nelle ultime due settimane, Log4J ha continuato a guidare le notizie sulla sicurezza, con piattaforme più vulnerabili che si trovano, oltre a extra Cves uscire. Molto in primo luogo è il lavoro svolto da Trendmicro, guardando veicoli elettrici e caricabatterie. Hanno scoperto un assalto LOG4J in uno dei quadri caricabatterie pubblicati, oltre a gestire anche per osservare la prova della vulnerabilità nel sistema di infotainment in-veicolo Tesla. Non è un tratto per immaginare un pezzo di malware che potrebbe funzionare sia su un caricabatterie, così come un EV. Oltre a quando quei sistemi parlano in ogni altro, potrebbero diffondere il virus con i veicoli che si muovono dal caricabatterie al caricabatterie.
LOG4J è ora fino a 2.17.1, poiché c’è ancora un altro RCE per fissare, CVE-2021-44832. Questo è segnato solo un 6.6 sulla scala CVSS, al contrario dell’originale, che pesata in un 10. 44832 ha bisogno che l’utente malintenzionato per prima esercita la configurazione del LOG4J, rendendo lo sfruttamento molto più difficile. Questa stringa di vulnerabilità follow-on dimostrano un modello ampiamente conosciuto, in cui una vulnerabilità di alto profilo attira l’interesse dei ricercatori, che scoprono altri problemi nello stesso identico codice.
Ora ci sono segnalazioni di log4j da utilizzare nelle campagne Conti Ransomware. Inoltre, è stato osservato un verme basato su Marai. Questo assalto auto-propagata sembra mirare ai server Tomcat, tra gli altri.
Webos cade a un’istantanea
[David Buchanan] riconosce che mentre questo è un exploit affascinante, non c’è molta utilità a questo punto. Ciò potrebbe cambiare, tuttavia guardiamo il difetto per ora. Istantanee sono una funzione fantastica nel motore JavaScript V8. Quando si naviga in una pagina Web, il contesto JavaScript per quella pagina deve essere prodotto in memoria, incluso l’imballaggio di tutte le librerie chiamate dalla pagina. Ciò non prende anche molto tempo su un desktop, tuttavia su un gadget incorporato o su un telefono cellulare che imballa un’interfaccia regionale, questa fase di inizializzazione può rappresentare una grande porzione del tempo necessario per disegnare la pagina richiesta. Istantanee sono un hack fantastico, in cui il contesto è inizializzato, oltre che poi salvato. Quando l’interfaccia viene successivamente aperta, il motore V8 può essere chiamato mantenendo quel file, nonché il contesto è pre-inizializzato, rendendo l’introduzione dell’app o dell’interfaccia più velocemente più velocemente. L’unica cattura è che V8 si aspetta che le istantanee siano imballate solo da una fonte attendibile.
Sulla piattaforma del webos stessa. Le app private sono sandboxed, tuttavia le app Web eseguono il loro codice nel contesto del webappmgr (WAM), il loro browser basato su Chromium / V8. Mentre le app private sono sandboxed, Wam non lo è. Il kicker è che un’app Web può specificare la propria istantanea a tonnellate in V8. Imballaggio di un’istantanea corrotta fornita [David] JS Tipo Confusione, nonché un primitivo di lettura / scrittura arbitraria come risultato. Da lì, rompendo la corsa JS e in un elastico reale era relativamente facile. Questo RCE funziona come l’utente “Wam”, tuttavia questo è un account lievemente privilegiato. In particolare, la WAM ha accessibile l’accesso a / dev / mem – accesso diretto all’accesso alla memoria del sistema. L’escalation alla radice è quasi banale.
[David] ha pubblicato il POC completo, notando che LG notoriamente sottovara per Bunundies. Non sono d’accordo con la sua affermazione che questo assalto si basa completamente sul caricamento laterale un’applicazione maliziosa, per il semplice motivo che LG esegue il loro negozio di materiali per questa piattaforma. Un designer dannoso può essere in grado di bypassare qualsiasi tipo di routine di rilevamento malware che LG utilizza alle app VET. Le app dannose sull’App Store non sono sicuramente nulla di nuovo, dopo tutto. La parte peggiore di questo exploit è che è difficile mettere il dito su dove si trova la vulnerabilità.
