Claybaugh dijo que la exclusión voluntaria en Europa fue "en respuesta a un marco legal muy específico" y no dijo si tal opción se ofrecería a los australianos en el futuro, aunque eso significaba que los australianos habrían tenido que establecer las publicaciones desde el inicio de su uso de Facebook como privadas, desde 2007 y eso no aplicaría al uso que ya se ha dado a los datos. Hay millones de personas que usan Facebook e Instagram y que no han dado su consentimiento para usar sus fotos, sus videos o el registro de sus vidas y familias para entrenar un modelo de IA. "Creo que la gente de todo el mundo está harta de que las empresas tecnológicas, los gigantes… hagan lo que quieran, ignorando por completo las leyes y los derechos a medida que avanzan porque, al quitarles esas cosas a las personas, sienten como si les hubieran quitado sus derechos inherentes. Espero que los gobiernos hagan algo al respecto". Mientras tanto, en Argentina, la denuncia consta de 22 requerimientos a Meta, los más destacables son aquellos en los que se solicita presentar: Actualizaciones de la política de privacidad y evidencia del consentimiento del usuario. Una evaluación de impacto en la privacidad (PIA, por sus siglas en inglés) conforme a las directrices argentinas. Explicaciones técnicas sobre los procesos de anonimización de datos y garantías de su irreversibilidad. Aclaraciones sobre cómo se previene la reidentificación de datos anonimizados. Información sobre el manejo de metadatos y datos sensibles en el proceso de anonimización. Detalles sobre las políticas de retención y destrucción de datos. Fuente: The Guardian | IAPP

  • Actualizaciones de seguridad de septiembre para todas las empresas
    por SeguInfo el septiembre 11, 2024 a las 3:30 pm

    Como parte de su actualización del martes de parches para septiembre de 2024, Microsoft reveló tres nuevas fallas de seguridad que afectan a la plataforma Windows y que han sido activamente explotadas . La versión de seguridad mensual aborda un total de 79 vulnerabilidades, de las cuales siete están clasificadas como críticas, 71 como importantes y una con una gravedad moderada. Esto, aparte de 26 fallas que el gigante tecnológico resolvió en su navegador Edge basado en Chromium desde el lanzamiento del martes de parches el mes pasado. Las tres vulnerabilidades que se han utilizado como arma en un contexto malicioso se enumeran a continuación, junto con un error que Microsoft considera explotado: CVE-2024-38014 (CVSS: 7,8): vulnerabilidad de elevación de privilegios en Windows Installer CVE-2024-38217 (CVSS: 5,4): vulnerabilidad de omisión de característica de seguridad de marca de la web (MotW) de Windows CVE-2024-38226 (CVSS: 7,3): vulnerabilidad de omisión de la característica de seguridad de Microsoft Publisher CVE-2024-43491 (CVSS: 9,8): vulnerabilidad de ejecución remota de código de Microsoft Windows Update "La explotación de CVE-2024-38226 y CVE-2024-38217 puede conducir a la omisión de importantes características de seguridad que bloquean la ejecución de las macros de Microsoft Office", dijo Satnam Narang, ingeniero senior de investigación de Tenable, en un comunicado. "En ambos casos, es necesario convencer al objetivo para que abra un archivo especialmente diseñado desde un servidor controlado por el atacante. En lo que difieren es en que el atacante necesitaría estar autenticado en el sistema y tener acceso local a él para explotar CVE-2024-38226". Como lo reveló Elastic Security Labs el mes pasado, se dice que CVE-2024-38217, también conocido como LNK Stomping, ha sido objeto de abuso en la naturaleza ya en febrero de 2018. CVE-2024-43491, por otro lado, destaca por el hecho de que es similar al ataque de degradación que la empresa de ciberseguridad SafeBreach detalló a principios del mes pasado. "Microsoft es consciente de una vulnerabilidad en Servicing Stack que ha revertido las correcciones de algunas vulnerabilidades que afectan a los componentes opcionales en Windows 10, versión 1507 (versión inicial lanzada en julio de 2015)", señaló Redmond. Esto significa que un atacante podría explotar estas vulnerabilidades previamente mitigadas en los sistemas Windows 10, versión 1507 (Windows 10 Enterprise 2015 LTSB y Windows 10 IoT Enterprise 2015 LTSB) que hayan instalado la actualización de seguridad de Windows publicada el 12 de marzo de 2024: KB5035858 (OS Build 10240.20526) u otras actualizaciones publicadas hasta agosto de 2024. El fabricante dijo además que se puede resolver instalando la actualización de la pila de servicio de septiembre de 2024 (SSU KB5043936) y la actualización de seguridad de Windows de septiembre de 2024 (KB5043083), en ese orden. También vale la pena señalar que la evaluación de "Explotación detectada" de Microsoft para CVE-2024-43491 surge de la reversión de correcciones que abordaban vulnerabilidades que afectaban a algunos componentes opcionales para Windows 10 (versión 1507) que habían sido explotados previamente. "No se ha detectado ninguna explotación de CVE-2024-43491", dijo la empresa. "Además, el equipo de productos Windows de Microsoft descubrió este problema y no hemos visto evidencia de que sea de conocimiento público". Vulnerabilidad crítica en Adobe Reader Se debe actualizar Adobe Acrobat Reader ya que se ha publicado una vulnerabilidad Zero-Day de junto a un exploit de prueba de concepto. La falla se rastrea como CVE-2024-41869 y podría provocar la ejecución remota de código al abrir un documento PDF especialmente diseñado. Un error de "uso después de la liberación" ocurre cuando un programa intenta acceder a datos en una ubicación de memoria que ya ha sido liberada o liberada. Esto provoca un comportamiento inesperado, como que un programa falle o se congele. Sin embargo, si un actor de amenazas puede almacenar código malicioso en esa ubicación de la memoria y el programa accede posteriormente a ella, podría usarse para ejecutar código malicioso en el dispositivo objetivo. El día cero de Acrobat Reader fue descubierto en junio a través de EXPMON, una plataforma basada en sandbox creada por el investigador de ciberseguridad Haifei Li para detectar exploits avanzados como los de día cero o exploits difíciles de detectar (desconocidos). La falla ahora se ha solucionado en las últimas versiones de Acrobat Reader y Adobe Acrobat. Parches de software de otros proveedores Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas: Adobe Arm Bosch Broadcom (incluye VMware) Cisco Citrix CODESYS D-Link Dell Drupal F5 Fortinet Fortra GitLab Google Android and Pixel Google Chrome Google Cloud Google Wear OS Hitachi Energy HP HP Enterprise (incluye Aruba Networks) IBM Intel Ivanti Lenovo Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, y Ubuntu MediaTek Mitsubishi Electric MongoDB Mozilla Firefox, Firefox ESR, Focus and Thunderbird NVIDIA ownCloud Palo Alto Networks Progress Software QNAP Qualcomm Rockwell Automation Samsung SAP Schneider Electric Siemens SolarWinds SonicWall Spring Framework Synology Veeam Zimbra Zoho ManageEngine ServiceDesk Plus, SupportCenter Plus, and ServiceDesk Plus MSP Zoom Zyxel

