Cette semaine de sécurité: le vandalisme NPM, simulant les redémarrages, et plus

Nous avons couvert de nombreuses histoires sur les logiciels malveillants se faufilant dans le NPN et d’autres référentiels JavaScript. Ceci est un peu différent. Cette fois, un programmeur JS vandalisa ses propres forfaits. Ce n’est même pas un logiciel malveillant, peut-être devrions-nous appeler son protesware? Les deux paquets, couleurs et famakes sont populaires, avec un téléchargement hebdomadaire combiné de près de 23 millions. Leur auteur, [Marak] a ajouté une mise à jour de rupture de chacun d’eux. Ces bibliothèques impriment désormais un en-tête de Liberty Liberty Liberty, puis des personnages aléatoires, ou de très pauvres art ASCII. Il a été confirmé que ce n’était pas un attaquant extérieur, mais [Marak] briser ses propres projets exprès. Pourquoi?

Il semble que cette histoire commence à la fin de 2020, lorsque [Marak] a perdu un peu dans un incendie et devait demander de l’argent sur Twitter. Edit: Merci au commentateur [Jack Dansen] pour souligner un détail important qui manquait. Marak a été accusé de mentionner de manière imprudente et a été soupçonné d’éventuelles aspirations de terrorisme, car des matériaux de fabrication de bombes se trouvaient dans son appartement épuisé. Deux semaines plus tard, il a tweeté que des milliards étaient en train de faire des travaux de Devs open source, citant une fuite de faang. FAANG est une référence aux cinq grandes entreprises technologiques américaines: Facebook, Apple, Amazon, Netflix et Google. Le même jour, il ouvrit un problème sur GitHub pour Faker.js, jetant un ultimatum: “Prenez cela comme une opportunité de m’envoyer un contrat annuel de six chiffres ou une fourchette au projet et que quelqu’un d’autre y travaille.”

Si vous vous trouvez désolé pour [Marak], il reste une ride à tourner. Il n’a pas commis de code à Colors.js depuis février 2018. Un autre développeur, [DabH] a effectué une maintenance depuis lors, jusqu’à ce que le vandalisme soit arrivé. Tout dit, c’est un gâchis. Les deux projets sur les NPM ont été retournés à leurs versions non exploitées et seront probablement pivotées à des fourches officielles des projets.

Redémarrages simulés

La sagesse commune est que, bien qu’il existe plusieurs kits de malware iOS, produites par les goûts du groupe NSO, que les logiciels malveillants ne peuvent pas réellement vaincre le démarrage sécurisé d’Apple. Un redémarrage du téléphone est suffisant pour “désinstaller”. Le problème avec cela est évident une fois que vous l’entendez: vous faites confiance à un périphérique compromis pour effectuer un redémarrage propre. Les chercheurs de Zecops ont démontré la possibilité d’interrompre le processus de redémarrage dans ce qu’ils appellent Noreboot. Leurs crochets de code dans la fonction d’arrêt et tue plutôt l’interface utilisateur. Une fois que vous appuyez à nouveau sur le bouton d’alimentation, l’animation de démarrage est affichée et enfin une commande de commande de système pratique redémarre des utilisateurs. Regardez la démo intégrée ci-dessous.

Pas de problème, non? Il suffit d’utiliser la fonction de redémarrage de la force matérielle. Volume haut, volume vers le bas, puis maintenez le bouton d’alimentation jusqu’à ce que vous obtenez le logo Apple. Combien de temps le tiens-tu? Jusqu’à ce que le logo apparaisse – à droite, il est trivial de simuler un redémarrage forcé avant que le vrai n’arrive. Ok, pour savoir que vous obtenez un vrai redémarrage, vous venez de tirer la batterie … Oh.

via l’enregistrement.

