Archivo del Autor: Alejandro Garcia

ERR_SSL_VERSION_INTERFERENCE

La activación de este parámetro en Google Chrome es el que parece que causa el error «ERR_SSL_VERSION_INTERFERENCE», por lo que lo hay que hacer es desactivarlo del navegador para no aparezca nuevamente en pantalla. Tan solo debes hacer lo siguiente:

  1. Accede a Chrome y en la barra de direcciones escribe “chrome://flags/” sin las comillas y pulsa enter.
  2. Busca el parámetro TLS 1.3 y a la derecha selecciona la opción “disable” o “desactivar”. Para buscarlo te puedes ayudar de la búsqueda de Google Chrome pulsando la combinación Ctrl + F.
Imagen - Corrige el error "ERR_SSL_VERSION_INTERFERENCE" en Chrome
  1. Si estás trabajando en alguna pestaña, guarda lo que estés haciendo y reinicia el navegador. Al abrirlo nuevamente ya no debería aparecer más el error.

SEGURIDAD GESTIONADA AINUR

Buenos Días
En la búsqueda de la máxima seguridad de nuestros clientes, AINUR empieza a implementar un nuevo sistema de seguridad gestionada, en la cual controlamos todos los posibles ataques externos e internos que hoy en día intentan apoderarse de nuestra información.

De la mano de bitdefender intentaremos minimizar los riesgos que no solo proceden desde ataques externos, sino también desde los descuidos internos de nuestros usuarios.

Aquí os presento todas las características que podemos ofrecer para minimizar riesgos en nuestra empresa o casa.

Bitdefender Business Security


Una solución para integral para la gestión, control y motorización de toda su
infraestructura


Máxima eficacia


Seguimiento del estado de la seguridad de todos equipos en tiempo real desde
la consola de gestión centralizada. La consola centralizada se encarga de
mantener actualizada la seguridad.


Múltiples Capas de Seguridad


Antivirus y antimalware, protección contra amenazas de día cero, control de
aplicaciones, cortafuego, control de dispositivos y control de contenidos, con
antiphishing y antispam.
Detección proactiva: Protección avanzada
Los galardonados motores de análisis de BitDefender han sido reconocidos por
los principales organismos de certificación – entre ellos, ICSA Labs, Virus
Bulletin y West Coast Labs


• Protección Antivirus
• Protección Antimalware
• Vacuna Rasonware/Cryptolockers
• Actualizaciones desentendidas, de todos los fabricantes.
• Cortafuegos
• Filtrado de contenido WEB
• Control de navegación de internet
• Control de horario de trabajo
• Control de fugas de información
• Control de dispositivos
• Consola central en la nube
• Administración de los clientes desde la consola
• Informes Mensuales, del estado de los equipos y la red, de todos los puntos
anteriores

Para mas información podéis contactar con nosotros atraves de www.ainur.es

No se puede activar WINDOWS SERVER 2016.

Hoy he encontrado un problema extraño con la activación de Windows 2016.

Cuando intenta iniciar el servicio de protección de software (sppsvc.exe) que es el servicio que valida con microsoft, aparece el siguiente error.
Acceso denegado 5

Tenemos problemas de permisos en C: \ Windows \ System32 \ spp \ store \ 2.0.
Debemos revisar si en los permisos de dicha carpeta aparece el usuario servicios de red con control total.
Si no aparece debemos agregarle a la lista.
Y arrancar el servicio.
Espero que les ayude a mi me funciono

Como resolver el Error 5 Access Denied / Acceso Denegado en Eventvwr

El error lo encontre en Windows Server 2016 R2, pero por lo que vi tambien puede darse en otras versiones. 

El error se da cuando:

Al tratar de ver los Security logs de un Windows Server 2008 muestra un Error 5 indicando acceso denegado. 

Que es lo que pasa:

Aun no está documentado un motivo en la pagina de Microsoft, pero bien sea la carpeta donde se almacenan los logs o la Registry pierden las configuraciones de security defaults. Sin necesidad de que por ejemplo una GPO haya modificado permisos de seguridad. 