  • Ataque RAMBO: roba datos usando RAM en computadoras aisladas
    por SeguInfo el septiembre 11, 2024 a las 12:24 pm

    Un novedoso ataque de canal lateral denominado "RAMBO" (Radiation of Air-gapped Memory Bus for Offense) genera radiación electromagnética desde la RAM de un dispositivo para enviar datos desde computadoras aisladas. Los sistemas aislados (air-gap), que normalmente se utilizan en entornos de misión crítica con requisitos de seguridad excepcionalmente altos, como gobiernos, sistemas de armas y centrales nucleares, están aislados de la Internet pública y otras redes para evitar infecciones de malware y robo de datos. Aunque estos sistemas no están conectados a una red más amplia, aún pueden ser infectados por empleados deshonestos que introducen malware a través de medios físicos (unidades USB) o ataques sofisticados a la cadena de suministro llevados a cabo por actores estatales. El malware puede operar sigilosamente para modular los componentes de RAM del sistema aislado de manera que permita la transferencia de secretos desde la computadora a un destinatario cercano. El último método que entra en esta categoría de ataques proviene de investigadores universitarios israelíes dirigidos por Mordechai Guri, un experto en canales de ataque encubiertos que anteriormente desarrolló métodos para filtrar datos utilizando LED de tarjetas de red, señales de RF de unidades USB, cables SATA y fuentes de alimentación. Cómo funciona el ataque RAMBO Para llevar a cabo el ataque RAMBO, un atacante coloca malware en la computadora aislada para recopilar datos confidenciales y prepararlos para la transmisión. Transmite los datos manipulando patrones de acceso a la memoria (operaciones de lectura/escritura en el bus de memoria) para generar emisiones electromagnéticas controladas desde la RAM del dispositivo. Estas emisiones son esencialmente un subproducto del malware que cambia rápidamente las señales eléctricas (ON/OFF "OOK") dentro de la RAM, un proceso que los productos de seguridad no monitorean activamente y no se puede marcar ni detener. Los datos emitidos se codifican en "1" y "0", representados en las señales de radio como "encendido" y "apagado". Los investigadores optaron por utilizar el código Manchester para mejorar la detección de errores y garantizar la sincronización de la señal, reduciendo las posibilidades de interpretaciones incorrectas por parte del receptor. El atacante puede utilizar una radio definida por software (SDR) relativamente económica con una antena para interceptar las emisiones electromagnéticas moduladas y convertirlas nuevamente en información binaria. Rendimiento y limitaciones El ataque RAMBO alcanza velocidades de transferencia de datos de hasta 1.000 bits por segundo (bps), lo que equivale a 128 bytes por segundo, o 0,125 KB/s. A este ritmo, se necesitarían alrededor de 2,2 horas para filtrar 1 megabyte de datos, por lo que RAMBO es más adecuado para robar pequeñas cantidades de datos como texto, pulsaciones de teclas y archivos pequeños. Los investigadores descubrieron que el registro de teclas se puede realizar en tiempo real al probar el ataque. Sin embargo, robar una contraseña tarda entre 0,1 y 1,28 segundos, una clave RSA de 4096 bits tarda entre 4 y 42 segundos y una imagen pequeña entre 25 y 250 segundos, dependiendo de la velocidad de transmisión. Las transmisiones rápidas están limitadas a un alcance máximo de 300 cm (10 pies), con una tasa de error de bits del 2 al 4%. Las transmisiones de velocidad media aumentan la distancia a 450 cm (15 pies) para la misma tasa de error. Finalmente, las transmisiones lentas con tasas de error casi nulas pueden funcionar de manera confiable en distancias de hasta 7 metros (23 pies). Los investigadores también experimentaron con transmisiones de hasta 10.000 bps, pero descubrieron que cualquier cosa que supere los 5.000 bps da como resultado una relación señal-ruido muy baja para una transmisión de datos efectiva. Deteniendo a RAMBO El documento técnico publicado en Arxiv proporciona varias recomendaciones de mitigación para mitigar el ataque RAMBO y ataques similares de canales encubiertos electromagnéticos, pero todos introducen carga adicional. Las recomendaciones incluyen restricciones de zona estrictas para mejorar la defensa física, interferencia de RAM para interrumpir los canales encubiertos en la fuente, interferencia de EM externa para interrumpir las señales de radio y recintos de Faraday para impedir que los sistemas con espacios de aire emanen radiación EM externamente. Los investigadores probaron RAMBO contra procesos sensibles que se ejecutan dentro de máquinas virtuales y descubrieron que seguía siendo eficaz. Sin embargo, como la memoria del host es propensa a diversas interacciones con el sistema operativo del host y otras máquinas virtuales, es probable que los ataques se interrumpan rápidamente. Fuente: BC