Team di quattro bug in team
[Fabian Bräunlein] ha scoperto alcune affascinanti abitudini involontarie nella funzionalità di anteprima del collegamento dei team di Microsoft. Il primo problema è un falso della richiesta laterale del server. L’anteprima del link è prodotta sul lato server Teams, oltre al senso di significato delle esigenze di apertura della pagina per produrre l’anteprima. La questione è la mancanza di filtraggio – collegamento a 127.0.0.1:80 produce un’anteprima di ciò che viene trovato sul localhost del server dei team.
Successivo è una semplice tecnica di spoofing di collegamento. Questo utilizza uno strumento come Burp per modificare i dati inviati dal client dei team. Parte del messaggio che viene inviato quando incorporato un collegamento è l’URL alla chiamata telefonica per la generazione di anteprima. Non viene eseguita ulteriore convalida, quindi è possibile produrre un’anteprima da un URL benigno, mentre il collegamento effettivo va a una pagina arbitraria. Il terzo problema è correlato, poiché il collegamento alla miniatura stessa è anche in questo messaggio, così come può essere manomesso. L’affascinante d’uso proprio qui è che un utente malintenzionato potrebbe impostare questo su un URL che controllano, oltre a estrarre informazioni da un bersaglio, vale a dire l’indirizzo IP pubblico. Ora questo è bloccato dal cliente del bersaglio sulla maggior parte delle piattaforme, tuttavia su Android mancava i controlli.
E infine, allo stesso modo un problema di sola Android, unmalintenzionato può inviare un “messaggio di morte”, in sostanza un messaggio errato che gli incidenti App semplicemente cercando di rendere l’anteprima. questo incidente l’app ogni volta che l’individuo cerca di accedere alla chat, bloccare in modo efficace l’out individuale dell’app del tutto. ora questi non sono problemi di sconvolgente, però scrollata di spalle collettiva di Microsoft in risposta è … deludente. Hanno Stealth-patched la perdita indirizzo IP, tuttavia è ovviamente ancora possibile anteprime collegamento spoof, oltre a incidente l’applicazione Android.
PBX Backdoors
I ricercatori RedTeam pentesting ha preso uno sguardo a un PBX progettato da Auerswald, un produttore tedesco di apparecchiature di telecomunicazioni. Ciò che ha attirato la loro attenzione era un servizio pubblicizzato, dove Auerswald potrebbe eseguire un reset della password di amministrazione per un cliente bloccato del loro equipaggiamento. Si tratta di un libro di testo backdoor, come indagini così come sicuramente garantito.
Se solo fosse questo tipo di backdoor: https://xkcd.com/806/
Il loro approccio, invece di attaccare direttamente l’hardware, è stato quello di afferrare l’ultimo pacchetto del firmware dal sito Web di Auerswald, così come analizzare questo. utilizzare del file, gunzip, così come utility dumpimage fornito loro il filesystem di root di cui avevano bisogno. lavora con il web di file di configurazione, si stabilirono sul binario server web che molto probabilmente conteneva la backdoor reimpostazione della password. solo una nota, è estremamente tipico per i gadget incorporati per includere tutta la loro interfaccia individuale così come logica di configurazione in un unico httpd binario.
Dato un binario, hanno contato su ciò che si è rapidamente finito per essere lo strumento preferito dei ricercatori di sicurezza in tutto il mondo, Ghidra. Avevano un altro suggerimento, il “sub-admin” utente, in modo cercato quella stringa utilizzando Ghidra. Paydirt. Drill-down con le funzioni, il nome utente hardcoded “Schandelah” era lì. Un po ‘più sleuthing si avvicinò con la funzione password. per ciascuno di questi PBX, la password backdoor è il primo 7 caratteri del hash MD5, il numero di serie dell’unità + “R2D2” + la data attuale.