Como resolverlo:

Bueno, vamos por partes, primero revisemos la carpeta donde se almacenan los logs de security, por default esta carpeta es: 
%SystemRoot%system32winevtlogs 

Esta carpeta tiene que tener los siguientes permisos de security: 

Authenticated user – List folder/read data, Read attributes, Read Extended attributes, Read permissions 
Administrators – Full control 
SYSTEM – Full control 
NT SERVICEEventLog – Full control (* LEER AL PIE DEL ARTICULO) 

(en español… mas o menos traducido es algo asi

Usuarios autentificados – Listar carpetas/leer datos, Leer atributos, Leer atributos extendidos, Lectura 
Administrators – Control Total 
SYSTEM – Control Total 
NT SERVICEEventLog – Control Total (* LEER AL PIE DEL ARTICULO) 

Luego revisamos la Registry del equipo, buscamos la clave: 

«HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceseventlogSecurity» 
Al hacer click derecho en «Security»/ Permissions tenemos que revisar que los permisos esten como se muestran a continuacion: 

CREATOR OWNER – Full control 
Administrators – Full control 
SYSTEM – Full control 
NT SERVICEEventLog – READ / Leer 

Una vez hechos estos cambios aun quizas sea necesario un reinicio del servidor/equipo para que vuelva a funcionar, si no fuera posible reiniciarlo, se puede intentar restartear el servicio de «Windows Event Log» usando «psexec /s cmd» desde un cmd con privilegios de administrador. El Psexec de Sysinternals lo pueden descargar de la pagina de Microsoft (http://technet.microsoft.com/es-es/sysinternals/bb897553

(*) Al tratar de agregar el usuario «NT SERVICEEventLog» puede parecer que no resuelve al tratar de «comprobar nombres». Se debe cambiar el scope de busqueda del dominio al nombre de equipo en el que se este trabajando (aun sea controlador de dominio) y ademas agregar en Object Types / Tipos de Objeto el tilde en «Service Accounts» / «Cuentas de Servicio». 

La Flecha en Autocad genera una linea al arrastrar

Hoy hemos tenido un pequeño problema con el autocad de un cliente, al arrastrar el puntero generaba una linea, la solución a dicho problema es sencilla, debemos deshabilitar un par de modos que lleva el programa, los cuales muestro en la imagen de mas abajo.

FORZAR CURSOR Y ACELERADOR GRÁFICO.

Este error puede venir si la gráfica que tenemos instalada o de serie del equipo no soporta esta función.

Espero que os ayude.

Al abrir Outlook se recibe el mensaje «No se puede iniciar Microsoft Office Outlook. No se puede abrir la ventana de Outlook. XML no valido, no se puede cargar la vista»

Intenta realizar lo siguiente:

1. Clic en Inicio y luego clic en «ejecutar»

2. Escribe Outlook /Cleanviews y presiona Enter

3. Comprueba el resultado.

4.Si no funciona con este comando prueba con:
OUTLOOK /RESETNAVPANE

Espero que os funcione a mi me funciono.

Un saludoo

Problemas net framework al instalar autocad 2015

La solución es sencilla, aunque requiere ir con cuidado ya que pasa por tocar algunas entradas del registro de windows, a continuación se explicará paso por paso el procedimiento a seguir para solucionar este error.

  • Vamos al editor del registro de windows (regedit)
  • En el editor vamos a: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Client
  • Hacemos boton derecho sobre dicha carpeta y picamos en permisos
  • Localizamos al usuario y le damos control total, además de darle la propiedad de la carpeta.
  • Localizamos la key «version» y anotamos el valor actual.
  • Cambiamos dicho valor a 4.5.
  • Tras realizar esta modificación ya se podrá instalar el Autocad.
  • Una vez instalado el Autocad 2015, podemos volver a colocar el valor que habíamos anotado.

¿Qué hacer si el botón «Firmas» no funciona en Outlook?