  • Avis sufre ciberataque y expone información personal de más de 400.000 clientes
    por SeguInfo el septiembre 10, 2024 a las 8:55 pm

    AVIS, la reconocida empresa de alquiler de automóviles con una fuerte presencia en aeropuertos, ha sufrido un importante ciberataque. Más de 400.000 clientes han visto comprometida su información personal tras un incidente que tuvo lugar a principios de agosto. La empresa, que forma parte del Avis Budget Group y opera en más de 180 países, reveló el incidente al público el lunes. El ciberataque se produjo entre el 3 y el 6 de agosto, aunque Avis fue consciente del problema por primera vez el 5 de agosto, un día antes de que el ataque finalizara. Tras detectar la vulnerabilidad, la compañía tomó medidas inmediatas para bloquear el acceso no autorizado a sus sistemas y contrató a consultores de seguridad externos para investigar el incidente. Sin embargo, para ese momento, los ciberdelincuentes ya habían accedido a una cantidad significativa de información sensible de los clientes. Los datos expuestos incluían nombres completos, fechas de nacimiento, direcciones de correo electrónico, números de teléfono, detalles de tarjetas de crédito y, de particular preocupación, números de permisos de conducir. Esta información es suficiente para poner a los clientes en riesgo de robo de identidad o fraude financiero. Aunque la violación de datos afectó a clientes de todo Estados Unidos, los residentes de Texas y Maine han sido los más afectados por el ciberataque. No obstante, la cifra global de afectados superó rápidamente los 400.000 a medida que la investigación interna de Avis avanzaba y se revelaban más detalles sobre el ataque. Avis, hasta el momento, no ha proporcionado detalles específicos sobre cómo los ciberdelincuentes lograron acceder a la información personal de sus clientes. Sin embargo, la pregunta central que se plantean muchos expertos en ciberseguridad y afectados es como una empresa de la envergadura de Avis, que opera en más de 10.000 ubicaciones a nivel mundial y tuvo ingresos por 12.000 millones de dólares en 2023, permitió que esta información tan sensible quedara vulnerable. Los datos expuestos incluyen información crítica como detalles de tarjetas de crédito y licencias de conducir, lo que ha llevado a especulaciones sobre posibles fallos en las medidas de seguridad de la empresa. Algunos analistas sugieren que podría haber habido una mala gestión de los sistemas de almacenamiento de datos o una falta de actualizaciones en los sistemas de seguridad que dejaron una brecha abierta para los atacantes. La empresa ha evitado proporcionar respuestas concretas sobre por qué la información se encontraba almacenada de manera tan vulnerable, pero se ha comprometido a investigar el asunto a fondo y mejorar sus protocolos de seguridad para evitar futuras violaciones. Tras descubrir la violación de seguridad, Avis notificó a los clientes afectados sobre el incidente la semana pasada y recomendó que tomaran una serie de contramedidas para protegerse del robo de identidad y el fraude. Estas medidas incluyen la supervisión de sus cuentas bancarias, el cambio de contraseñas en cuentas relacionadas con sus transacciones en Avis, y la posibilidad de colocar alertas de fraude en sus informes crediticios. Asimismo, Avis ha ofrecido a los clientes afectados servicios gratuitos de monitoreo de crédito, lo cual permitirá a las personas detectar cualquier actividad inusual en sus cuentas financieras. Sin embargo, muchos clientes se han mostrado frustrados y preocupados por las posibles consecuencias a largo plazo de esta violación, ya que la información expuesta puede ser utilizada por ciberdelincuentes en un futuro, incluso años después de ocurrido el ataque. Fuente: Bitlifemedia