Solo per divertimento, i ricercatori hanno utilizzato Ghidra per cercare altri utilizza della funzione password backdoor. Si scopre che, se l’individuo amministratore è specificato, così come la password non corrisponde alla password configurata dall’utente, è rispetto a questo algoritmo. Se corrisponde? Lei è registrato come admin sull’hardware. Questo è ovviamente più utile reimpostazione della password amministratore, in quanto consente accesso guadagno senza alcun tipo di ovvie modifiche al sistema. L’intero articolo è un fantastico tutorial su utilizzando Ghidra per questo tipo di ricerca.
Auerswald in modo estremamente rapido spinto fuori modifiche del firmware per correggere i problemi identificati. Una backdoor come questa, che viene reso pubblico, non è quasi il legale così come mina onesto come alcuni degli altri che abbiamo discusso qui. C’è ancora un problema con l’applicazione – una reimpostazione della password deve altresì riportare il gadget alle impostazioni di fabbrica così come i dati individuali di eliminazione. Niente di meno è invitante maggiore divulgazione dei dati.
SAM Spoofing
Questa vulnerabilità escalation di privilegi directory Windows attiva è interessante per la sua semplicità. E ‘una combinazione di CVE-2.021-42.287 così come CVE-2.021-42.278. Active Directory di Windows ha due unico tipo di conti, individuale così come account di computer. account computer sono utilizzati per portare hardware specifico nel dominio, così come in genere finiscono con l’indicazione del dollaro ($ MyMachine1). Per impostazione predefinita, un individuo in grado di produrre account di computer, oltre a rinominare tali conti. Il primo problema è che una produzione potrebbe individuale e quindi rinominare un account di macchina come la stessa esatta come controller di dominio, ma senza quel segno finale di dollaro. Ad esempio, potrei produrre MyMachine1 $, quindi rinominarlo in domaincontroller1. Domaincontroller1 $ esisterebbe ancora, così come il dominio vedrebbe quelli come account di computer separati.
Moderna domini Windows utilizzano Kerberos sotto il cofano, così come Kerberos utilizza il paradigma biglietto. Un account può richiedere un ticket di concessione ticket (TGT), che agisce come un token di autenticazione temporanea. credere di esso come una sostituzione della password, che possono essere immediatamente inviato con richieste. L’assalto è quello di richiedere un TGT per l’account di computer rinominato, così come rinominare l’account quando ancora una volta, torna a MyMachine1. La chiave è che l’attaccante ha ancora un biglietto valido per l’account domaincontroller1, anche se un account non esiste più mantenere quel nome preciso. Successivamente, l’attaccante richiede una chiave di sessione dal centro di distribuzione chiave (KDC) che utilizzano questo TGT. che l’account che richiede non esiste Le note KDC, così come aggiunge utilmente l’indicazione dollaro così come corre il ispezionare di nuovo. Si vede il TGT valido per domaincontroller1, così come i rendimenti di una chiave di sessione che autorizza l’attaccante come domaincontroller1 $, che si verifica per essere un account di dominio admin.
I dolori di invecchiamento di Chrome
E ‘dichiarato che non abbiamo ottenuto un Windows 9, dal momento che così molte vecchie applicazioni erano wRittens con Regex che impedirebbe l’esecuzione, lamentarsi che l’applicazione non sarebbe eseguita su Windows 95 o 98. Chrome sta cercando di impedire un problema simile, in quanto i progettisti di Google vedono la versione 100 all’orizzonte. Questo tipo di cosa ha un browser Web morso prima, in particolare quando Opera ha rilasciato la versione 10, rompendo ulteriormente la stringa utente-agente nel processo. Firefox sta entrando nel divertimento anche nel divertimento, così come i progettisti dei browser hanno una richiesta di voi: cerca il web con una stringa utente-agente utente, oltre a farli capire cosa si interrompe come risultato della versione 100. Questo sarebbe una grande possibilità di testare anche i tuoi cantieri. Comprendiamo se vedi qualsiasi tipo di risultati particolarmente strani.