Microsoft esperó 6 meses para parchear una vulnerabilidad explotada activamente desde el administrador hasta el registro del kernel.

La seguridad de la información en pocas palabras Los investigadores de ciberseguridad dijeron a Microsoft que los notorios piratas informáticos norcoreanos Lazarus Group descubrieron el «santo grial» de las vulnerabilidades de rootkit en Windows el año pasado, pero Redmond tardó seis meses en solucionar el problema.

Investigadores de Avast Él dijo En agosto del año pasado, notificaron a Microsoft sobre un peligroso exploit de administración al kernel en un controlador asociado con AppLocker, una implementación de programas de lista blanca integrados en Windows.

La vulnerabilidad, que se encontró en el despachador de control de E/S appid.sys, significa que se puede acceder a él desde el espacio de usuario mientras está conectado al kernel de Windows.

«Un atacante podría abusar de un espacio de usuario para engañar al núcleo y llamar a un puntero arbitrario», dijo Avast. «Esto presenta un escenario de explotación ideal, permitiendo al atacante llamar a una función del kernel arbitraria con un alto grado de control sobre el primer argumento».

Avast afirma que el Grupo Lazarus utilizó la vulnerabilidad para obtener acceso primitivo de lectura/escritura al kernel de Windows e instalar su rootkit FudModule, pero la visión de Microsoft de cuán peligrosos podrían ser los exploits administrativos para el kernel significó que no priorizó el problema y esperó hasta febrero. parche el martes Para solucionar el problema, que está marcado como CVE-2024-21338con una puntuación CVSS de 8/10.

«Algunos componentes y configuraciones de Windows no están destinados explícitamente a proporcionar límites de seguridad sólidos», afirma Microsoft en sus Estándares de servicios de seguridad. página. Lo que eso significa, dijo Avast, es que «Microsoft se reserva el derecho de parchar las vulnerabilidades del oficial al kernel a su entera discreción».

Con respecto a los problemas relacionados con el administrador al kernel, Microsoft dijo que los procesos administrativos y los usuarios son parte de la base informática confiable de Windows y, por lo tanto, «no son sólidos». [sic] aislado de los límites del núcleo”.

READ  Emily in Paris Season 2 anuncia una actualización de la transmisión

Desafortunadamente, en este caso, esto significó que el Grupo Lazarus pudo jugar con los kernels de las víctimas durante meses sin que Microsoft hiciera nada.

Incluso cuando Microsoft parchó la vulnerabilidad Decía No reveló que estaba bajo explotación activa cuando lanzó el parche. Esta revelación se produjo cuando Avast publicó recientemente su informe sobre este asunto, lo que llevó a Microsoft a actualizar su boletín de parches.

Le hemos pedido una aclaración a Microsoft y le informaremos si la recibimos.

Las vulnerabilidades críticas de esta semana: mejor actualización de iOS

Las principales vulnerabilidades de esta semana se pueden encontrar en una larga lista de actualizaciones de seguridad lanzadas por Apple para sus versiones iOS y iPadOS 17.4 Y 16.7.6la primera es la última versión y la segunda es un sistema operativo más antiguo que todavía se utiliza en algunos dispositivos más antiguos.

No todas las vulnerabilidades de la lista son críticas, pero muchas sí lo son, por ejemplo CVE-2024-23277lo que permitiría a un atacante imitar un teclado e ingresar pulsaciones de teclas, CVE-2024-23288un error de escalada de privilegios y CVE-2024-23243, que cubrimos anteriormente.

