I løpet av de siste to ukene har Log4J fortsatt å kjøre sikkerhetsnyheter, med flere sårbare plattformer som ble funnet, så vel som ekstra CVER kommer ut. Svært først er det arbeid gjort av Trendmicro, ser på elektriske kjøretøy samt ladere. De oppdaget et log4j-angrep i en av de publiserte ladersrammene, så vel som også håndteres for å observere bevis på sårbarhet i Tesla-infotainment-systemet. Det er ikke en strekk å vise et stykke malware som kan kjøre på både en lader, så vel som en EV. I tillegg til siden disse systemene snakker til alle andre, kan de spre viruset med kjøretøy som beveger seg fra lader til lader.
Log4J er nå så mye som 2.17.1, da det er enda en RCE å fikse, CVE-2021-44832. Dette er bare scoret en 6,6 på CVSS-skalaen, i motsetning til originalen, som veide inn på en 10. 44832, trenger angriperen til aller første utøvelse over log4j-konfigurasjonen, noe som gjør utnyttelse mye vanskeligere. Denne strengen med oppfølgingsbarhetsproblemer demonstrerer et kjent mønster, hvor et sårbarhetsproblem med høy profil tiltrekker seg for forskere, som oppdager andre problemer i nøyaktig samme kode.
Det er nå rapporter om Log4J som benyttes i Conti Ransomware-kampanjer. I tillegg har en marai-basert orm blitt observert. Dette selvforfyllingsangrepet ser ut til å være målrettet mot Tomcat-servere, blant annet.
WebOS faller til et øyeblikksbilde
[David Buchanan] anerkjenner at mens dette er en fascinerende utnyttelse, er det ikke mye verktøy til det på dette tidspunktet. Det kan endres, men la oss se på feilen for nå. Snapshots er en fantastisk funksjon i V8 JavaScript-motoren. Når du navigerer til en nettside, må JavaScript-konteksten for den siden bli produsert i minnet, inkludert pakking av alle bibliotekene som kalles på siden. Det tar ikke så langt lenge på et skrivebord, men på en innebygd gadget eller en mobiltelefon som pakker et regionalt grensesnitt, kan dette initialiseringsstrinnet representere en stor del av tiden som trengs for å tegne den forespurte siden. Snapshots er en fantastisk hack, hvor konteksten er initialisert, så vel som deretter lagret. Når grensesnittet senere blir åpnet, kan V8-motoren kalles som holder den filen, så vel som konteksten er forhåndsinitialisert, noe som gjør introdusert av appen eller grensesnittet betydelig raskere. Den eneste fangsten er at V8 forventer at stillbilder bare kan pakkes fra en pålitelig kilde.
Videre til WebOS-plattformen selv. Private apps er sandboxed, men webapplikasjoner kjører koden i sammenheng med WebAppmgr (WAM), deres nettleser basert på Chromium / V8. Mens de private appene er sandboxed, er Wam ikke. Kickeren er at en webapp kan spesifisere sitt eget stillbilde til tonn i V8. Emballasje et ødelagt stillbilde gitt [David] JS Type forvirring, så vel som en vilkårlig lese / skrive primitiv som et resultat. Derfra, å bryte ut av å kjøre JS så vel som til faktisk shellcode var relativt enkelt. Denne RCE kjører som “WAM” -brukeren, men dette er en mild privilegert konto. Spesielt har WAM få tilgang til til / Dev / MEM-direkte få tilgang til systemminne. Eskalering til rot er nesten trivial.
[David] har utgitt hele POC, og bemerker at LG notoriously forstår for bug bounties. Jeg er uenig med hans påstand om at dette angrepet helt er avhengig av sidebelastning av en ondsinnet app, av den enkle grunn at LG kjører sin materialbutikk for denne plattformen. En ondsinnet designer kan være i stand til å omgå alle typer malware-deteksjonsrutiner som LG benytter til veterinærprogrammer. Ondsinnede apper på App Store er definitivt ikke noe nytt, tross alt. Den verste delen av denne utnyttelsen er at det er vanskelig å sette fingeren på hvor sårbarheten ligger.
Fire-bugsteam i lag
[Fabian Bräunlein] oppdaget noen fascinerende utilsiktede vaner i Microsoft Teams ‘Link Preview-funksjonen. Det aller første problemet er en server sideforespørsel forfalskning. Linkens forhåndsvisning er produsert på lagserversiden, samt ved å bety behovene som åpner siden for å produsere forhåndsvisningen. Problemet er mangelen på filtrering – kobling til 127.0.0.1:80 produserer en forhåndsvisning av hva som finnes på lagets serverens localhost.
Up Next er en enkel koblingsspoofingteknikk. Dette benytter et verktøy som Burp for å modifisere dataene som sendes av lagklienten. En del av meldingen som blir sendt når du legger inn en lenke, er nettadressen til telefonsamtale for forhåndsvisning. Ingen ytterligere validering er gjort, så det er mulig å produsere en forhåndsvisning fra en godartet URL, mens den faktiske lenken går til en vilkårlig side. Det tredje problemet er relatert, da linken til miniatyrbildet i seg selv er i denne meldingen, så vel som kan manipuleres med. Den fascinerende brukssaken her er at en angriper kan sette dette til en nettadresse som de kontrollerer, samt ekstraher info fra et mål, nemlig den offentlige IP-adressen. Nå er dette blokkert av målets klient på de fleste plattformer, men på Android ble kontrollene manglet.