Algunos usuarios de Outlook se quejan de que el botón «Firmas» en las Opciones de Outlook no funciona con normalidad. Este artículo se centrará en este problema y proporcionará las soluciones.

En realidad, el botón de «Firmas» que funciona mal es un problema común en Outlook. En situaciones normales, al hacer clic en el botón «Firmas» en la pestaña «Correo» en «Opciones de Outlook», aparecerá el cuadro de diálogo «Firma y Papelería». A continuación puedes editar y cambiar firmas. Pero a veces puedes encontrar que no funciona. Aunque hagas clic en el botón, no aparecerá nada. Si está sujeto a este problema, aquí hay dos soluciones para rescatarlo.
Editar registro
Al principio, asegúrese de que Outlook esté completamente cerrado y vaya al «Menú Inicio».
Luego busque «regedit» y presione «Enter».Buscar regedit
Nota: Aquí aparecerá el cuadro de diálogo «Control de cuenta de usuario». Puede presionar directamente el botón «Sí».

A continuación, en el Editor del Registro, debe encontrar las siguientes claves de registro en orden: “HKEY_LOCAL_MACHINE”> “SOFTWARE”> “Clases”> “CLSID”> “{0006F03A-0000-0000-C000-000000000046}”> “LocalServer32”
Después de introducir la clave de registro «LocalServer32», verá el valor «Predeterminado» y «LocalServer32». Debe cambiar los datos de valor de ambos valores al directorio de instalación del programa de Outlook. Aquí tomaremos Outlook 2010 como ejemplo. Su ruta de instalación predeterminada es «C: \ Archivos de programa (x86) \ Microsoft Office \ Office14 \ Outlook.exe».
Haga doble clic en el valor «Predeterminado» y copie la ruta anterior al campo «Información del valor». Haga clic en Aceptar»Cambie los datos de valor «predeterminados» a las rutas de instalación del programa Outlook
Igualmente, haga doble clic en «LocalServer32» y luego copie la ruta. Haga clic en Aceptar»Cambie los datos de valor de LocalServer32 a las rutas de instalación del programa Outlook
Más adelante, debe proceder a buscar las siguientes claves de registro en orden: “HKEY_LOCAL_MACHINE”> “SOFTWARE”> “Clases”> “Wow6432Node”> “CLSID”> “{0006F03A-0000-0000-C000-000000000046}”. Al igual que en el Paso 4, cambie los datos de valor de «Predeterminado» y «LocalServer32» a las rutas de instalación predeterminadas de Outlook.Cambiar datos de valor
Finalmente haga clic en «Aceptar» y cierre el Editor del Registro. Reinicie Outlook para comprobar si el problema desaparece.

El Xiaomi Mi 9 Transparent Edition contará con 12 GB de RAM y se llamará Alita: Battle Angel

A falta de solo dos días para la presentación del Xiaomi Mi 9 y cuando pensábamos que ya lo conocíamos al completo gracias a todos los rumores de las últimas semanas, la marca china vuelve a sorprendernos para anunciar que junto al Xiaomi Mi 9 y el Xiaomi Mi 9 Explorer llegará una edición especial transparente con 12 GB de RAM.

El Xiaomi Mi 9 se presentará de forma oficial el 20 de febrero en China y el 24 de febrero en el marco del Mobile World Congress de Barcelona. Pero parece que la propia marca no puede esperar a esa fecha y son ellos mismos los que ofrecen un goteo constante de información y fotos que dejan al descubierto al teléfono. De hecho, han desvelado no solo la memoria RAM del smartphone, sino que el Xiaomi Mi 9 Transparent Edition llegará con nombre propio: Alita: Battle Angel, película que llegará a los cines chinos esta misma semana.
El fundador de la compañía, Lei Jun, ha sido el encargado de dar a conocer en Weiboo la existencia del modelo de gama más alta, aunque queda la duda de si es el Xiaomi Mi 9 Explorer Edition o un tercer dispositivo bautizado como Xiaomi Mi 9 Transparent Edition. La principal diferencia respecto al modelo estándar es que llegará con la trasera transparente igual que su antecesor el Xiaomi Mi 8 Explorer Edition y será bautizado como Alita: Battle Angel.

