Archivo del Autor: Alejandro Garcia

Al abrir Outlook se recibe el mensaje “No se puede iniciar Microsoft Office Outlook. No se puede abrir la ventana de Outlook. XML no valido, no se puede cargar la vista”

Intenta realizar lo siguiente:

1. Clic en Inicio y luego clic en “ejecutar”

2. Escribe Outlook /Cleanviews y presiona Enter

3. Comprueba el resultado.

4.Si no funciona con este comando prueba con:
OUTLOOK /RESETNAVPANE

Espero que os funcione a mi me funciono.

Un saludoo

Problemas net framework al instalar autocad 2015

La solución es sencilla, aunque requiere ir con cuidado ya que pasa por tocar algunas entradas del registro de windows, a continuación se explicará paso por paso el procedimiento a seguir para solucionar este error.

  • Vamos al editor del registro de windows (regedit)
  • En el editor vamos a: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Client
  • Hacemos boton derecho sobre dicha carpeta y picamos en permisos
  • Localizamos al usuario y le damos control total, además de darle la propiedad de la carpeta.
  • Localizamos la key “version” y anotamos el valor actual.
  • Cambiamos dicho valor a 4.5.
  • Tras realizar esta modificación ya se podrá instalar el Autocad.
  • Una vez instalado el Autocad 2015, podemos volver a colocar el valor que habíamos anotado.

¿Qué hacer si el botón “Firmas” no funciona en Outlook?

Algunos usuarios de Outlook se quejan de que el botón “Firmas” en las Opciones de Outlook no funciona con normalidad. Este artículo se centrará en este problema y proporcionará las soluciones.

En realidad, el botón de “Firmas” que funciona mal es un problema común en Outlook. En situaciones normales, al hacer clic en el botón “Firmas” en la pestaña “Correo” en “Opciones de Outlook”, aparecerá el cuadro de diálogo “Firma y Papelería”. A continuación puedes editar y cambiar firmas. Pero a veces puedes encontrar que no funciona. Aunque hagas clic en el botón, no aparecerá nada. Si está sujeto a este problema, aquí hay dos soluciones para rescatarlo.
Editar registro
Al principio, asegúrese de que Outlook esté completamente cerrado y vaya al “Menú Inicio”.
Luego busque “regedit” y presione “Enter”.Buscar regedit
Nota: Aquí aparecerá el cuadro de diálogo “Control de cuenta de usuario”. Puede presionar directamente el botón “Sí”.

A continuación, en el Editor del Registro, debe encontrar las siguientes claves de registro en orden: “HKEY_LOCAL_MACHINE”> “SOFTWARE”> “Clases”> “CLSID”> “{0006F03A-0000-0000-C000-000000000046}”> “LocalServer32”
Después de introducir la clave de registro “LocalServer32”, verá el valor “Predeterminado” y “LocalServer32”. Debe cambiar los datos de valor de ambos valores al directorio de instalación del programa de Outlook. Aquí tomaremos Outlook 2010 como ejemplo. Su ruta de instalación predeterminada es “C: \ Archivos de programa (x86) \ Microsoft Office \ Office14 \ Outlook.exe”.
Haga doble clic en el valor “Predeterminado” y copie la ruta anterior al campo “Información del valor”. Haga clic en Aceptar”Cambie los datos de valor “predeterminados” a las rutas de instalación del programa Outlook
Igualmente, haga doble clic en “LocalServer32” y luego copie la ruta. Haga clic en Aceptar”Cambie los datos de valor de LocalServer32 a las rutas de instalación del programa Outlook
Más adelante, debe proceder a buscar las siguientes claves de registro en orden: “HKEY_LOCAL_MACHINE”> “SOFTWARE”> “Clases”> “Wow6432Node”> “CLSID”> “{0006F03A-0000-0000-C000-000000000046}”. Al igual que en el Paso 4, cambie los datos de valor de “Predeterminado” y “LocalServer32” a las rutas de instalación predeterminadas de Outlook.Cambiar datos de valor
Finalmente haga clic en “Aceptar” y cierre el Editor del Registro. Reinicie Outlook para comprobar si el problema desaparece.