Og til slutt, også et Android-eneste problem, enAngriperen kan sende en “Message of Death”, i hovedsak en melding misformet at ulykker app bare ved å prøve å gjengi forhåndsvisningen. dette ulykker app hver gang de enkelte prøver å få tilgang til chat, effektivt låse den enkelte ut av appen fullstendig. nå disse er ikke banebrytende problemer, men Microsofts samlede skuldertrekning i respons … uimponerende. De har stealth-lappet IP-adressen lekkasje, men det er åpenbart fortsatt mulig å forfalske kobling forhåndsvisninger, i tillegg til ulykken Android app.
PBX Backdoors
Forskere ved RedTeam Pentesting tok en titt på en PBX designet av Auerswald, en tysk produsent av telekomutstyr. Hva fanget deres øyne var en annonserte tjeneste, hvor Auerswald kan utføre en stilling av administratorpassord for en klient låst ute av sitt utstyr. Dette er en lærebok bakdør, samt definitivt garantert etterforskning.
Hvis det bare var denne typen bakdør: https://xkcd.com/806/
Deres tilnærming, snarere enn å angripe maskinvaren direkte, var å hente den nyeste firmware bunten fra Auerswald nettsted, samt analysere det. utnytte av filen, gunzip, samt dumpimage verktøy gitt dem rot filsystemet de trengs. jobbe med web av config filer, slo de på webserveren binære at mest sannsynlig inneholdt tilbakestilling av passord bakdør. bare et notat, er det svært typisk for innebygde moduler for å inkludere alle sine individuelle grensesnitt samt konfigurasjon logikken i en enkelt httpd binær.
Gitt et binært de avhengige av hva som har raskt endte opp med å bli det foretrukne verktøyet for sikkerhetsforskere overalt, Ghidra. De hadde en mer hint, den “sub-admin” bruker, så søkte på denne strengen utnytte Ghidra. Betale skitt. Bore ned med funksjoner, er hardkodet brukernavn “Schandelah” var der. Litt mer snoking kom opp med passordfunksjonen. for hver av disse hussentraler, er bakdør passord få de første syv tegn av MD5 hash av, enhetens serienummer + “R2D2” + dagens dato.
Bare for moro, forskerne benyttet Ghidra søke etter andre utnytter av bakdør passordfunksjonen. Slår ut, hvis admin enkelte er spesifisert, samt passordet ikke samsvarer med brukerkonfigurert passord, er det i forhold til denne algoritmen. Hvis det stemmer? Du er logget inn som administrator på maskinvaren. Dette er åpenbart mer nyttig enn å tilbakestille administratorpassordet, som gjør det mulig får tilgang til uten noen form for åpenbare endringer i systemet. Hele artikkelen er en fantastisk tutorial på å utnytte Ghidra for denne typen forskning.
Auerswald ekstremt raskt skjøvet ut firmware modifikasjoner for å løse problemene som er identifisert. En bakdør som dette, som er offentliggjort, er ikke på langt nær den juridiske samt ærlig landmine som noen av de andre vi har diskutert her. Det er fortsatt et problem med programmet – et tilbakestilling av passord bør også tilbakestille gadget til fabrikkinnstillingene samt slette individuelle data. Noe mindre inviterer store data utlevering.
SAM Spoofing
Denne katalogen privilegieopptrapping sårbarhet Windows aktiv er interessant for sin enkelhet. Det er en kombinasjon av CVE-2021-42287 samt CVE-2021-42278. Windows Active Directory har to unik type kontoer enkelte så vel som maskinkontoer. maskinkontoer brukes til å bringe bestemt maskinvare inn i domenet, samt generelt slutte med dollaren indikasjon (MyMachine1 $). Som standard kan en person produsere maskinkontoer, i tillegg til å endre navn på disse kontoene. Den aller første utgaven er at en person kan produsere så vel som deretter endre navnet på en maskin konto som nøyaktig samme som en domenekontroller, bare uten den siste dollartegn. For eksempel kan jeg produsere MyMachine1 $, deretter navnet til DomainController1. DomainController1 $ vil fortsatt eksistere, samt domenet ville se de som separate maskinkontoer.
Moderne Windows domener utnytte Kerberos under panseret, samt Kerberos benytter billetten paradigme. En konto kan be om en billett Tildeling billett (TGT) som virker som et midlertidig autentiseringstoken. tror på det som et passord erstatning, som omgående kan sendes med forespørsler. Angrepet er å be om en TGT for omdøpt maskinkonto, samt endre navn den kontoen når igjen, tilbake til MyMachine1. Nøkkelen er at angriperen har fortsatt en gyldig billett til DomainController1 konto, selv om en konto eksisterer ikke lenger å holde det nøyaktige navnet. Deretter ber angriperen en sesjonsnøkkel fra nøkkeldistribusjonssenter (KDC) utnytte denne TGT. KDC notater som den ber om konto ikke eksisterer, samt help føyer dollaren indikasjon samt kjører den inspisere igjen. Det ser gyldig TGT for DomainController1, samt avkastning en sesjonsnøkkel autoriserer angriper som DomainController1 $, noe som skjer for å være en domeneadministratorkontoen.
Chrome Aldring Pains
Det er uttalt at vi ikke får en Windows 9, siden samt mange gamle apps var wRitten med Regex som ville forhindre utførelse, klage på at programmet ikke ville kjøre på Windows 95 eller 98. Chrome prøver å forhindre et lignende problem, da Googles designere ser versjon 100 i horisonten. Denne typen ting har bittet nettleser før, spesielt når Opera utgav versjon 10, og videre bryter brukeragentstrengen i prosessen. Firefox kommer også inn på moroa, så vel som begge nettlesernes designere har en forespørsel om deg: Søk på nettet med en spoofed brukeragentstreng, så vel som la dem forstå hva som bryter som følge av versjon 100. Dette ville være en god sjanse til å teste dine egne nettsteder også. La oss forstå om du ser noen form for spesielt merkelige resultater.