La RAM es la otra gran diferencia. Mientras se espera que el Xiaomi Mi 9 llegue con diferentes capacidades de 6 GB, 8 GB y 10 GB de RAM, la edición especial lo hará con 12 GB, según la propia compañía. En el apartado fotográfico mejora también respecto al modelo estándar del Xiaomi Mi 9, y contará con una cámara trasera de 48 MP 7P con apertura f/1.47, en lugar de los 48 MP 6P y apertura f/1.75 del Mi 9.
Al margen de la RAM, el diseño posterior y la cámara, la configuración del Xiaomi Mi 9 y el Xiaomi Mi 9 Transparent Edition es la misma. ¿Qué significa esto? Se espera que el teléfono llegue con panel AMOLED con resolución FHD+ de 6,4 pulgadas, con una relación pantalla-cuerpo del 90,7% y un notch en forma de gota de agua más reducido que el del Mi 8.

En el interior encontraremos el procesador Snapdragon 855 y un escáner de huellas bajo pantalla que será óptico, en lugar de ultrasónico, como se espera que monte el Samsung Galaxy S10 pero que, según Xiaomi, será un 25% más rápido que los sensores de cuarta generación.

El móvil llegará con pantalla de 6,4 pulgadas con notch en forma de gota de agua y escáner de huellas bajo la pantalla
Con la pequeña diferencia del sensor principal que hablábamos antes, se espera que ambos teléfonos lleguen con una configuración de triple cámara. Junto a la principal de 48 MP, habría otras dos de 12 MP y un sensor TOF 3D para lecturas de profundidad, y el flash Dual Tone LED.

De confirmarse los rumores, el smartphone llegará con una batería de 3.500 mAh con carga rápida de 27W, y contará con MIUI 10.0.1.1 sobre Android 9 Pie.
FUENTE: XAKATAMOVIL

Pseudo-Ransomware

Un ataque con igual efectividad

Introducción

Recientemente hemos recibido varias llamadas por parte de varios Resellers de Bitdefender para proteger la red de sus clientes después de un ataque aparente de Ransomware. Nos quedamos sorprendidos ya que el tipo de Ransomware empleado estaba ya esta registrado meses atrás en sus firmas y en todos los casos estaba activada la vacuna en la política. Entonces ¿Como? ¿Que ha pasado?
Tras varios análisis, el equipo de Reditelsa ha detectado varios puntos en común:

  1. El cliente final emplea RDP (Escritorio Remoto) o Terminal Server para acceder a los equipos de la compañía.
  2. Los sistemas llevan meses sin ser actualizados, aplicaciones incluidas. No usan el servicio de Patch Managment de Bitdefender.
  3. En dos de los casos, varios usuarios descargaban generadores de llave y/o cracks sin consentimiento de la empresa para obtener versiones activadas de varios productos, creando una excepción de análisis en la carpeta que los contiene haciendo posible su ejecución, en la política de Bitdefender.
  4. Ninguno de ellos tenían activado el Hiperdetection, SandBoxing y/o EDR, funcionalidades imprescindibles hoy para la seguridad de los Endpoints.

Modus Operandi

Dos formas para detectar a posibles victimas.

  • La primera (posiblemente) es escanear las IPs externas para detectar puertos abiertos en los firewalls y routers, focalizando su búsqueda en puertos de Escritorio Remoto/Terminal Server.
  • La segunda, es aprovechar la creencia por parte del usuario de que la ejecucion de software no deseado no tiene peligro alguno.  La amenaza puede quedar dormida semanas o incluso meses, vease keygen y cracks. Este software podría contener Payloads que permiten el acceso y ejecución de comandos elevados. Los Payloads son detectados por los antivirus pero la mala praxis de crear excepciones de carpetas y procesas evita su detección.