El Xiaomi Mi 9 Transparent Edition contará con 12 GB de RAM y se llamará Alita: Battle Angel

A falta de solo dos días para la presentación del Xiaomi Mi 9 y cuando pensábamos que ya lo conocíamos al completo gracias a todos los rumores de las últimas semanas, la marca china vuelve a sorprendernos para anunciar que junto al Xiaomi Mi 9 y el Xiaomi Mi 9 Explorer llegará una edición especial transparente con 12 GB de RAM.

El Xiaomi Mi 9 se presentará de forma oficial el 20 de febrero en China y el 24 de febrero en el marco del Mobile World Congress de Barcelona. Pero parece que la propia marca no puede esperar a esa fecha y son ellos mismos los que ofrecen un goteo constante de información y fotos que dejan al descubierto al teléfono. De hecho, han desvelado no solo la memoria RAM del smartphone, sino que el Xiaomi Mi 9 Transparent Edition llegará con nombre propio: Alita: Battle Angel, película que llegará a los cines chinos esta misma semana.
El fundador de la compañía, Lei Jun, ha sido el encargado de dar a conocer en Weiboo la existencia del modelo de gama más alta, aunque queda la duda de si es el Xiaomi Mi 9 Explorer Edition o un tercer dispositivo bautizado como Xiaomi Mi 9 Transparent Edition. La principal diferencia respecto al modelo estándar es que llegará con la trasera transparente igual que su antecesor el Xiaomi Mi 8 Explorer Edition y será bautizado como Alita: Battle Angel.

La RAM es la otra gran diferencia. Mientras se espera que el Xiaomi Mi 9 llegue con diferentes capacidades de 6 GB, 8 GB y 10 GB de RAM, la edición especial lo hará con 12 GB, según la propia compañía. En el apartado fotográfico mejora también respecto al modelo estándar del Xiaomi Mi 9, y contará con una cámara trasera de 48 MP 7P con apertura f/1.47, en lugar de los 48 MP 6P y apertura f/1.75 del Mi 9.
Al margen de la RAM, el diseño posterior y la cámara, la configuración del Xiaomi Mi 9 y el Xiaomi Mi 9 Transparent Edition es la misma. ¿Qué significa esto? Se espera que el teléfono llegue con panel AMOLED con resolución FHD+ de 6,4 pulgadas, con una relación pantalla-cuerpo del 90,7% y un notch en forma de gota de agua más reducido que el del Mi 8.

En el interior encontraremos el procesador Snapdragon 855 y un escáner de huellas bajo pantalla que será óptico, en lugar de ultrasónico, como se espera que monte el Samsung Galaxy S10 pero que, según Xiaomi, será un 25% más rápido que los sensores de cuarta generación.

El móvil llegará con pantalla de 6,4 pulgadas con notch en forma de gota de agua y escáner de huellas bajo la pantalla
Con la pequeña diferencia del sensor principal que hablábamos antes, se espera que ambos teléfonos lleguen con una configuración de triple cámara. Junto a la principal de 48 MP, habría otras dos de 12 MP y un sensor TOF 3D para lecturas de profundidad, y el flash Dual Tone LED.

De confirmarse los rumores, el smartphone llegará con una batería de 3.500 mAh con carga rápida de 27W, y contará con MIUI 10.0.1.1 sobre Android 9 Pie.
FUENTE: XAKATAMOVIL

Pseudo-Ransomware

Un ataque con igual efectividad

Introducción

Recientemente hemos recibido varias llamadas por parte de varios Resellers de Bitdefender para proteger la red de sus clientes después de un ataque aparente de Ransomware. Nos quedamos sorprendidos ya que el tipo de Ransomware empleado estaba ya esta registrado meses atrás en sus firmas y en todos los casos estaba activada la vacuna en la política. Entonces ¿Como? ¿Que ha pasado?
Tras varios análisis, el equipo de Reditelsa ha detectado varios puntos en común:

  1. El cliente final emplea RDP (Escritorio Remoto) o Terminal Server para acceder a los equipos de la compañía.
  2. Los sistemas llevan meses sin ser actualizados, aplicaciones incluidas. No usan el servicio de Patch Managment de Bitdefender.
  3. En dos de los casos, varios usuarios descargaban generadores de llave y/o cracks sin consentimiento de la empresa para obtener versiones activadas de varios productos, creando una excepción de análisis en la carpeta que los contiene haciendo posible su ejecución, en la política de Bitdefender.
  4. Ninguno de ellos tenían activado el Hiperdetection, SandBoxing y/o EDR, funcionalidades imprescindibles hoy para la seguridad de los Endpoints.

Modus Operandi

Dos formas para detectar a posibles victimas.

  • La primera (posiblemente) es escanear las IPs externas para detectar puertos abiertos en los firewalls y routers, focalizando su búsqueda en puertos de Escritorio Remoto/Terminal Server.
  • La segunda, es aprovechar la creencia por parte del usuario de que la ejecucion de software no deseado no tiene peligro alguno.  La amenaza puede quedar dormida semanas o incluso meses, vease keygen y cracks. Este software podría contener Payloads que permiten el acceso y ejecución de comandos elevados. Los Payloads son detectados por los antivirus pero la mala praxis de crear excepciones de carpetas y procesas evita su detección.

Acceso no autorizado

  • Con técnicas de Croaking(*) conocen de las vulnerabilidades del equipo y haciendo uso de exploit-db.com rompen el login de entrada del Escritorio remoto. Esto sucede cuando los equipos no están plenamente actualizados.
  • Con el uso del payloads y comandos elevados crean un usuario con permisos de acceso remoto.

En este momento tenemos al atacante literalmente esta delante de la pantalla de la victima como un usuario mas.

(*) Toda comunicación entre equipos viene precedido de un intercambio de información relativa a versiones de sistema operativo, sistemas implementados y plataformas usadas. Normalmente esta informacion se usa para mejorar el entendimiento y reserva de recursos. Pero también esta información puede ser usada para crear un patrón de ataque ajustado consultando las base de datos de vulnerabilidades en Internet o usando herramientas de penetración.

Deshabilitando la seguridad

En todos los casos nos hemos encontrado el famoso “process hacker 1” instalado en los equipos. Este software permite retirar, bloquear e incluso des-instalar cualquier proceso y aplicacion del equipo. Su ejecucion una vez mas desde excepciones de carpetas y procesos. El ataque lo usa para des-habilitar los procesos de Bitdefender.

Localización de Backups y puntos de restauración

Para que sea mas efectiva la extorsión, el atacante localiza posibles programas de Backup y los puntos de restauración de Windows. Estos serán eliminados o quedaran incluidos en el listado de ficheros a cifrar.

Ejecución de Bitlocker por extensiones

El atacante simulando ser un Ransomware procederá como todos ellos a cifrar todos los ficheros por extensiones del tipo dato + añadidos del backup (tanto en el equipo local como el recursos compartidos de la red) no protegidos por ataques laterales y permisos de escritura. Funcionalidades estas, ya disponibles en vuestra consola.

Ficheros reclamando el pago

En todos ellos, bien solo en el escritorio (1), o como es habitual en los ataques por Ransomware en cualquier de las carpetas cifradas (2), el atacante deja los ficheros *.txt dando explicaciones de como proceder el pago por Crypto-Moneda y una dirección de email. Ademas incluye información sobre el Ransomware utilizado. Esto es un engaño, ya que el patrón del cifrado no coincide con la denominación mencionada. 

El hecho de la existencia de manera diferencial de estos ficheros (1) y (2) demuestra que son atacantes diferentes usando la misma dinámica. Como es obvio, el proceso se realizada de manera automatizada con la ejecución de comandos secuenciales.

