כיסו לא מעט סיפורים על “סחיבת” זדוני לתוך NPN ומאגרי JavaScript אחרים. זהו שונה קצת. הפעם, מתכנת JS השחיתו חבילות משלו. זה אפילו לא זדוני, אולי אנחנו צריכים לקרוא לזה protestware? שני חבילות, הצבעים זַיְפָן הם פופולרי, עם הורדה שבועית בשילוב של כמעט 23 מ’. המחבר שלהם, [Marak] הוסיף עדכון שביר לכול אחד מהם. ספריות אלה כעת להדפיס כותרת של חירות LIBERTY LIBERTY, ולאחר מכן גם תווים אקראיים, או אמנות ASCII עניות מאוד. זה כבר אשר כי זה לא היה תוקף מחוץ, אלא [Marak] שביר פרויקטים משלו בכוונה. למה?
זה נראה כמו סיפור זה מתחיל שוב מאוחר 2020, כאשר [Marak] איבד לא מעט אש, והיה צריך לבקש כסף בטוויטר. עריכה: בזכות מגיבה [ג’ק Dansen] מציין דבר פרט חשוב שהיה חסר. Marak הואשם עבור סיכון פזיז, ונחשד לשאיפות טרור אפשריות, כמו חומרים להכנת פצצה נמצאו בדירה שהרופה שלו. שבועיים לאחר מכן, הוא צייץ כי מיליארדי נעשו מחוץ לעבודה אבל המפתחים בקוד פתוח, בצטטו דליפה FAANG. FAANG הוא התייחסות חמש החברות טק אמריקאית גדולה: פייסבוק, אפל, אמזון, נטפליקס, וגוגל. באותו יום, הוא פתח נושא על Github עבור faker.js, זורק לה אולטימטום: “קח את זה כהזדמנות לשלוח לי חוזה שש דמות שנתית או מזלג הפרויקט יש עבודה של מישהו אחר על זה”
אם אתה מוצא את עצמך לרחם [Marak], יש קמטים שמאליים כדי להפעיל. אין לו קוד מחויב colors.js מאז פברואר 2018. עוד מפתח, [DABH] כבר עושה תחזוקה ומאז, עד ונדליזם קרה. בסך הכל, זה בלגן. שני פרויקטים על NPM הוחזרו משחרר באין מפריע שלהם, ויהיה pivoted סביר מזלגות הרשמי של פרויקטים.
אתחול מחדש סימולציה
הדעה הרווחת היא כי בעוד ישנם מספר iOS ערכות תוכנה זדוניות, המיוצרות על ידי האוהב של קבוצת NSO, תוכנות זדוניות שלא ניתן להביס את האתחול המאובטח של אפל, כך אתחול מחדש את טלפון הוא מספיק כדי “להסיר” את זה. הבעיה עם זה ברורה ברגע שאתה שומע את זה: אתם בוטחים במכשיר זה נפגע בפועל לבצע אתחול מחדש נקי. חוקרים ZecOps הדגימו את היכולת לקטוע את התהליך מחדש במה הם מתקשרים NoReboot. הקוד שלהם ווים לתוך פונקצית הכיבוי, ובמקום הורג את ממשק המשתמש. פעם על לחצן ההפעלה נלחץ שוב, אנימצית האתחול מוצגת, ולבסוף פקודת מערכת שימוש אתחול מחדש מרחב משתמש. סרטון ההדגמה המוטבעת מתחת.
אין בעיה, נכון? פשוט להשתמש בפונקציה מחדש בכוח חומרה. נפח למעלה, למטה נפח, ולאחר מכן החזק את לחצן ההפעלה til לך לקבל את הלוגו של אפל. כמה זמן אתם מחזיקים את זה? עד מופעי הלוגו למעלה – ימין, זה טריוויאלי לזייף אתחול מחדש בכפייה לפני טקס האמיתי קורה. אוקיי, אז כדי לדעת שאתה מקבל אתחול מחדש נכון אתה פשוט למשוך את הסוללה … אה.
באמצעות קלטת.
