Esta semana em segurança: hacktivismo geopolítico, mineração antivírus, bem como malware do Linux

Feb 14, 2022 Uncategorized

os hacktivistas da CIA introduziram uma espécie de campanha de ransomware contra o sistema ferroviário bielorrusso, no entanto, em vez de cryptocurrency, eles querem a liberação de presos políticos bem como remoção de soldados russos. Isso pode ser chamado de exemplo de terrorismo cibernético, embora haja uma teoria acessível que este é um hack patrocinado pelo Estado, mascarado como hacktivismo. O que parece específico é que algo interrompeu o trânsito ferroviário, bem como um grupo no Twitter, criou uma prova convincente de uma violação.

Seu antivírus agora inclui um criptominer

Não olhe agora, no entanto, sua atualização mais atual do Norton 360 ou Avira pode ter instalado um módulo de mineração Cryptocurrency. O forro de prata é que alguma sanidade foi mantida, assim como você tem que optar pelo plano de criptografia antes que seu criador comece a custa seus ciclos sobressalentes na mineração. Para indivíduos que fazem, eles são colocados em uma piscina mineira, fazendo pequenos pagamentos para muito hardware. Norton, naturalmente, leva uma taxa de 15% fora do topo para o seu problema.

O especificar do malware do Linux

Lá utilizou-se para ser um ditado que as máquinas Linux não recebem malware. Isso nunca é verdadeiramente é verdade, no entanto, a conquista continuada do cenário do servidor teve o impacto lateral de fazer o malware do Linux um perigo ainda maior. Crowdstrike viu um aumento de 35% no malware do Linux em 2021, com três classificações únicas liderando a taxa: Xorddos, Mozi, bem como Mirai.

Pwnkit.

E falando do Linux, uma vulnerabilidade linux bastante grave foi apenas anunciada, bem como uma exploração que trabalha já foi liberada. A questão é uma base básica no binário da polkit, que para este propósito, pode ser acreditado como uma alternativa sudo. A parte crucial é que é um binário setuid, que eleva seus próprios privilégios para enraizar quando realizados por um usuário privilégio. “Agora espere”, eu ouço você dizer: “Isso parece um problema de segurança horrível!” Pode ser, quando der errado. No entanto, a realidade básica é que há momentos em que um indivíduo precisa fazer uma ação que, de outra forma, precisaria de privilégios de raízes. Um exemplo básico, ping, precisa abrir uma tomada de rede bruta na compra para funcionar. Esses binários são cuidadosamente criados para permitir que apenas ações restritas, no entanto, muitas vezes um bug ativa escapando esta “Sandbox”.

Então, qual é a história com a Pkexec? Null argv. OK, programação Linux 101 tempo. Quando um programa é introduzido no Linux, ele passou dois parâmetros, geralmente chamados Argc, bem como ARGV. Estes são um inteiro, bem como uma variedade de diretrizes de caracteres, respectivamente. Se você não é um programador, acredite nisso como o número de argumentos, bem como a listagem de argumentos. Esta informação é utilizada para analisar, bem como gerenciar opções de linha de comando dentro do programa. A Argc é sempre pelo menos um, assim como a argv [0] sempre consistirá no nome do binário como executado. Exceto que nem sempre é o caso. Há mais um método para introduzir binários, utilizando a função Execve (). Essa função permite que o programador especifique a listagem de argumentos diretamente, incluindo discordância 0.

Então, o que ocorre se essa listagem é apenas nula? Se um programa foi escrito para explicar essa possibilidade, como sudo, tudo está bem. A PategeC, no entanto, não inclui um Inspecto para um Argv vazio ou um Argc de 0. Atua como se houvesse um desacordo para ler, bem como o método que a inicialização do programa ocorre na memória, ela realmente acessa a primeira atmosfera variável em vez disso, bem como trata como um argumento. Ele verifica o caminho do sistema para um binário correspondente, bem como reescreve o que acredita que é a lista de desacordo, no entanto, é realmente a variável atmosfera. Isso indica que o texto descontrolado pode ser injetado como uma variável atmosfera no PKEXEC, o programa SetuID.

Isso é interessante, no entanto, não é instantaneamente útil, já que a PKEXEC limpa as variáveis ​​de atmosfera logo após a injeção acontece. Então, que técnica sorrateira podemos utilizar para realmente explorar isso? jogando uma mensagem de erro. A PKEXEC utilizará a Biblioteca Compartilhada de Gconv para imprimir uma mensagem de erro, bem como inicia tentando encontrar o arquivo de configuração do Gconv-Modules. Esses dados define quais determinados dados da biblioteca para abrir. A variável de atmosfera Gconv_Path pode ser utilizada para especificar um arquivo de configuração alternada, no entanto, essa variável de atmosfera é bloqueada ao executar um binário SetuID. Ah, no entanto, temos um método para injetar uma variável de atmosfera depois que isso acontece. Essa é a exploração. Prepare um Payload.So que contenha nosso código arbitrário, um falso gconv-módulos dados que aponta para a carga útil, bem como utilizam a técnica NULL ARGV para injetar a variável gconv_path atmosfera. Quem sou eu? Raiz.

