Un error de seguridad muy grave descubierto en la plataforma de colaboración empresarial Microsoft SharePoint ha dejado a miles de compañías y agencias gubernamentales expuestas a ataques de día cero en los que un número indeterminado de hackers han podido acceder a los servidores vulnerables.

El fallo ha permitido a los atacantes visualizar sistemas de archivos, cambiar las configuraciones internas de los equipos, ejecutar código de forma remota e incluso, en algunos casos, hacerse con el control de los ordenadores afectados.

Ante la trascendencia del problema, Microsoft se ha visto obligada a publicar una actualización de urgencia que aborda esta vulnerabilidad. La multinacional recomienda a todos sus clientes que la instalen lo antes posible, pero a estas alturas resulta imposible de saber cuántas empresas han aplicado el parche de seguridad.

De acuerdo a la información que ha publicado la propia Microsoft, este fallo afecta a SharePoint Server Subscription Edition, SharePoint Server 2019 y SharePoint Server 2016, pero no a SharePoint Online, que se distribuye junto a Microsoft 365.

Se estima que los ataques pueden haber puesto en riesgo los servidores de más de 10.000 compañías. El servicio de ciberseguridad Google Threat Intelligence Group (GTIG) ha dado la voz de alarma y ha explicado que el fallo permite un acceso persistente y no autentificado que puede eludir futuros parches que se publiquen.

En la misma línea se ha manifestado la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), que ha emitido un comunicado en el que señala que los servidores afectados deben desconectarse de Internet hasta que sus propietarios tengan a su disposición un parche completo. Así mismo, ha añadido que sus expertos están analizando lo sucedido para entender el impacto que puede llegar a tener.

Y es que, el problema de fondo es que SharePoint está integrado en otros servicios de Microsoft como Teams, Outlook y OneDrive, de manera que cabe la posibilidad de que la vulnerabilidad descubierta haya permitido a los atacantes acceder a los datos confidenciales de un número muy elevado de personas que estén almacenados en esas herramientas.

La entrada Más de 10.000 empresas en riesgo por una grave vulnerabilidad en Microsoft SharePoint se publicó primero en Abadía Digital.

El lunes pasado, OpenAI desactivó durante unas horas ChatGPT debido a que un fallo de seguridad ocasionó que a algunos usuarios les aparecieran los títulos de las conversaciones que otras personas habían mantenido con el chatbot e, incluso, los mensajes que habían intercambiado.

La vulnerabilidad se descubrió en la librería redis-py del cliente Redis, un almacén de datos en memoria de código abierto que se utiliza como base de datos distribuida, caché y agente de mensajes con durabilidad opcional.

Días después del suceso, OpenAI ha publicado un comunicado explicando en mayor profundidad cuanto aconteció, y los detalles que ha dado a conocer son ciertamente preocupantes. Tras subrayar que el error ya ha sido parcheado, ha indicado que no sólo se expusieron las charlas, sino también información confidencial del 1,2% de los suscriptores de ChatGPT Plus que se conectaron desde las 13:00 hasta las 22:00 CET del 20 de marzo.

Concretamente, otros usuarios pudieron ver los nombres, apellidos, direcciones de correo electrónico, direcciones de pago, los últimos cuatro dígitos de las tarjetas de crédito con las que abonaron las suscripciones y las fechas de caducidad de dichas tarjetas.

OpenAI ha remarcado que en ningún caso se divulgaron los números completos de las tarjetas de crédito. También ha admitido que cabe la posibilidad de que esta problemática haya sucedido con anterioridad, pero que no tiene constancia de ello.

Sea como fuere, y aun dando por cierto que no se divulgaron las numeraciones completas de las tarjetas de sus suscriptores, se trata de una noticia muy preocupante que hace aflorar dudas acerca de las medidas de seguridad que ha implementado para salvaguardar los datos confidenciales de sus millones de visitantes.

IMAGEN: MARKUS SPISKE

La entrada Vulnerabilidad en ChatGPT ha expuesto información confidencial de sus suscriptores se publicó primero en Abadía Digital.

Adobe ha dado a conocer que hasta la semana que viene no solucionará una vulnerabilidad crítica en el Flash Player para Windows, Mac OS X y GNU/Linux que está siendo utilizada para instalar malware a través de páginas que se han visto comprometidas. En los últimos días se han confirmado ataques a internautas que navegan con Internet Explorer y Firefox bajo los sistemas operativos Windows 8, Windows 7 y Windows XP.