Tenga en cuenta que dos de los problemas que Apple corrigió esta semana: CVE-2024-23225 Y CVE-2024-23296 – En explotación activa, según CISA.

manzana también Liberado Actualizaciones de seguridad para todos sus otros sistemas operativos y Safari, hoy, así que obtenga el parche.

en otro lugar:

  • CVSS 10.0 – Contrarrestar el extremismo violento múltiple: Los controladores de acceso Linear eMerge serie E3 tienen una serie de fallas que podrían provocar que un atacante remoto obtenga acceso a todo el sistema.
  • CVSS 9.1- CVE-2024-2197: Chirp, también un producto de gestión de acceso, almacena incorrectamente las credenciales en su aplicación Chirp Access.
  • CVSS 8.2- CVE-2024-20337: Cisco Secure Client no valida adecuadamente la entrada del usuario durante el proceso de autenticación SAML, lo que permite al atacante ejecutar código arbitrario.
READ  Los pedidos anticipados de OnePlus Pad comienzan el 10 de abril con 'Impresionante regalo que le encantará'

La NSA comparte sus consejos para facilitar la seguridad en la nube

La computación en la nube puede ser excelente… o puede crear serios riesgos de seguridad, razón por la cual la Agencia de Seguridad Nacional y la Agencia de Seguridad de Infraestructura y Ciberseguridad se unieron para compartir diez consejos sobre cómo mitigar los riesgos.

Entre los consejos se encuentran algunos que usted esperaría, como seguir prácticas adecuadas de administración de identidad y acceso, administrar registros, administrar adecuadamente claves de acceso y similares. Otros… bueno, todavía son bastante obvios, pero es posible que sea necesario señalarlos.

Esto incluye segmentar sus redes, implementar cifrado en entornos de nube, defender adecuadamente los entornos de CI/CD y recordar considerar las complejidades que presentan los entornos híbridos y de múltiples nubes.

«El uso de la nube puede hacer que la TI sea más eficiente y más segura, pero sólo si se implementa correctamente», dijo Rob Joyce, director de ciberseguridad de la Agencia de Seguridad Nacional. «Esta serie proporciona consejos esenciales que todo cliente de la nube debe seguir para asegurarse de no convertirse en una víctima».

Puede encontrar la lista completa de consejos, cada uno de los cuales hace referencia a un informe independiente y a consejos de implementación. aquí.

La Casa Blanca y grupos OSS brindan capacitación en ciberseguridad a mujeres jordanas

En honor al Mes de la Historia de la Mujer, el Consejo de Seguridad Nacional de la Casa Blanca, la Fundación de Certificación y Capacitación de Linux, la Fundación de Seguridad de Código Abierto (OpenSSF) y la Fundación de Computación Nativa en la Nube (CNCF) se han unido para ayudar a las mujeres jordanas a capacitarse para unirse al campo de la ciberseguridad. fuerza laboral con un nuevo programa piloto.

READ  Las computadoras cuánticas son como un caleidoscopio: por qué metáforas inusuales ayudan a explicar la ciencia y la tecnología

La Fundación Linux dijo que la iniciativa brindará a 250 mujeres jordanas acceso a más de 100 cursos de seguridad gratuitos y alrededor de 25 certificaciones, incluidas aquellas relacionadas con Kubernetes y la seguridad nativa de la nube. Registro.

«A medida que la ciberseguridad continúa enfrentando desafíos para encontrar suficientes trabajadores calificados, este programa ayudará a desarrollar capacidades en la fuerza laboral», OpenSSF Él dijo.

Según la Agencia de Estados Unidos para el Desarrollo Internacional, menos Más de una quinta parte de las mujeres jordanas forman parte de la fuerza laboral y las normas sociales del país generalmente disuaden a las mujeres de trabajar fuera del hogar.

«Al proporcionar certificaciones de seguridad complementarias, nuestro objetivo es derribar barreras y crear oportunidades para las mujeres en Jordania, fomentando una fuerza laboral más inclusiva y diversa», dijo OpenSSF.

Este anuncio llega en momentos en que Estados Unidos y Jordania mantuvieron su segundo diálogo digital conferenciaLo que incluyó una discusión sobre la mejora de las habilidades de la fuerza laboral de Jordania, especialmente las mujeres, para seguir carreras en ciberseguridad.

Omkhar Arasaratnam, Director General de OpenSSF, nos dijo que si el programa tiene éxito, podrían surgir iniciativas similares en otros países. ®

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *