jueves, 18 de abril de 2019

Solucion al ransomware Planetary

Desde el año pasado se vive un aumento notable de ataques de ransomware en prácticamente todo el mundo, produciéndose ya no por delincuentes en solitario, sino por el trabajo de bandas organizadas de ciberdelincuentes. Y como el ransomware con sus pagos en bitcoin para dificultar la trazabilidad del pago, no hay nada mejor para sus fines.

Pero estamos de enhorabuena para el caso del ransomware Planetary, ya que se ha publicado un decryptor para los archivos infectados. Reconoceremos este ransomware porque las extensiones modificadas de los archivos tienen nombres de planetas: neptune, pluto, mira (este es de un videojuego), o bien .planetary, que fue el nombre original de la extensión. En cada nueva iteración van modificando el nombre de la extensión.

Como pasa con todos los ransomware, si tu equipo ha sido infectado, en la carpeta de los archivos infectados encontraras un fichero readme, donde se indica como contactar con los delincuentes para efectuar el pago.


Lo primero que debemos hacer es descargar el desencriptador desde ESTE ENLACE. Cuando lo ejecutemos ,veremos que nos pide lo habitual en este tipo de programas: un archivo infectado, el mismo archivo sin infectar (algo que te copiases en un pendrive vale, por ejemplo, mientras fuera el mismo archivo), y el archivo readme, que contiene un código que los delincuentes utilizan para generar el código de desencriptado, igual que este programa.


Con estos datos, le llevará un poco de tiempo dar con el código de desencriptado. Una vez lo descubre, la pantalla del programa cambia a una de ruta de archivos infectados, para que indiques dónde debe actuar.

IMPORTANTE: este programa desencripta tus archivos, pero no elimina el ransomware. ¡Tenlo en cuenta! Lo segundo a tener en cuenta es que a veces se generan varios archivos readme, con lo que es posible que debas generar varias claves de desencriptado para distintas carpetas o unidades de disco.

domingo, 14 de abril de 2019

El libro de VMware por vExperts

Hace unos meses, un grupo de los más destacados divulgadores de VMware y reconocidos blogueros tanto de España como de America latina, coincidiendo en uno de los eventos del VMworld, empezaron a desarrollar la idea de crear un "libro definitivo" sobre VMware, un Vademecum sobre las distintas herramientas que ofrece esta empresa. Ademas, este libro se basaría en dos premisas. Por una parte, ayudar a la comunidad informática, y por otra, más importante, ofrecer los beneficios que este libro pueda generar, a dos ONG: la primera es CEAFA (confederación no gubernamental de ayuda a personas y familiares con Alzheimer) y la segunda elegida es  El Proyecto Banani (que su principal objetivo es ayudar a construir la casa de maternidad / hospital Banani en el País Dogon, en Mali).



 Sinceramente, cuando me enteré del proyecto, pensé que las intenciones eran buenas, pero el libro seria una mezcla de diferentes artículos introductorios a distintas tecnologías de VMware, en cierto modo potenciaba esta idea al saber que iba a ser creado por 14 blogueros distintos. Que sí, todos ellos publicando unos artículos excelentes en sus respectivas webs, pero suponiendo que lo que se publicaría serian sus artículos básicos sobre ,por ejemplo, como instalar un ESXi, y cosas asi.

Craso error, por mi parte. Después de dedicarle un par de horas iniciales a la lectura del libro, todavía quiero leer mas, necesito leer capítulos de partes de VMware que todavía no he tocado en mi vida profesional, y quiero repasar conocimientos de lo que toco prácticamente todos los dias en mi entorno de trabajo. Es mas, me atrevería a decir que este libro debería ser una biblia de VMware, el manual de referencia básico para esta tecnología.

Cada autor (mejor dicho, co-autor) del libro ha realizado un excelente trabajo con cada uno de sus capítulos, pudiéndose notar la diferencia de estilos de cada uno. Si bien un capítulo parece que hayan esquematizado la lección, como si te presentaran unos apuntes, eso si, perfectamente explicados y concisos, en otro nos podemos encontrar un estilo mas "paso a paso" del montaje de algo. No queda para nada mal, y si ya eras lector habitual de las webs de los autores, detectarás de quien es cada artículo fácilmente.

 Descarga vmware por vExperts

Si pulsas sobre la imagen superior accederás a la web del libro, donde podrás descargarlo, sin coste alguno, en formato .pdf y .epub. También te encontrarás una encuesta donde podrás valorar si te interesa la salida en papel de este libro.

Ten en cuenta que tras este libro hay un trabajo colosal de horas, y nadie gana nada con ello, puesto que es un trabajo solidario, de manera que os animo a realizar una donación benéfica en el link de Paypal que ponen en su web, que es ESTA URL. Veréis que es una enlace de donación de Amafestival, un festival organizado para financiar la primera fase de ayuda en Mali.

Venga, rascaos un poco el bolsillo, aunque sea por el importe de un café, puesto que tanto el libro como el uso que se le dará a ese dinero merecerá la pena.

martes, 2 de abril de 2019

Multiples vulnerabilidades en productos de VMware

El Instituto Nacional de Ciberseguridad (INCIBE) ha anunciado una serie de vulnerabilidades que afectan a una variada gama de productos de VMware, incluyendo los más actuales.

El anuncio de estas vulnerabilidades se ha producido el 29 de Marzo, y como se ve en la imagen, se ha marcado como de importancia crítica. Este es el anuncio del INCIBE, con los enlaces de los distintos parches de seguridad a aplicar:

Recursos afectados:

VMware vCloud Director for Service Providers (vCD), versión 9.5.x;
VMware vSphere ESXi (ESXi), versiones 6.0, 6.5 y 6.7 en cualquier plataforma;
VMware Workstation Pro / Player (Workstation), versiones 14.x y 15.x en cualquier plataforma;
VMware Fusion Pro / Fusion (Fusion), versiones 10.x y 11.x en OSX.

A continuación se encuentran las distintas soluciones publicadas:


VMware vCloud Director para proveedores de servicios (vCD), actualizar a la versión 9.5.0.3;
VMware vSphere ESXi (ESXi):
para la versión 6.0, aplicar el parche ESXi600-201903001
para la versión 6.5, aplicar el parche ESXi650-201903001
para la versión 6.7, aplicar el parche ESXi670-201903001
VMware Workstation Pro (Workstation):para las versiones 14.x, actualizar a 14.1.7
para las versiones 15.x, actualizar a 15.0.4
VMware Workstation Player (Workstation):para las versiones 14.x, actualizar a 14.1.7
para las versiones 15.x, actualizar a 15.0.4
VMware Fusion Pro / Fusion (Fusion):para las versiones 10.x, actualizar a la versión 10.1.6
para las versiones 11.x, actualizar a la versión 11.0.3


VMware vCloud Director para proveedores de servicio contiene una vulnerabilidad de secuestro de sesión remota en los portales Tenant y Provider. La explotación de esta vulnerabilidad podría permitir a un atacante malicioso acceder a dichos portales, haciéndose pasar por un usuario con la sesión iniciada en ese momento. Se ha reservado el identificador CVE-2019-5523 para esta vulnerabilidad.
Un atacante con acceso a una máquina virtual en VMware ESXi, Workstation o Fusion que disponga de un controlador USB 1.1 virtual, podría explotar una vulnerabilidad de lectura/escritura fuera de límites o una de Time-of-check Time-of-use (TOCTOU), que le permitiría ejecutar código en el host. Se han reservado los identificadores CVE-2019-5518 y CVE-2019-5519 para estas vulnerabilidades.
VMware Workstation y Fusion tienen una vulnerabilidad de escritura fuera de límites en el adaptador de red virtual e1000, que podría permitir a un atacante ejecutar código en el host. Se ha reservado el identificador CVE-2019-5524 para esta vulnerabilidad.

VMware Workstation y Fusion tienen una vulnerabilidad de escritura fuera de límites en los adaptadores de red virtuales e1000 y e1000e, que podría permitir a un atacante ejecutar código en el host, aunque es más probable que resulte en una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-5515 para esta vulnerabilidad.

VMware Fusion tiene una vulnerabilidad de falta de autenticación en las API a las que se puede acceder a través de un web socket. Un atacante podría explotar esta vulnerabilidad engañando al usuario del host para que ejecute un JavaScript con el fin de realizar funciones no autorizadas en el equipo invitado en el que está instalado VMware Tools. Se ha reservado el identificador CVE-2019-5514 para esta vulnerabilidad.

Enlace original del Incibe

lunes, 1 de abril de 2019

Un pequeño resumen de eventos de Windows

Puntualmente toca hacer una pequeña visita al Visor de Eventos de los servidores para buscar diversas cosas, desde accesos puntuales a carpetas auditadas, pasando por eventos de logon y logoffs, conexiones remotas exitosas y fallidas, etc... Y siempre, con el mismo procedimiento, que consiste en buscar de donde se pueda algún índice de eventos de Windows que nos ayude a filtrar los Ids. de los eventos.


Aquí vamos con un pequeño resumen de eventos para simplificar la búsqueda. Básicamente, lo más común:



Para finalizar, recomiendo una visita a la web de ultimatewindowssecurity, donde tendréis un buscador de eventos bastante bueno para hacer búsquedas más precisas. Tambien en esta web teneis una miniguia de eventos en PDF descargable despues de facilitar tu mail. Como eso de ir dando el mail no tiene gracia, AQUI dejo el enlace directo al documento.

¡Que lo auditeis bien!