Symantec ha explicado que desde el 19 de enero sus sistemas ya han detectado casos en los que se ha intentado aprovechar este problema de seguridad para instalar malware en los equipos de usuarios de Estados Unidos, España, Reino Unido, Alemania, Colombia, Canadá o Japón.

Las versiones afectadas del Adobe Flash Player para Windows y Macintosh son la 16.0.0.287 y anteriores, mientras que en GNU/Linux los problemas se hallan en las versiones 11.2.202.438 y las inmediatamente inferiores. Para saber qué versión tienes instalada, te aconsejo que visites esta web de Adobe.

La entrada Adobe confirma la existencia de una vulnerabilidad crítica en Flash se publicó primero en Abadía Digital.

El máximo responsable del Centro de soporte técnico de seguridad de Microsoft ha emitido un duro comunicado en el que ha criticado que Google haya dado a conocer este fin de semana una vulnerabilidad crítica presente en Windows 8.1 ya que, según su opinión, ha puesto en peligro la seguridad de los millones de usuarios de este sistema operativo de manera innecesaria.

El directivo de Microsoft ha subrayado que su empresa informó a Google de que mañana martes 13 de enero iba a publicar un parche que soluciona este problema y le solicitó que no desvelase el exploit hasta entonces. Pero el buscador hizo caso omiso a esta petición y lo dio a conocer este fin de semana.

Google argumenta en su defensa que sus analistas de seguridad descubrieron el bug a finales de octubre del 2014 y procedieron a comunicar la incidencia a Microsoft, pero que sus protocolos establecen que si pasados 90 días desde que se informa a una empresa de la existencia de un problema de seguridad ésta no lo ha solucionado, deben hacer públicos los datos en su poder.

La postura oficial de Google es que 90 días es un plazo más que suficiente para que se solucione una vulnerabilidad y que su compromiso de publicar los bugs que no han sido solventados en ese periodo beneficia a los consumidores ya que les ofrece información acerca de los riesgos que corren al utilizar determinados productos.

La entrada Microsoft critica a Google por hacer público un fallo de seguridad en Windows 8.1 se publicó primero en Abadía Digital.

Una compañía de seguridad finlandesa ha descubierto un bug en la versión 3.x de WordPress que puede ser utilizado para ejecutar ataques basados en scripts. A tenor de las estadísticas de uso actuales de WordPress, dicha vulnerabilidad podría afectar hasta a un 86% de los sitios que utilizan esta plataforma de publicación.

El error de seguridad permite escribir un comentario que incluya código JavaScript malicioso. Si el administrador del blog mantiene la configuración por defecto de WordPress y deja publicar comentarios sin que sus autores se tengan que registrar antes, ello deja vía libre para que un atacante con conocimiento de este bug pueda sacarle provecho añadiendo un script preparado a tal efecto dentro de su escrito.

El código puede ser utilizado para crear una cuenta de administrador, cambiar acto seguido los datos de acceso del propietario de la web e impedir que éste acceda a la misma. A continuación puede modificar el sitio a su gusto e instalar plugins que recaben información de los visitantes.

La versión 4.x de WordPress no está afectada por esta vulnerabilidad, pero pese a ello es conveniente que tanto los editores de WP 3.x como de 4.x instalen cuanto antes las actualizaciones de seguridad que se han publicado en los últimos días y que blindan esta plataforma ante este tipo de ataques.

La entrada Fallo de seguridad podría afectar al 86% de los blogs con WordPress se publicó primero en Abadía Digital.

Microsoft ha recompensado con 100.000 dólares a un investigador especializado en seguridad informática llamado James Forshaw que ha descubierto un método para superar los cortafuegos establecidos por la compañía estadounidense en Windows 8.1 y hacer vulnerable el sistema operativo a ataques externos.

Este premio forma parte del programa de incentivos económicos que Microsoft viene ofreciendo desde el pasado mes de junio a los desarrolladores de todo el mundo para que les informen de las nuevas técnicas para explotar el código de Windows 8 que vayan descubriendo.

Hasta la fecha la compañía de Redmond ha pagado 128.000 dólares a 6 programadores. Curiosamente, el primero en beneficiarse de esta política de pagos fue un ingeniero de Google llamado Ivan Fratric que encontró un bug en Internet Explorer 11 por el que cobró 11.000 dólares.

Claro que a quien mejor le está yendo es a Forshaw, que con éste ya suma 2 premios (el otro fue por una vulnerabilidad también en Internet Explorer 11) que en total le han reportado la nada despreciable cifra de 109.400 dólares. Quién los pillara

La entrada Microsoft paga 100.000$ a un investigador por descubrir un bug en Windows 8.1 se publicó primero en Abadía Digital.