¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

DOUG  Parches en abundancia, puertas de garaje conectadas y mala conducta en la placa base.

Todo eso y más en el podcast Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Pablo, ¿cómo estás?

PATO  Todavía estoy tratando de entender lo que dijiste "puertas de garaje conectadas", Doug.

¡Porque esto es conectividad en una escala completamente nueva!

DOUG  ¡Oh si!

¿Qué podría salir mal?

Entraremos en eso…

Nos gusta comenzar el programa con el segmento Esta semana en la historia de la tecnología.

Tenemos muchas opciones… hoy vamos a girar la rueda.

¿Qué pasó esta semana?

El primer hombre en el espacio, Yuri Gagarin, en 1961; Ronald Wayne deja Apple y vende sus acciones por $ 800 en 1976, probablemente un poco de arrepentimiento allí; la germinación de COBOL en 1959; el primer lanzamiento del transbordador espacial en 1981; la misión de rescate del Apolo 13 en 1970; Metallica demanda a Napster en 2000; y la primera Feria de Computación de la Costa Oeste en 1977.

Avancemos y hagamos girar la rueda aquí, y veamos dónde aterrizamos.

[FX: RUEDA DE LA FORTUNA]

PATO  [ANIMANDO LA RUEDA] ¡COBOL, COBOL, COBOL!

[FX: LA RUEDA DISMINUYE Y SE DETIENE]

DOUG  ¡Y tenemos COBOL!

Felicitaciones, Paul, buen trabajo.

Esta semana, en 1959, hubo una reunión, y en la reunión estuvieron algunos pioneros informáticos muy importantes e influyentes que discutieron la creación de un lenguaje de programación común y amigable para los negocios.

La inigualable Grace Hopper sugirió que el Departamento de Defensa de EE. UU. financie dicho lenguaje.

Y, afortunadamente, un director de informática del DOD estuvo en la misma reunión, le gustó la idea y accedió a financiarla.

Y con eso nació COBOL, Paul.

PATO  ¡Sí!

COBOL: lenguaje común orientado a los negocios.

Y salió de una cosa llamada CODASYL.

[RISAS} Ese es el acrónimo para comenzar/finalizar todos los acrónimos: La Conferencia/Comité de Lenguajes de Sistemas de Datos.

Pero fue una idea intrigante que, por supuesto, se ha completado varias veces, sobre todo con JavaScript en el navegador.

Un lenguaje como FORTRAN (TRADUCCIÓN DE FÓRMULAS) era muy popular para la computación científica en ese momento.

Pero cada empresa, cada compilador, cada pequeño grupo de programadores tenía su propia versión de FORTRAN, que era mejor que la de los demás.

Y la idea de COBOL era: "¿No sería bueno si pudiera escribir el código y luego pudiera llevarlo a cualquier compilador compatible en cualquier sistema y el código, dentro de los límites del sistema, se comportaría de la misma manera?" ?”

Así que era una forma de proporcionar un lenguaje común y orientado a los negocios... exactamente como sugiere el nombre.

DOUG  ¡Exactamente!

¡Bien llamado!

Muy bien, hemos recorrido un largo camino (buen trabajo, todos), incluso hasta el más reciente Martes de Parches.

Tenemos un día cero; tenemos dos errores curiosos; y tenemos alrededor de 90 y algunos otros errores.

Pero vayamos a lo bueno, Paul...

Martes de parches: Microsoft corrige un día cero y dos errores curiosos que eliminan la seguridad del arranque seguro

PATO  Sí, simplemente golpeemos en la cabeza el día cero, que es CVE-2023-28252, si quieres buscarlo.

Porque ese es uno que los delincuentes obviamente ya saben cómo explotar.

Es un error en una parte de Windows en la que hemos visto errores antes, a saber, el controlador del sistema de archivos de registro común.

Y ese es un controlador del sistema que permite que cualquier servicio o aplicación en su dispositivo inicie sesión en el sistema (supuestamente) de una manera controlada y segura.

Escribes tus bitácoras… no se pierden; no todos inventa su propia forma de hacerlo; obtienen la marca de tiempo adecuada; se graban, incluso si hay mucha carga; etc.

Desafortunadamente, el controlador que procesa estos registros... básicamente está haciendo su trabajo bajo el SYSTEM cuenta.

Entonces, si hay un error, cuando registra algo de una manera que no debería suceder, generalmente lo que sucede es que tiene lo que se llama una Elevación de privilegios o EoP.

Y alguien que hace un momento podría haber sido solo un GUEST el usuario de repente se está ejecutando bajo el SYSTEM cuenta, que básicamente les da un control total sobre el sistema.

Pueden cargar y descargar otros controladores; pueden acceder a casi todos los archivos; pueden espiar otros programas; pueden iniciar y detener procesos; etcétera.

Ese es el día 0.

Solo se calificó Importante: por Microsoft... Supongo que porque no es una ejecución remota de código, por lo que no puede ser utilizado por un ladrón para piratear su sistema en primer lugar.

Pero una vez que están dentro, este error podría, en teoría (y en la práctica, dado que es un día O), ser utilizado por un ladrón que ya está dentro para obtener lo que efectivamente son superpoderes en su computadora.

DOUG  Y luego, si quitas la seguridad del arranque seguro, ¿en qué se convierte, Paul?

Sólo…

PATO  ¿"Bota", supongo?

Sí, estos son dos errores que me intrigaron lo suficiente como para querer centrarme en ellos en el artículo sobre Naked Security. (Si quieres saber todo sobre todos los parches, ve a noticias.sophos.com y lea el informe de SophosLabs sobre estos errores).

No leeré los números, están en el artículo... ambos están encabezados con las siguientes palabras: Vulnerabilidad de omisión de la función de seguridad del administrador de arranque de Windows.

Y leeré cómo lo describe Microsoft:

Un atacante que explotara con éxito estas vulnerabilidades podría eludir el Arranque seguro para ejecutar código no autorizado.

Para tener éxito, el atacante necesitaría acceso físico o privilegios de administrador...

… que me imagino que podrían superar el error del que hablamos al principio. [RISAS]

DOUG  Exacto, justo estaba pensando eso!

PATO  Pero lo de "Oigan, muchachos, no se preocupen, necesitarían acceso físico a su computadora" es, en mi opinión, un poco engañoso, Doug.

Debido a que la idea de Arranque seguro está destinada a protegerlo incluso contra las personas que obtienen acceso físico a su computadora, porque detiene cosas como el llamado ataque del "limpiador malvado"...

…que es donde acabas de dejar tu computadora portátil en tu habitación de hotel durante 20 minutos mientras tomas el desayuno.

Los limpiadores entran en las habitaciones de hotel todos los días; se supone que deben estar allí.

Su computadora portátil está allí; está cerrado; piensas: "No conocen la contraseña, por lo que no pueden iniciar sesión".

Pero, ¿y si pudieran abrir la tapa, insertar una llave USB y encenderla mientras completan la limpieza de su habitación?

…por lo que no necesitan dedicar tiempo a la piratería, porque todo está automatizado.

Cierre la computadora portátil; retire la llave USB.

¿Qué pasa si han implantado algún malware?

Eso es lo que se conoce en la jerga como bootkits.

No es un rootkit, incluso más bajo que eso: un kit BOOT.

Algo que realmente influye en su computadora entre el momento en que se ejecuta el firmware y el inicio de Windows.

En otras palabras, subvierte por completo los fundamentos sobre los que Windows mismo basa la seguridad que viene a continuación.

Por ejemplo, ¿qué pasaría si hubiera registrado las pulsaciones de teclas de BitLocker y ahora supiera la contraseña para desbloquear todo el equipo la próxima vez?

Y la idea general de Arranque seguro es que dice: "Bueno, cualquier cosa que no esté firmada digitalmente por una clave precargada en su computadora (en lo que se llama Módulo de plataforma segura), cualquier código que alguien introduzca, ya sea un limpiador malvado o un administrador de TI bien intencionado, simplemente no funcionará.