MacOS פריצות מיקרוסופט
יש MacOS תכונה בשם השקיפות, הסכמה, והשליטה (TCC) כי הרשאות ידיות עבור אפליקציות מסוימות. מערכת זו מונעת את יישום המחשבון מלגשת במצלמה של המערכת, למשל. ההגדרות מאוחסנות במסד נתונים המאוחסנים בספרייה הביתית, עם בקרות מחמירות מניעה מאפליקציות שינוי זה באופן ישיר. מיקרוסופט הודיעה על פגיעות Powerdir, משלב מוזרויות זוג להתגבר על ההגנה. לנצל היא פשוטה: ליצור מסד נתונים TCC מזויף, ולאחר מכן לשנות את ספריית הבית של המשתמש כך באתר מזויף הוא כיום אחד הפעילים. זה קצת יותר מסובך מזה, כי יישום אקראי באמת לא צריך להיות מסוגל למפות מחדש את תיקיית הבית.
הם מצאו שתי טכניקות לעשות את העבודה למפות מחדש. הראשון הוא הבינאריים שירותי ספרייה, dsexport ו dsimport. בעוד שינוי בספרייה הביתית ישירות דורש גישה השורש, זה ריקוד ייצוא / ייבוא יכול להיעשות כמשתמש unprivileged. הטכניקה השנייה היא לספק חבילה זדונית אל בינארי configd, אשר עושה התקף הזרקת קוד. זה מעניין לראות מיקרוסופט להמשיך לעשות מחקר אבטחת מיקוד MacOS. המוטיבציה שלהם עלול להיות פחות אצילי, אבל זה באמת עזרה משאיר את כל המכשירים שלנו מאובטח יותר.
QNAP ו- UPnP
כיסינו לא מעט נקודות תורפה NAS עם השנים, ואני כבר ציין מספר פעמים כי זה באמת לא חכם לחשוף מכשירים כאלה לאינטרנט. אחד ההסברים הציעו היה UPnP, והיום יש לנו כמה אישור רשמי כי זה אכן חלק מהבעיה. In a מייעץ חדש, QNAP ממליצה רשמית כיבוי UPnP במכשירי QNAP. נראה ככה צריך שמומלץ די הרבה אחורה בזמן, או עדיף, התקנים אלה מצורפים UPnP מושבת כברירת מחדל. הייתי הולך צעד אחד קדימה, ולהציע מפנה את התכונה הנתב, מדי, אלא אם כן אתה יודע שאתה באמת צריך את זה בשביל משהו.
אם אתה מקבל כונן USB המייל …
למען השם, לא לחבר אותו! נראה כי כמה חברות לא מקבלים את התזכיר הזה, כפי שהיה מסע מוצלח ransomware על ידי fin7 באמצעות גישה זו בלבד. הטריק הוא שהם כוללים מכתב נראה רשמי, ואולי כרטיס מתנה, מפתה את השפופרת לחבר את כונן ה- USB כדי לתבוע את פרס הנאמנות שלהם. מסע פרסום של 2020 מאותה קבוצה מתחזה הטובה ביותר לקנות, שם זה טוען להיות אמזון או HHS.
ייתכן שאספתי כי כונני פלאש אלה הם יותר מאשר רק אחסון פלאש. למעשה, נראה שהם מכשירי BADUSB – שבבים קטנים הרושמים כמכשירים HID ולשלוח הקשות למחשב. לאחר התחבר, הם פותחים PowerShell ולהפעיל סקריפט זדוני, מתן גישה מרחוק לתוקפים. אם אתה מקבל אחד מאלה, או התקפה דומה, התקשר ל- FBI או המקבילה המקומית שלך. דיווחים מחברות ויחידים הם מה מוביל לאזהרה כזאת.
עדכונים בולטים
הסיבוב הראשון של עדכונים אנדרואיד עבור השנה הוא בחוץ, ויש בעיה אחת standout, המשפיעים על שפע של התקנים sporting snaptragon Qualcomm. CVE-2021-30285 הוא פגיעות מדורגת חיונית בתוכנת המקור הסגור של Qualcomm. זה נקרא “אימות קלט לא תקין בקרנל”, אבל נראה כי בעיה ניהול זיכרון Hypervisor Qualcomm. הוא מדורג 9.3 בסולם CVSS, אך אין פרטים נוספים זמינים בשלב זה.
מוצרי הווירטואליזציה של VMware נקטו כנגד CVE-2021-22045, פגיעות של גלימה של ערימה בקוד התקני התקליטורים הווירטואלי שלהם. ניצול עלול לגרום לבריחה VM קוד שרירותי לרוץ על hypervisor המכונה, תרחיש במקרה הגרוע ביותר עבור מפעילי VM. שיעורי הפגם 7.7, ומלבין חייב להיות תמונה תקליטור באופן פעיל למחשבה, ולכן הדרך היא די קל – פשוט להסיר את כונן התקליטורים או התמונה.