Resumen de los pasos

Entendemos que realizarían los pasos intermedios no descritos y que aquí resumimos.

  1. Re-colección de información sobre la maquina victima.
  2. Acceso a la maquina vía remoto.
  3. Terminación de los procesos que podrían bloquear el acceso a escritura de los ficheros.
  4. Generación del par de claves publica/privada.
  5. Envió de una solicitud HTTP de comprobación inicial a su servidor C&C
  6. Para cada archivo en el sistema: genere una clave AES-256 aleatoria; utilízalo para cifrar el archivo; cifrarlo con la clave pública RSA y adjuntarlo al archivo cifrado
  7. Envió de un mensaje de confirmación al servidor de C&C.
  8. Eliminación de las copias de seguridad de archivos Windows Shadow para evitar su restauración.

Análisis y Solución a PSeudo-RansomWare

Creemos que el asalto a la redes de nuestros ha sido masiva. Pero solo en aquellos que han bajado la guardia en cuanto a la puesta en marcha de las nuevas funcionalidades (HyperDetection, SandBoxing, EDR)  o han permitido la ejecucion de software no deseado por parte del usuario final con la creación de excepciones de análisis, han sido afectados. Hemos revisado historiales de navegación, descargas y cadenas de spam para verificar que no ha sido contagiado a través de vectores clásicos. 

El factor común entre todos ellos; Uso de RDP, sistemas no parcheados y la mala praxis del usuario final. Estos tres factores han permitido el acceso a este tipo de atacante organizado.

Nuestra preocupación también se extiende hacia la ingeniería social. Hemos visto en los perfiles de las victimas aspectos comunes pero aun no tenemos una respuesta segura al respecto.

FUENTE: REDITELSA

Alerta en Windows 10 por la actualización que impide iniciar el ordenador

La instalación de una nueva versión del ‘antispyware’ Windows Defender paraliza el arranque del PC
Después de instalar la última actualización de Windows Defender -antes conocido como Microsoft AntiSpyware-, Microsoft ha podido comprobar que, en algunos dispositivos, se produce un error que impide que se inicie.

Concretamente, el problema ocurre en aquellos dispositivos que tienen ‘Secure Boot’ activo. Sin embargo, hay que tener en cuenta que, salvo que el usuario lo haya deshabilitado manualmente en BIOS, lo tendrá en funcionamiento, pues Secure Boot viene activo por defecto.
Dicho paquete corresponde a las actualizaciones mensuales para la plataforma de protección antimalware de Windows Defender y para todas las versiones excpeto October 2018 Update (1803). El error perjudica a la versión 4.18.1901.7, paralizando el inicio del dispositivo y, además, bloqueando muchas descargas cuando se habilita AppLocker – programa de control de ejecución de aplicaciones y archivos- debido a un cambio en la ubicación de la ruta del archivo.

Windows Defender es un programa para prevenir y poner en cuarentena software espía en Windows, proporcinando la protección más reciente en busca virus y amenazas y cuyas actualizaciones se descargan automáticamente.

Solución temporal

Microsoft se encuentra trabajando en la superación del error, para lo que aplicarán un parche. De momento, recomiendan aplicar los iguientes pasos para intenar solcionar el problema:

Lo primero es reiniciar el dispositivo y entrar en la BIOS, desactivando Secure Boot y reiniciando el dispostiivo de nuevo. Posteriormente, se debe abrir el símbolo del sistema como administrador y ejecutar el comando “%programdata%MicrosoftWindows DefenderPlatform .18.1901-7MpCmdRun.exe” -revertplatform.
Tras esperar aproximadamente un minuto, hay que escribir ‘sc qc windefend’ para comprobar que el binario Windows Defender ya no apunta la versión 4.18.1901.7. Por último, se debe reiniciar de nuevo el dispositivo, volver a entrar en BIOS y activar Secure Boot.