Aunque Microsoft solo califica estos errores Importante: Debido a que no son sus exploits tradicionales de ejecución remota de código, si fuera un usuario de Windows de controlador diario, creo que parchearía, aunque solo sea por esos solos.

DOUG  Entonces, ¡repárate ahora!

Puede leer acerca de estos elementos específicos en Seguridad desnuda, y un artículo más amplio sobre Novedades de Sophos que detalla los 97 CVE en total que se han parcheado.

Y sigamos en el tren del parche, y hablar de manzana, incluyendo algunos días cero, Paul.

Apple emite parches de emergencia para exploits de día cero al estilo spyware: ¡actualice ahora!

PATO  De hecho, estos fueron los días cero que fueron las únicas cosas parcheadas en esta actualización en particular lanzada por Apple.

Como siempre, Apple no dice de antemano lo que va a hacer, y no te da ninguna advertencia, y no dice quién obtendrá qué cuando...

…justo al comienzo del fin de semana de Pascua, obtuvimos estos parches que cubrían un día cero de WebKit.

Entonces, en otras palabras, simplemente mirar un sitio web con trampas explosivas podría obtener la ejecución remota del código, * y * había un error en el kernel que significaba que una vez que había pwned una aplicación, podía entonces pwn el kernel y esencialmente tomar el control todo el dispositivo.

Lo que básicamente huele a, “Oye, navega a mi encantador sitio web. Oh querido. Ahora tengo spyware en todo tu teléfono. Y no solo me he apoderado de su navegador, me he apoderado de todo”.

Y al más puro estilo de Apple... al principio, hubo actualizaciones contra ambos errores para macOS 13 Ventura (la última versión de macOS) y para iOS y iPad OS 16.

Hubo correcciones parciales (hubo correcciones de WebKit) para las dos versiones anteriores de macOS, pero no hubo parches para la vulnerabilidad a nivel del kernel.

Y no había nada en absoluto para iOS y iPadOS 15.

¿Significa esto que las versiones anteriores de macOS no tienen el error del kernel?

¿Que tienen el error del kernel, pero aún no han sido reparados?

¿Es iOS 15 inmune o necesita un parche pero simplemente no lo dicen?

Y luego, he aquí, después del fin de semana de Pascua, [RISAS] de repente tres actualizaciones más salió que llenó todas las piezas faltantes.

Los parches de spyware de día cero de Apple se extienden para cubrir Mac, iPhones y iPads más antiguos

De hecho, resultó que todos los iOS y iPadOS compatibles (que son las versiones 15 y 16) y todos los macOS compatibles (que son las versiones 11, 12 y 13) contenían estos dos errores.

Y ahora todos tienen parches contra los dos.

Dado que este error aparentemente fue encontrado por una combinación del Laboratorio de Seguridad de Amnistía Internacional y el Equipo de Respuesta a Amenazas de Google...

…bueno, probablemente puedas adivinar que se ha utilizado para spyware en la vida real.

Por lo tanto, incluso si no cree que es el tipo de persona que probablemente esté en riesgo de ese tipo de atacante, lo que significa es que estos errores no solo existen, sino que claramente parecen funcionar bastante bien en la naturaleza. .

Entonces, si no ha realizado una verificación de actualización en su Mac o su iDevice últimamente, hágalo.

Por si acaso te lo perdiste.

DOUG  OK!

Como sabemos, las empresas de puertas de garaje conectadas codifican estas puertas de garaje teniendo en cuenta la ciberseguridad.

Entonces es impactante que algo como esto ha pasado, Pablo…

¡Hackea y entra! Las puertas de garaje "seguras" que cualquiera puede abrir desde cualquier lugar: lo que necesita saber

PATO  Sí.

En este caso, Doug (y creo que es mejor decir el nombre de la marca: es Nexx), parecen haber introducido una forma especial de ciberseguridad.

¡Autenticación de factor cero, Doug!

Ahí es donde tomas algo que no está destinado a hacerse público (a diferencia de una dirección de correo electrónico o un identificador de Twitter, donde quieres que la gente lo sepa), pero que en realidad no es un secreto.

Entonces, un ejemplo podría ser la dirección MAC de su tarjeta inalámbrica.

En este caso, le habían dado a cada uno de sus dispositivos una identificación de dispositivo presumiblemente única...

…y si sabía cuál era la identificación de cualquier dispositivo, eso contaba básicamente como nombre de usuario, contraseña y código de inicio de sesión, todo de una sola vez.

DOUG  [GEMIDO] Eso es conveniente...

PATO  Aún más conveniente, Doug: hay una contraseña codificada en el firmware de cada dispositivo.

DOUG  ¡Ahí vamos! [RISAS]

PATO  [RISAS] Una vez que alguien sabe cuál es esa contraseña mágica, le permite iniciar sesión en el sistema de mensajería en la nube que utilizan estos dispositivos en todo el mundo.

Lo que encontró el investigador que hizo esto, porque tenía uno de estos dispositivos…

… descubrió que mientras observaba su propio tráfico, que tal vez esperaría ver, también obtuvo el de todos los demás, incluidas las identificaciones de sus dispositivos.

DOUG  [GEMIDO MÁS GRANDE] ¡Oh, Dios mío!

PATO  En caso de que la identificación del dispositivo no fuera suficiente, también incluyen su dirección de correo electrónico, su inicial y su apellido en los datos JSON.

En caso de que no supieras ya cómo acechar a la persona hasta donde vivía.

Entonces, podrías ir a su casa y abrir su garaje y luego robar sus cosas. (Oh, por cierto, esto también parece aplicarse a sus sistemas de alarma para el hogar, por lo que podría apagar la alarma antes de abrir la puerta del garaje).

O, si tuvieras malas intenciones, podrías simplemente abrir al azar las puertas del garaje de las personas dondequiera que vivieran, porque aparentemente eso es terriblemente divertido. doug

DOUG  [IRÓNICO] Lo mínimo que este investigador podría haber hecho habría sido alertar a la empresa, digamos, hace más de tres meses, y darles tiempo para arreglar esto.

PATO  Sí, eso es lo menos que podría haber hecho.

Que es exactamente lo que hizo.

Y finalmente es por eso que, varios meses después (creo que fue en enero cuando los contactó por primera vez, y simplemente no pudo hacer que avanzaran en esto)...

… finalmente dijo: “Voy a hacer público esto”.

Para respaldarlo, la CISA [Agencia de Seguridad de Infraestructura y Ciberseguridad] de EE. UU. en realidad emitió una especie de APB sobre este dicho: "Por cierto, para que lo sepas, esta empresa no está respondiendo, y realmente no sé qué aconsejarte.

Bueno, mi consejo fue... considere usar buenas claves físicas antiguas; no use la aplicación.

Para ser justos, aunque el investigador describió la naturaleza de los errores, como se los he descrito aquí, en realidad no presentó una prueba de concepto.

No era como si él lo hiciera súper fácil para todos.

Pero creo que sintió que casi tenía el deber de cuidar a las personas que tenían este producto para saber que tal vez ellos también necesitaban apoyarse en el proveedor.

DOUG  Muy bien, esta es una historia clásica de "estaremos atentos a eso".

Y un gran recordatorio al final del artículo... usted escribe, como dice el viejo chiste, "La S en IoT significa Seguridad", que es en gran medida el caso.

PATO  Sí, es hora de que pongamos la S en IoT, ¿no?

No sé cuántas veces estaremos contando historias como esta sobre dispositivos IoT… cada vez que lo hagamos, esperamos que sea la última vez, ¿no?

Contraseñas codificadas.

Los ataques de repetición son posibles, porque no hay unicidad criptográfica en cada solicitud.

Filtrar datos de otras personas.

Incluir cosas innecesarias en solicitudes y respuestas... si tiene la identificación del dispositivo y está tratando de identificar el dispositivo, ¡no necesita decirle al dispositivo la dirección de correo electrónico del propietario cada vez que quiera que se abra la puerta!

¡Simplemente no es necesario, y si no lo das, entonces no puede filtrarse!

[IRÓNICO] Pero aparte de eso, Doug, no me convence demasiado.