כיסו לא מעט סיפורים על “סחיבת” זדוני לתוך NPN ומאגרי JavaScript אחרים. זהו שונה קצת. הפעם, מתכנת JS השחיתו חבילות משלו. זה אפילו לא זדוני, אולי אנחנו צריכים לקרוא לזה protestware? שני חבילות, הצבעים זַיְפָן הם פופולרי, עם הורדה שבועית בשילוב של כמעט 23 מ’. המחבר שלהם, [Marak] הוסיף עדכון שביר לכול אחד מהם. ספריות אלה כעת להדפיס כותרת של חירות LIBERTY LIBERTY, ולאחר מכן גם תווים אקראיים, או אמנות ASCII עניות מאוד. זה כבר אשר כי זה לא היה תוקף מחוץ, אלא [Marak] שביר פרויקטים משלו בכוונה. למה?
זה נראה כמו סיפור זה מתחיל שוב מאוחר 2020, כאשר [Marak] איבד לא מעט אש, והיה צריך לבקש כסף בטוויטר. עריכה: בזכות מגיבה [ג’ק Dansen] מציין דבר פרט חשוב שהיה חסר. Marak הואשם עבור סיכון פזיז, ונחשד לשאיפות טרור אפשריות, כמו חומרים להכנת פצצה נמצאו בדירה שהרופה שלו. שבועיים לאחר מכן, הוא צייץ כי מיליארדי נעשו מחוץ לעבודה אבל המפתחים בקוד פתוח, בצטטו דליפה FAANG. FAANG הוא התייחסות חמש החברות טק אמריקאית גדולה: פייסבוק, אפל, אמזון, נטפליקס, וגוגל. באותו יום, הוא פתח נושא על Github עבור faker.js, זורק לה אולטימטום: “קח את זה כהזדמנות לשלוח לי חוזה שש דמות שנתית או מזלג הפרויקט יש עבודה של מישהו אחר על זה”
אם אתה מוצא את עצמך לרחם [Marak], יש קמטים שמאליים כדי להפעיל. אין לו קוד מחויב colors.js מאז פברואר 2018. עוד מפתח, [DABH] כבר עושה תחזוקה ומאז, עד ונדליזם קרה. בסך הכל, זה בלגן. שני פרויקטים על NPM הוחזרו משחרר באין מפריע שלהם, ויהיה pivoted סביר מזלגות הרשמי של פרויקטים.
אתחול מחדש סימולציה
הדעה הרווחת היא כי בעוד ישנם מספר iOS ערכות תוכנה זדוניות, המיוצרות על ידי האוהב של קבוצת NSO, תוכנות זדוניות שלא ניתן להביס את האתחול המאובטח של אפל, כך אתחול מחדש את טלפון הוא מספיק כדי “להסיר” את זה. הבעיה עם זה ברורה ברגע שאתה שומע את זה: אתם בוטחים במכשיר זה נפגע בפועל לבצע אתחול מחדש נקי. חוקרים ZecOps הדגימו את היכולת לקטוע את התהליך מחדש במה הם מתקשרים NoReboot. הקוד שלהם ווים לתוך פונקצית הכיבוי, ובמקום הורג את ממשק המשתמש. פעם על לחצן ההפעלה נלחץ שוב, אנימצית האתחול מוצגת, ולבסוף פקודת מערכת שימוש אתחול מחדש מרחב משתמש. סרטון ההדגמה המוטבעת מתחת.
אין בעיה, נכון? פשוט להשתמש בפונקציה מחדש בכוח חומרה. נפח למעלה, למטה נפח, ולאחר מכן החזק את לחצן ההפעלה til לך לקבל את הלוגו של אפל. כמה זמן אתם מחזיקים את זה? עד מופעי הלוגו למעלה – ימין, זה טריוויאלי לזייף אתחול מחדש בכפייה לפני טקס האמיתי קורה. אוקיי, אז כדי לדעת שאתה מקבל אתחול מחדש נכון אתה פשוט למשוך את הסוללה … אה.
באמצעות קלטת.
