Cette semaine de sécurité: Impression de Cricz, MS-OfficeCMD, ainsi que sur la sécurité de l’AI

Les chercheurs de F-Secure ont établi une nouvelle attaque impressionnante, exploitant des imprimantes HP comme une surface d’assaut imprévue. Impression de la Shellz (PDF) est une attaque en un clic, où il suffit de visiter une page Web malveillante suffisante pour obtenir une coquille ainsi qu’un proxy inverse installé sur une imprimante sur le même réseau. La démonstration ci-dessous utilise une assaut d’impression croisée (XSP) pour envoyer la tâche d’impression malveillante à l’imprimante sans aucun type d’autres interactions.

La vulnérabilité utilisée pour obtenir un pied à la porte est exactement à quel point les styles de caractères de type 2 sont analysés. Les Charstrings utilisés dans ces descripteurs de style de police sont essentiellement un peu petits programmes, qui s’exécutent sur l’imprimante pour définir chaque panneau dans la police. Il ne devrait pas être surprenant que les interprètes pour ces programmes de bits, sont obscurcis ainsi que rapidement oubliés, sont pleins de code SHOTCHY ainsi que de vulnérabilités. L’imprimante HP qu’ils traitent ne sont pas une exception, ainsi que d’ici l’opérateur de tonnes est le coupable. Cette commande a été officiellement éliminée de la spécification de type 2, probablement en raison de la difficulté de sécurité qu’elle représente, mais des analyses plus anciens peuvent toujours en avoir soutenu. Des tonnes sont un peu plus qu’un memcpy (), ainsi que depuis que l’analyseur ne valident pas correctement les arguments, cela permet d’écraser la mémoire arbitraire. Les chercheurs sélectionnés pour écraser un pointeur de fonction d’une fonction de plus, leur fournissant la capacité de passer à n’importe quel type de périphérique de code qu’ils pourraient trouver. Avec l’utilisation judicieuse de la fonction LONDJMP (), ils pourraient construire une fausse pile, ainsi que la sauter directement à celle-ci, entraînant une exécution de code arbitraire.

Il y a plutôt une longue section sur la manière dont ils avertissent le format de données de mise à jour du micrologiciel de l’imprimante, afin de déterminer quelles conceptions étaient toujours vulnérables à l’attaque. Il [s’est avéré] une distraction inutile, comme un outil d’extraction était déjà disponible. Que cela soit une leçon à nous tous, utilisez un moteur de navigation avant les coûts d’heures de travail que quelqu’un d’autre peut avoir déjà fait ainsi que publié. La dernière pensée de leur étude de recherche était que 38 imprimantes HP différentes étaient vulnérables à l’attaque. Des mises à jour sont disponibles, ainsi que les circonstances de cette vulnérabilité rend l’exploitation plus probable. Premièrement, la revue ici est plutôt bonne, ainsi que l’on pourrait s’attendre à ce que l’exploit soit recréé rapidement suffisant par les parties intéressées. Deuxièmement, la mise à jour du micrologiciel de l’imprimante est généralement plutôt une corvée. Il est donc probable que le gadget non corrompu soit omniprésent pendant de nombreuses années.

MS-Office

Les exploits d’exécution du code à distance sont parfois extrêmement difficiles, ainsi que des cas comme MS-officeCMD. Ceci est encore une autre instance de Mishandling OS Mishandling of Uri. [Fabian Bräunlein] Ainsi que [Lukas Euler] cherchait avec les manutentionnaires de l’URI de Windows 10, ainsi que découvert le schéma MS-officiMD. Un peu de vérification a exposé que le plan s’attendait à ce que les arguments JSON, qui les ont véritablement excités, comme cela impliquait la complexité.