DOUG  [RISAS] Está bien, muy bien.

Nuestra última historia del día, pero ciertamente no la menos importante.

El fabricante de placas base MSI está teniendo algunos certificados dolores de cabeza de firmware últimamente.

¡Atención jugadores! El fabricante de placas base MSI admite la violación y emite una alerta de "firmware no autorizado"

PATO  Sí, esta es una historia bastante terrible.

Supuestamente, un equipo de ransomware llamado Money Message ha violado a MSI, los fabricantes de placas base. (Son muy populares entre los jugadores porque son placas base muy modificables).

Los delincuentes afirman tener grandes cantidades de datos que violarán a menos que obtengan el dinero.

No tienen los datos reales en su sitio de fuga (al menos no los tenían cuando miré anoche, que fue justo antes de que expirara la fecha límite), pero afirman que tienen el código fuente de MSI.

Afirman que tienen el marco que MSI usa para desarrollar BIOS o archivos de firmware, por lo que en otras palabras, están insinuando que ya tienen el conocimiento interno que necesitan para poder construir el firmware correcto formato.

Y dicen: “Además, tenemos claves privadas”.

Nos invitan a inferir que esas claves privadas les permitirían firmar cualquier firmware falso que creen, lo cual es bastante preocupante para MSI, que se ha ido por la mitad en esto.

Admitieron la infracción; lo han revelado al regulador; lo han revelado a las fuerzas del orden; y eso es prácticamente todo lo que han dicho.

Lo que *han* hecho es dar consejos que le recomendamos encarecidamente que siga de todos modos, es decir, decirles a sus clientes:

Obtenga actualizaciones de firmware o BIOS solo desde el sitio web oficial de MSI y no use archivos de otras fuentes que no sean el sitio web oficial.

Ahora, esperamos que no se desvíe del camino y obtenga BLOB de firmware potencialmente maliciosos de todos modos... como han dicho algunos de nuestros comentaristas: "¿Qué piensa la gente cuando hace eso?"

Pero en el pasado, si no podía obtenerlos del sitio de MSI, al menos quizás podía confiar en validar el certificado digital usted mismo si lo deseaba.

Así que creo que deberías decir lo que sueles hacer con respecto a ver este espacio, Doug...

DOUG  ¡Echemos un ojo a este entonces también!

Y plantea la pregunta de uno de nuestros lectores (yo mismo no podría haberlo dicho mejor) sobre la historia de MSI... Peter pregunta:

¿MSI no podría revocar el certificado que se usó para firmar los archivos?

Entonces, incluso si alguien descargó un archivo que había sido comprometido, ¿fallaría la verificación del certificado?

¿O no funciona así?

PATO  Bueno, funciona así en *teoría*, Doug.

Pero si simplemente comienza a rechazar ciegamente a cualquiera que ya tenga el firmware que se firmó con el certificado ahora en desuso, corre el riesgo, esencialmente, de tener personas que "dejaron sus llaves en el auto", si sabe qué Quiero decir.

Por ejemplo, imagina que simplemente dices: “¡Bien! A partir de mañana, en todas las computadoras del mundo, cualquier firmware MSI firmado con esta clave que haya sido comprometido (si los delincuentes dicen la verdad) simplemente no funcionará. Tendrás que conseguir uno nuevo.

Bueno, ¿cómo vas a iniciar tu computadora para conectarte y obtener la nueva? [RISAS]

DOUG  [RISAS] ¡Un pequeño problema!

PATO  Está ese problema del huevo y la gallina.

Y esto no solo se aplica al firmware... si es demasiado rápido para bloquear el acceso de todos a archivos que son confiables pero que fueron firmados con un certificado que ahora no es confiable, corre el riesgo de causar más daño que bien.

Necesita dejar un poco de un período de superposición.

DOUG  Muy bien, excelente pregunta y excelente respuesta.

Muchas gracias, Peter, por enviarlo.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @nakedsecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, les recuerdo hasta la próxima para...

¡AMBAS  ¡Mantente seguro!

[MÓDEM MUSICAL]