MacOS פריצות מיקרוסופט
יש MacOS תכונה בשם השקיפות, הסכמה, והשליטה (TCC) כי הרשאות ידיות עבור אפליקציות מסוימות. מערכת זו מונעת את יישום המחשבון מלגשת במצלמה של המערכת, למשל. ההגדרות מאוחסנות במסד נתונים המאוחסנים בספרייה הביתית, עם בקרות מחמירות מניעה מאפליקציות שינוי זה באופן ישיר. מיקרוסופט הודיעה על פגיעות Powerdir, משלב מוזרויות זוג להתגבר על ההגנה. לנצל היא פשוטה: ליצור מסד נתונים TCC מזויף, ולאחר מכן לשנות את ספריית הבית של המשתמש כך באתר מזויף הוא כיום אחד הפעילים. זה קצת יותר מסובך מזה, כי יישום אקראי באמת לא צריך להיות מסוגל למפות מחדש את תיקיית הבית.
הם מצאו שתי טכניקות לעשות את העבודה למפות מחדש. הראשון הוא הבינאריים שירותי ספרייה, dsexport ו dsimport. בעוד שינוי בספרייה הביתית ישירות דורש גישה השורש, זה ריקוד ייצוא / ייבוא יכול להיעשות כמשתמש unprivileged. הטכניקה השנייה היא לספק חבילה זדונית אל בינארי configd, אשר עושה התקף הזרקת קוד. זה מעניין לראות מיקרוסופט להמשיך לעשות מחקר אבטחת מיקוד MacOS. המוטיבציה שלהם עלול להיות פחות אצילי, אבל זה באמת עזרה משאיר את כל המכשירים שלנו מאובטח יותר.
QNAP ו- UPnP
כיסינו לא מעט נקודות תורפה NAS עם השנים, ואני כבר ציין מספר פעמים כי זה באמת לא חכם לחשוף מכשירים כאלה לאינטרנט. אחד ההסברים הציעו היה UPnP, והיום יש לנו כמה אישור רשמי כי זה אכן חלק מהבעיה. In a מייעץ חדש, QNAP ממליצה רשמית כיבוי UPnP במכשירי QNAP. נראה ככה צריך שמומלץ די הרבה אחורה בזמן, או עדיף, התקנים אלה מצורפים UPnP מושבת כברירת מחדל. הייתי הולך צעד אחד קדימה, ולהציע מפנה את התכונה הנתב, מדי, אלא אם כן אתה יודע שאתה באמת צריך את זה בשביל משהו.
אם אתה מקבל כונן USB המייל …
למען השם, לא לחבר אותו! נראה כי כמה חברות לא מקבלים את התזכיר הזה, כפי שהיה מסע מוצלח ransomware על ידי fin7 באמצעות גישה זו בלבד. הטריק הוא שהם כוללים מכתב נראה רשמי, ואולי כרטיס מתנה, מפתה את השפופרת לחבר את כונן ה- USB כדי לתבוע את פרס הנאמנות שלהם. מסע פרסום של 2020 מאותה קבוצה מתחזה הטובה ביותר לקנות, שם זה טוען להיות אמזון או HHS.
ייתכן שאספתי כי כונני פלאש אלה הם יותר מאשר רק אחסון פלאש. למעשה, נראה שהם מכשירי BADUSB – שבבים קטנים הרושמים כמכשירים HID ולשלוח הקשות למחשב. לאחר התחבר, הם פותחים PowerShell ולהפעיל סקריפט זדוני, מתן גישה מרחוק לתוקפים. אם אתה מקבל אחד מאלה, או התקפה דומה, התקשר ל- FBI או המקבילה המקומית שלך. דיווחים מחברות ויחידים הם מה מוביל לאזהרה כזאת.
עדכונים בולטים
הסיבוב הראשון של עדכונים אנדרואיד עבור השנה הוא בחוץ, ויש בעיה אחת standout, המשפיעים על שפע של התקנים sporting snaptragon Qualcomm. CVE-2021-30285 הוא פגיעות מדורגת חיונית בתוכנת המקור הסגור של Qualcomm. זה נקרא “אימות קלט לא תקין בקרנל”, אבל נראה כי בעיה ניהול זיכרון Hypervisor Qualcomm. הוא מדורג 9.3 בסולם CVSS, אך אין פרטים נוספים זמינים בשלב זה.
מוצרי הווירטואליזציה של VMware נקטו כנגד CVE-2021-22045, פגיעות של גלימה של ערימה בקוד התקני התקליטורים הווירטואלי שלהם. ניצול עלול לגרום לבריחה VM קוד שרירותי לרוץ על hypervisor המכונה, תרחיש במקרה הגרוע ביותר עבור מפעילי VM. שיעורי הפגם 7.7, ומלבין חייב להיות תמונה תקליטור באופן פעיל למחשבה, ולכן הדרך היא די קל – פשוט להסיר את כונן התקליטורים או התמונה.
xeccj