Acceso no autorizado

  • Con técnicas de Croaking(*) conocen de las vulnerabilidades del equipo y haciendo uso de exploit-db.com rompen el login de entrada del Escritorio remoto. Esto sucede cuando los equipos no están plenamente actualizados.
  • Con el uso del payloads y comandos elevados crean un usuario con permisos de acceso remoto.

En este momento tenemos al atacante literalmente esta delante de la pantalla de la victima como un usuario mas.

(*) Toda comunicación entre equipos viene precedido de un intercambio de información relativa a versiones de sistema operativo, sistemas implementados y plataformas usadas. Normalmente esta informacion se usa para mejorar el entendimiento y reserva de recursos. Pero también esta información puede ser usada para crear un patrón de ataque ajustado consultando las base de datos de vulnerabilidades en Internet o usando herramientas de penetración.

Deshabilitando la seguridad

En todos los casos nos hemos encontrado el famoso “process hacker 1” instalado en los equipos. Este software permite retirar, bloquear e incluso des-instalar cualquier proceso y aplicacion del equipo. Su ejecucion una vez mas desde excepciones de carpetas y procesos. El ataque lo usa para des-habilitar los procesos de Bitdefender.

Localización de Backups y puntos de restauración

Para que sea mas efectiva la extorsión, el atacante localiza posibles programas de Backup y los puntos de restauración de Windows. Estos serán eliminados o quedaran incluidos en el listado de ficheros a cifrar.

Ejecución de Bitlocker por extensiones

El atacante simulando ser un Ransomware procederá como todos ellos a cifrar todos los ficheros por extensiones del tipo dato + añadidos del backup (tanto en el equipo local como el recursos compartidos de la red) no protegidos por ataques laterales y permisos de escritura. Funcionalidades estas, ya disponibles en vuestra consola.

Ficheros reclamando el pago

En todos ellos, bien solo en el escritorio (1), o como es habitual en los ataques por Ransomware en cualquier de las carpetas cifradas (2), el atacante deja los ficheros *.txt dando explicaciones de como proceder el pago por Crypto-Moneda y una dirección de email. Ademas incluye información sobre el Ransomware utilizado. Esto es un engaño, ya que el patrón del cifrado no coincide con la denominación mencionada. 

El hecho de la existencia de manera diferencial de estos ficheros (1) y (2) demuestra que son atacantes diferentes usando la misma dinámica. Como es obvio, el proceso se realizada de manera automatizada con la ejecución de comandos secuenciales.

Resumen de los pasos

Entendemos que realizarían los pasos intermedios no descritos y que aquí resumimos.

  1. Re-colección de información sobre la maquina victima.
  2. Acceso a la maquina vía remoto.
  3. Terminación de los procesos que podrían bloquear el acceso a escritura de los ficheros.
  4. Generación del par de claves publica/privada.
  5. Envió de una solicitud HTTP de comprobación inicial a su servidor C&C
  6. Para cada archivo en el sistema: genere una clave AES-256 aleatoria; utilízalo para cifrar el archivo; cifrarlo con la clave pública RSA y adjuntarlo al archivo cifrado
  7. Envió de un mensaje de confirmación al servidor de C&C.
  8. Eliminación de las copias de seguridad de archivos Windows Shadow para evitar su restauración.

Análisis y Solución a PSeudo-RansomWare

Creemos que el asalto a la redes de nuestros ha sido masiva. Pero solo en aquellos que han bajado la guardia en cuanto a la puesta en marcha de las nuevas funcionalidades (HyperDetection, SandBoxing, EDR)  o han permitido la ejecucion de software no deseado por parte del usuario final con la creación de excepciones de análisis, han sido afectados. Hemos revisado historiales de navegación, descargas y cadenas de spam para verificar que no ha sido contagiado a través de vectores clásicos. 

El factor común entre todos ellos; Uso de RDP, sistemas no parcheados y la mala praxis del usuario final. Estos tres factores han permitido el acceso a este tipo de atacante organizado.

Nuestra preocupación también se extiende hacia la ingeniería social. Hemos visto en los perfiles de las victimas aspectos comunes pero aun no tenemos una respuesta segura al respecto.

FUENTE: REDITELSA