Há algumas reviravoltas interessantes para esta história. Primeiro, [Ryan Mallon] veio dolorosamente perto de encontrar esta vulnerabilidade em 2013. Além disso, o método de volta em 2007, [Michael Kerrisk] relatou o Null Argv Quirk como um Linux Kernel bug.

Atacando senhas aleatórias

A senha muita senha é aquela que é gerada aleatoriamente, certo? Sim, no entanto, e se esse gerador aleatório não for tão aleatório quanto parece? Agora não estamos falando sobre backdos deliberados desta vez, no entanto os padrões aparentemente irrelevantes que muitas vezes fazem uma enorme diferença. A máquina Enigma, afinal, foi rachada em parte, uma vez que nunca codificaria uma carta como ela mesma. [Hans Lakhan] de TrustedSec deu uma olhada em um milhão de senhas produzidas pelo LastPass, bem como tentou generalizar algo benéfico a partir dos dados. Muitas dessas senhas têm 1 ou 2 dígitos. Nota Esta não é uma fraqueza no algoritmo, no entanto, apenas o resultado esperado dos personagens oferecidos. Haveria uma vantagem para as senhas de forçamento brute com a política que cada suposição precisa consistir de um ou dois dígitos? Definitivamente diminuiria o espaço de assalto, no entanto, gostaria de perder senhas que não moldam o padrão. O trade-off valeria a pena?

A resposta não é clara. Em circunstâncias específicas, há uma vantagem menor para obter a utilização das regras sugeridas. No entanto, essa vantagem desaparece à medida que o processo de força bruta continua. De qualquer forma, é uma tentativa interessante de aplicar estatísticas para quebrar a senha.

WordPress e temas de backdoor-ed

Um dos maiores produtores de temas WordPress, bem como plugins, AccessPress, experimentou uma violação de seu site que levou um turno terrível. A questão foi encontrada pelos pesquisadores da Jetpack, que estavam fazendo um pós-mortem de diferentes locais comprometidos, bem como malware descoberto incorporado em um tema de acesso. A violação preliminar ocorreu em setembro de 2021, por isso, desconfiada de qualquer tipo de material do AccessPress se baixado entre setembro, bem como meados de outubro 2021. Note que, se instalado no diretório WordPress.org, esses temas estavam seguros. Uma listagem de plugins infectados compreendidos, bem como temas são oferecidos no link acima, além de outros sinais de compromisso.

Bits, bem como bytes

Há ainda mais um token truque que está sendo inadvertidamente divulgado no código-fonte, o Twitter ganha acesso ao token. O GitHub já faz a digitalização automatizada para credenciais inadvertidamente incluídas nos repositórios, no entanto, isso não inclui tokens do Twitter. [Incognitatech] compôs um scanner rápido, bem como descobriu cerca de 9.500 tokens válidos. (Inserir mais de 9000 meme aqui.) Exatamente como notificar tantas pessoas do problema? Produza um bot, faça um tweet, bem como utilize os tokens para retweet. Isso é certo para chamar alguma atenção.

O hardware SonicWall SMA 100 Series tem uma série de vulnerabilidades que agora foram corrigidas e divulgadas. O pior é um estouro de buffer não autenticado, marcar um CVSs de 9,8. Esses gadgets são bastante proeminentes para pequenas empresas, então mantenha os olhos abertos para hardware potencialmente propenso, além de obtê-los corrigidos se puder.

Crypto.com experimentou uma violação em 17 de janeiro. Eles no início downplayed o incidente, no entanto, considerando que lançou uma declaração com adicionalmente detalhes. O assalto foi um desvio de autenticação de dois fatores, permitindo que um invasor inicie transações sem efetivamente completando o processo geralmente necessário 2fA. Eles fazem o seguro que eles pegaram a questão antecipadamente suficiente para impedir qualquer tipo de perda real de moeda, que é realmente impressionante.

O Google Chrome lançou uma atualização, bem como isso inclui correções para alguns bugs caros. Seis relatórios separados ganham pesquisadores muito mais de US $ 10.000 por peça, com os dois primeiros um maravilhoso $ 20k. Estes seis, além de um sétimo bug relatado internamente, todos parecem ter a perspectiva ser bastante grave, então vá atualizar!

E, finalmente, nas coisas – aquela categoria, o Reino Unido está flertando com o conceito de regulação de pesquisadores de segurança, fazendo pesquisas de segurança um comércio registrado. A parte mais fretada deste plano é o conceito de que qualquer tipo de pesquisador não registrado possa estar sujeito a acusações criminais em circunstâncias específicas. Isso parece um conceito horrível de razões evidentes.

Leave a Reply

Your email address will not be published. Required fields are marked *