Une fois qu’ils ont découvert le style JSON approprié pour le programme URI, ils ont commencé à chercher une méthode pour l’abuser. La vulnérabilité qu’ils découvrit est d’introduire des équipes avec le drapeau –gpu-Launcher. Ce drapeau permet de spécifier une application arbitraire à exécuter au démarrage. Utilisation de navigateurs dérivés du chrome, il existe une pop up demandant la permission de lancer l’URI. D’autre part, Tradition Edge ainsi que IE11 Activez une commande de clic JavaScript () pour déclencher le lien ainsi que le téléphone appeler l’URI sans interaction individuelle. Microsoft a examiné le rapport de bogue, ainsi que la fermeture de la fermeture: “Malheureusement, votre rapport semble dépendre de l’ingénierie sociale à accomplir, ce qui ne satisferait pas le sens d’une vulnérabilité de sécurité.” Heureusement que le malentendu a rapidement été effacé, mais le tout premier patch ne réparait pas la question, ainsi que Microsoft payé 10% de la vulnérabilité aurait dû valoir la peine. La vulnérabilité de zéro clic a été corrigée, mais il est toujours aussi simple d’injecter des commandes dans le champ URI.

AI détecte des certificats bizarres TLS

Le groupe NCC manque évidemment le grand vieux temps, lorsque le cryptage TLS signifiait généralement que le trafic Web était valide. Ok, peut-être que ce n’était jamais aussi simple. Quoi qu’il en soit, [Margit Hazenbroek] a noté que les logiciels malveillants cachent parfois son activité à l’intérieur du TLS, mais lorsque vous examinez vraiment le certificat TLS en cours d’utilisation, il a tendance à avoir l’air étrange. L’exemple fourni sur le Ryuk Ransomware est un excellent – l’organisation répertoriée est “lol”. C’est assez évident pour un humain que c’est étrange, mais ce n’est pas précisément pratique d’inspecter chaque certificat utilisé sur votre réseau.

Nous avons un outil pouvant être capable de faire un test automatisé pour l’étrangeté, l’apprentissage de la machine. Si nous pourrions fournir suffisamment d’excellents exemples de certificats valides ainsi que des douteux, une conception de l’AI peut être capable deDrapeau des certs douteux en véritable temps. Utiliser des demi-espaces-arbres, une méthode intelligente pour classer l’étrangeté d’un exemple fourni. Le groupe NCC a eu du succès lors des procès et a déployé le concept dans leurs centres de secours. Avec la disponibilité des cadres ML open source, extrêmement bit arrête tout type d’entre nous de la mise en œuvre du concept nous-mêmes, ou utilise des AI pour d’autres tâches similaires.

Plus de malice NPM

Le flux de bundles de Rotton NPM ne semble pas être altéré, car 17 autres étaient simplement éliminés du référentiel. La plupart d’entre eux sont la gamme de jardins typosquating que nous avons déjà vu. Au moins un, cependant, utilise l’attaque de confusion de dépendance, où le paquet malveillant est nommé exactement identique à celui d’un paquet propriétaire, dans l’espoir que les outils de développement de la cible prennent la version malveillante au lieu de leur propre colis personnel. De même fascinant, c’est que un certain nombre de ces faisceaux malveillants tentent de prendre des jetons de discorde, tandis que de nombreuses variables d’atmosphère, espérant découvrir des secrets.

Écarts d’air

Et enfin, si vous obtenez vos coups de pied de la lecture sur des logiciels malveillants de grande complexité, ainsi que vous le feriez probablement à condition que vous lisiez ici la lecture de cette colonne, vous apprécierez, alors vous apprécierez le résumé de 15 ans d’ESET de sauter de l’espace aérien. Il n’y a aucune de la magie hypothétique que vous ne pouvez vous attendre d’APT. Tout ce qui est découvert dans l’état sauvage utilise la clé usb faible pour faire le saut. Bien que Stuxnet était définitivement le plus célèbre, ce n’était pas le tout premier programme malveillant de ce type déployé. La vue d’ensemble est géniale et sert de rappel que le plus facile des appareils, le lecteur USB, peut être tellement efficace.

ava

Leave a Comment

Your email address will not be published. Required fields are marked *