Por otra lado, para saolucionar el problema de la ruta de acceso al archivo, se recomienda abrir Directiva de grupo y cambiar la configuración para pemitir la ruta %OSDrive%ProgramDataMicrosoftWindows DefenderPlatform*.

Alertan del ‘ransomware’ Matrix, que exige rescates de hasta 2.100 euros

Matrix está evolucionando y creando nuevas versiones, por lo que Sophos recomienda restringir el acceso a aplicaciones de control remoto, realizar análisis de vulnerabilidad y pruebas de penetración de forma periódica.
Sophos, una compañía británica de software y hardware de seguridad, ha detectado un nuevo ‘ransomware’ dirigido que lleva evolucionando y creando nuevas versiones desde 2016, denominado Matrix, y que exige rescates por valor de 2.500 dólares (2.180 euros), aunque dicha cantidad puede acabar disminuyendo.

Un ‘ransomware’ es un tipo de ‘software’ malicioso que restringe el acceso a determinadas partes o archivos de un sistema conectado a la red, y pide un rescate a cambio de quitar esta restricción, como explican desde la compañía de ciberseguridad. De esta manera, el ‘ransomware’ Matrix lleva activo desde 2016, aunque cambiando sus parámetros de ataque, y añadiendo nuevos archivos para desplegar diferentes tareas y cargas útiles en la red, según ha demostrado el laboratorio SophosLab.

SophosLab ha llevado a cabo una deconstrucción de Matrix en 96 muestras en estado salvaje de este ‘ransomware’, mediante ingeniería inversa del código en evolución y de las técnicas empleadas por los atacantes, así como de los métodos y notas de rescate utilizados para conseguir el dinero de las víctima.
Matrix obtiene el acceso a través de una contraseña RDP (protocolo de escritorio remoto) débil, una herramienta de acceso remoto integrada en ordenadores Windows, y se dirige a uno de los dispositivos conectados a la Red, sin extenderse a través de una organización. Precisamente, esto es lo que caracteriza a este nuevo ‘ransomware’.

Aunque las notas de rescate están incluidas en el código de ataque de Matrix, los usuarios no saben qué cantidad deben pagar para liberar su equipo hasta que los responsables no se la notifican por correo electrónico. La cantidad a pagar se exige en criptomonedas, pero teniendo como equivalencia en dólares. Los atacantes empiezan solicitando 2.500 dólares (2.180 euros) pero, a medida que las víctimas disminuyen su interés por pagar el rescate, la cifra puede disminuir.

Matrix está evolucionando y creando nuevas versiones, por lo que Sophos recomienda restringir el acceso a aplicaciones de control remoto, realizar análisis de vulnerabilidad y pruebas de penetración de forma periódica.

También aconseja hacer una autenticación multifactorial para sistemas internos sensibles, crear copias de seguridad ‘offline’ y offsite, y desarrollar un plan de recuperación de información que cubra la restauración de datos y sistemas para organizaciones enteras.

Error al cargar el perfil de usuario al iniciar sesion. no se puede cargar el perfil de usuario windows 2008 R2 Std

Hemos tenido un problema con un servidor windows 2008 R2, al intentar iniciar sesión por terminal server, el servidor no reportaba un error de políticas y no dejaba iniciar sesión en el mismo servidor con usuarios nuevos.

Para solucionar el error del registro de politicas (No se pudo encontrar el recurso “$(string.SiteDiscoveryEnableWMI)” al que se hace referencia en el atributo displayName. Archivo C:\Windows\PolicyDefinitions\inetres.admx, línea 34296, columna 235), hemos sustituido de otro servidor los archivos “inetres.admx y inetres.adml”

Una vez solventado el problemas nos seguía reportando error al cargar el perfil de usuario, Este error reside en la carpeta “default” que se encuentra oculta dentro de la carpeta users del servidor, dicha carpeta es la encargada de generar la estructura de carpeta cuando se genera un nuevo usuario.