  • Windows Downdate: ataques de degradación reintroducen vulnerabilidades antiguas en Windows
    por SeguInfo el septiembre 10, 2024 a las 12:30 pm

    El investigador de seguridad de SafeBreach, Alon Leviev (aka _0xDeku/), lanzó su herramienta Windows Downdate, que se puede utilizar para ataques de degradación que reintroducen vulnerabilidades antiguas en sistemas Windows 10, Windows 11 y Windows Server actualizados. En tales ataques, los actores de amenazas obligan a los dispositivos objetivo actualizados a volver a versiones de software más antiguas, reintroduciendo así vulnerabilidades de seguridad que pueden explotarse para comprometer el sistema. Windows Downdate está disponible como un programa de código abierto basado en Python y un ejecutable de Windows precompilado que puede ayudar a degradar los componentes del sistema Windows 10, Windows 11 y Windows Server. Leviev también ha compartido múltiples ejemplos de uso que permiten degradar el hipervisor Hyper-V (a una versión de dos años), el kernel de Windows, el controlador NTFS y el controlador Filter Manager (a sus versiones base), y otros componentes y parches de seguridad aplicados previamente. "Puede usarse para degradar y exponer vulnerabilidades antiguas originadas en DLL, controladores, el kernel NT, el Secure Kernel, el hipervisor, los trustlets de IUM y más", explicó el investigador de seguridad de SafeBreach, Alon Leviev. "Aparte de las degradaciones personalizadas, Windows Downdate proporciona ejemplos de uso fáciles de usar para revertir parches para CVE-2021-27090, CVE-2022-34709, CVE-2023-21768 y PPLFault, así como ejemplos para degradar el hipervisor, el kernel, y evitando los bloqueos UEFI de VBS." Como dijo Leviev en Black Hat 2024 cuando reveló el ataque de degradación de Windows Downdate, que explota las vulnerabilidades CVE-2024-21302 y CVE-2024-38202, el uso de esta herramienta es indetectable porque no puede bloquearse mediante detección y respuesta de endpoints (EDR). Windows Update sigue informando que el sistema de destino está actualizado (a pesar de haber sido degradado). "Descubrí varias formas de desactivar la seguridad basada en virtualización (VBS) de Windows, incluidas sus características como Credential Guard e integridad del código protegido por hipervisor (HVCI), incluso cuando se aplica con bloqueos UEFI. Hasta donde yo sé, esta es la primera vez que los bloqueos UEFI VBS se han evitado sin acceso físico", dijo Leviev. Como resultado, se puede hacer que una máquina con Windows completamente parcheada sea susceptible a vulnerabilidades pasadas, convirtiendo las vulnerabilidades reparadas en días cero y haciendo que el término "completamente parcheada" carezca de significado en cualquier máquina con Windows. Si bien Microsoft lanzó una actualización de seguridad (KB5041773) para corregir la falla de escalamiento de privilegios del modo kernel seguro de Windows CVE-2024-21302 el 7 de agosto, la compañía aún tiene que proporcionar un parche para CVE-2024-38202, una vulnerabilidad de elevación de privilegios de Windows Update Stack. Hasta que se publique una actualización de seguridad, Redmond aconseja a los clientes que implementen las recomendaciones compartidas en el aviso de seguridad publicado a principios de este mes para ayudar a protegerse contra los ataques de degradación de Windows Downdate. Las medidas de mitigación para este problema incluyen la configuración de "Auditar acceso a objetos" para monitorear los intentos de acceso a archivos, restringir las operaciones de actualización y restauración, usar listas de control de acceso para limitar el acceso a archivos y auditar privilegios para identificar intentos de explotar esta vulnerabilidad. Fuente: BC

WeLiveSecurity WeLiveSecurity