Microsoft Hacks MacOS

MacOS a une fonctionnalité appelée transparence, consentement et contrôle (TCC) qui gère les autorisations pour des applications individuelles. Ce système empêche l’application de la calculatrice d’accéder à la webcam du système, par exemple. Les paramètres sont stockés dans une base de données stockée dans le répertoire de base, avec des contrôles stricts empêchant les applications de la modifier directement. Microsoft a annoncé la vulnérabilité de PowerDir, qui allie quelques bizarreries à surmonter la protection. L’exploit est simple: créez une fausse base de données TCC, puis modifiez le répertoire de base de l’utilisateur afin que la base de données surpoffée soit maintenant la solution active. C’est un peu plus compliqué que cela, car une application aléatoire ne devrait vraiment pas être en mesure de remapper le répertoire de base.

Ils ont trouvé deux techniques pour faire fonctionner le remap. Tout d’abord est les fichiers binaires de services d’annuaire, dsexport et dsimport. Lors de la modification directe du répertoire de base nécessite un accès root, cette danse d’exportation / importation peut être effectuée en tant qu’utilisateur non privilégié. La deuxième technique consiste à fournir un paquet malicieux à la configuration binaire, qui fait une attaque d’injection de code. Il est intéressant de voir Microsoft continuer à faire des macos de la recherche en sécurité. Leur motivation pourrait être moins que noble, mais cela aide vraiment à garder tous nos appareils plus sûrs.

Qnap et upnp

Nous avons couvert de nombreuses vulnérabilités NAS au fil des ans et j’ai noté à plusieurs reprises qu’il n’est vraiment pas sage d’exposer des appareils comme celui-ci à Internet. L’une des explications suggérées a été UPNP et nous avons aujourd’hui une certaine confirmation officielle que cela fait effectivement partie du problème. Dans un nouveau conseil, QNAP recommande officiellement de désactiver UPNP dans les périphériques QNAP. Il semble que cela ait été recommandé un certain temps de temps, ou mieux encore, ces appareils expédiés avec UPNP désactivé par défaut. J’irais plus loin et suggérez également de tourner la fonctionnalité de votre routeur, à moins que vous sachiez que vous en avez besoin pour quelque chose.

Si vous obtenez un lecteur USB dans le courrier …

Pour l’amour de Dieu, ne le brancez pas! Il semble que quelques entreprises ne comprenaient pas ce mémo, car une campagne ransomware réussie par FIN7 en utilisant simplement cette approche. L’astuce est qu’ils incluent une lettre de recherche officielle, et peut-être une carte-cadeau, tentant le récepteur à brancher le lecteur USB pour réclamer leur récompense de fidélité. Une campagne 2020 du même groupe Impulsé Best Buy, où celle-ci prétend être d’Amazon ou HHS.

Vous avez peut-être rassemblé que ces disques flash sont plus que des stockages flash. En fait, ils semblent être des périphériques BADUSB – Petites jetons qui s’inscrivent comme des périphériques HID et envoient des frappes à l’ordinateur. Une fois branché, ils ouvrent PowerShell et gèrent un script malveillant, donnant un accès à distance aux attaquants. Si vous en recevez un ou une attaque similaire, appelez le FBI ou votre équivalent local. Les rapports d’entreprises et d’individus sont ce qui conduit à l’avertissement comme celui-ci.

Mises à jour notables

Le premier tour des mises à jour Android pour cette année est sortie et il y a une question de protection, affectant une pléthore d’appareils portant le Snapdragon Qualcomm. CVE-2021-30285 est une vulnérabilité cassée vitale dans le logiciel à sources fermées de Qualcomm. C’est ce qu’on appelle une “validation d’entrée incorrecte dans le noyau”, mais semble être un problème de gestion de la mémoire dans l’hyperviseur Qualcomm. Il est noté une 9,3 sur l’échelle CVSS, mais aucun autre détail n’est disponible pour le moment.

Les produits de virtualisation de VMware ont été corrigés contre CVE-2021-22045, une vulnérabilité de heap-overflow dans leur code de périphérique de CD-ROM virtuel. L’exploitation peut aboutir à une évasion VM et à un code arbitraire exécuté sur l’hyperviseur de la machine, un scénario pire des cas pour les opérateurs VM. La faille des tarifs a 7,7, et heureusement, une image CD doit être activement attachée à la machine. La solution de contournement est donc assez facile – il suffit de supprimer le lecteur de CD ou l’image.

ava
category

Leave a Comment

Your email address will not be published. Required fields are marked *