Buscando en la web hemos encontrado que a otros usuarios les ha servido con copiar dicha carpeta de otro servidor, pero nosotros lo hemos solucionado cambiando los permisos de dicha carpeta, aunque aparezca que tiene permisos hemos vuelto a dar permisos para todos los usuarios, aceptando todas las advertencias que nos aparecen.
Así hemos conseguido poder iniciar sesión con los usuarios que daban error y usuarios creados nuevos

El phishing se apodera de la verificación en dos pasos, los tokens físicos son la mejor opción según Amnistía Internacional

Sorprende descubrir que Amnistía Internacional se dedica a hacer auditorías de ciberseguridad, pero tienen un buen motivo: su participación en proyectos en Oriente medio y África ha servido para detectar que allí los hackers han puesto en problemas algunos sistemas de verificación en dos pasos (2FA, Two Factor Authentication).

Estos sistemas ofrecen una interesante capa de seguridad adicional para los usuarios, pero se ha descubierto que los hackers allí logran engañar a los usuarios con técnicas de phishing para superar la protección de los sistemas 2FA.
Las llaves USB de seguridad, la mejor opción
Usar tan solo un usuario y una contraseña para proteger nuestras cuentas en servicios web es poco recomendable, y es ahí donde la verificación en dos pasos permite usar por ejemplo el móvil como sistema para recibir un SMS e ingresar el código que se nos envía a nuestro dispositivo.
Ya comentamos como los SMS no son la mejor opción a la hora de poner en marcha un sistema de este tipo, y ahora incluso las aplicaciones móviles que generan esos tokens temporales tampoco serían del todo seguras. ¿Cuál es el problema?
En el estudio de Amnistía Internacional lo dejan claro: un atacante puede construir una página web que copie la interfaz por ejemplo de Google Drive cuando intentamos entrar a este servicio. Al hacerlo el usuario no se da cuenta de que está ingresando su usuario y contraseña en esa página, pero es que también ingresa en ella el código SMS que se le envía a su teléfono: el hacker capta todos esos datos en la página de phishing y los introduce en la página de Google Drive real, lo que le da acceso a todos nuestros datos.

Este análisis por ejemplo explicaba cómo los cibercriminales crean también réplicas de conocidos servicios en dominios que logran comprar y que se parecen mucho a los originales. Es lo que han descubierto con servicios de correo seguro como Tutanota o Protonmail.
dominio real del primero es tutanota.com, pero los atacantes tienen el control de tutanota.org, algo peligroso porque uno pensaría que estas empresas registran el dominio .com pero a la vez hacen lo propio con otros como .org o .net, por ejemplo. En el caso de Protonmail el dominio es protonmail.ch, y los atacantes tomaron el control de protonemail.ch, que si uno no está atento puede confundir con el legítimo sitio web oficial.

Los datos revelan que este proceso se puede realizar a gran escala mediante un sistema automatizado, lo que puede convertir estos sistemas 2FA en algo poco útil para muchos usuarios. Los atacantes incluso generan alertas como las que generarían servicios como los de Google para enmascarar aún más el engaño.

Sin embargo hay una alternativa mucho más segura en este ámbito: las llaves o tokens de seguridad USB como Yubikey o Solo —Google creó la suya propia recientemente— son excelentes opciones para los usuarios. Basta con tenerlas conectadas a sus equipos para tener un mecanismo 2FA de seguridad que saldría indemne de este tipo de técnicas de phishing, ya que el sistema que valida esa conexión final es un dispositivo físico que solo está en poder de esos usuarios.
Por:@javipas

SAGE: error creates child exchange failed with error 6:controlador no valido

Al intentar acceder desde un puesto de red nos da este error cuanto intentamos conectar con cualquier usuario.
Antes de intentar acceder al usuario dentro del programa, debemos entrar en configuración y dentro en programa de mejora.
si tenemos activo alguna ruta y:….. debemos despincharla, reiniciar la aplicación y volver a entrar.