au cours des deux dernières semaines, Log4J a continué de conduire des nouvelles de la sécurité, avec des plates-formes plus vulnérables trouvées, ainsi que d’un supplément Ces cves sortent. Très d’abord, Trendmicro, en regardant des véhicules électriques ainsi que des chargeurs. Ils ont découvert une agression log4j dans l’un des cadres de chargeur publiés, tout aussi bien manipulé pour observer des preuves de vulnérabilité dans le système Infotainment In-Véhical Tesla. Ce n’est pas un étirement pour imaginer un morceau de logiciel malveillant qui pourrait fonctionner à la fois sur un chargeur, ainsi qu’un EV. De plus que ces systèmes parlent à tous les autres, ils pourraient étendre le virus avec des véhicules qui se déplacent du chargeur au chargeur.
Log4J est maintenant autant que 2.17.1, car il y a encore un RCE de plus à résoudre, CVE-2021-44832. Ceci est seulement marqué à une échelle 6.6 sur l’échelle CVSS, par opposition à l’original, qui a pesé à un 10. 44832, a besoin de l’attaquant de très d’abord Exerceuse gérer sur la configuration log4j, ce qui rend l’exploitation beaucoup plus difficile. Cette chaîne de vulnérabilités suivante démontre un modèle largement connu, où une vulnérabilité de haut niveau attire l’intérêt des chercheurs, qui découvrent d’autres problèmes dans le même code.
Il existe maintenant des rapports de log4J utilisés dans les campagnes de Conti Ransomware. De plus, un ver à base de marai a été observé. Cette agression auto-propagation semble cibler les serveurs Tomcat, entre autres.
Webos tombe à un instantané
[David Buchanan] reconnaît que, s’il s’agit d’un exploit fascinant, il n’ya pas beaucoup d’utilité à ce stade. Cela pourrait changer, mais regardons la faille pour le moment. Les instantanés sont une fonction géniale dans le moteur JavaScript V8. Lorsque vous naviguez vers une page Web, le contexte JavaScript pour cette page doit être produit en mémoire, y compris l’emballage de toutes les bibliothèques appelées par la page. Cela ne prend pas aussi longtemps sur un bureau, cependant sur un gadget intégré ou un téléphone cellulaire emballant une interface régionale, cette étape d’initialisation peut représenter une grande partie du temps nécessaire pour dessiner la page demandée. Les instantanés sont un piratage fantastique, où le contexte est initialisé, ainsi que l’enregistrement. Lorsque l’interface est ouverte ultérieurement, le moteur V8 peut être appelé à la maintenance de ce fichier, ainsi que le contexte est pré-initialisé, ce qui permet d’introduire de l’application ou de l’interface sensiblement plus rapidement. La seule capture est que V8 s’attend à ce que des instantanés ne soient emballés d’une source de confiance.
Sur la plate-forme WebOS elle-même. Les applications privées sont SandBoxe, mais les applications Web exécutent leur code dans le contexte du WebAppmgr (WAM), leur navigateur basé sur chrome / V8. Bien que les applications privées soient du bac à sander, WAM n’est pas. Le kicker est qu’une application Web peut spécifier son propre instantané sur Tonnes en V8. Emballage d’un instantané corrompu fourni [David] JS Type de confusion, ainsi que d’une primitive de lecture / écriture arbitraire à la suite. À partir de là, la rupture de JS en cours d’exécution aussi bien que dans le coquillage réel était relativement facile. Cette RCE fonctionne comme l’utilisateur “WAM”, mais il s’agit d’un compte légilement privilégié. Notamment, WAM a accédé à l’accès à / dev / mem – accès direct à la mémoire système. L’escalade à la racine est presque triviale.
[David] a publié le POC complet, notant que LG est notoirement sous-collé pour les bonnes primes. Je suis en désaccord avec son affirmation que cet assaut s’appuie complètement sur la chargement d’une application malveillante, pour la simple raison que LG gère son magasin de matériau pour cette plate-forme. Un designer malicieux peut être capable de contourner tout type de routines de détection de logiciels malveillants que LG utilise des applications vétérinaires. Les applications malveillantes sur l’App Store ne sont définitivement rien de nouveau, après tout. La pire partie de cet exploit est qu’il est difficile de mettre son doigt sur l’endroit où se trouve la vulnérabilité.
Équipe à quatre bugs dans les équipes
[Fabian Bräunlein] a découvert des habitudes inattendues fascinantes dans la fonction de prévisualisation de liaison de Microsoft Teams ‘. Le tout premier problème est une demande de demande côté serveur. L’aperçu de la liaison est produit au côté du serveur des équipes, ainsi que par la signification des besoins, ouvrant la page pour produire l’aperçu. Le problème est le manque de filtrage – la liaison à 127.0.0.1:80 produit un aperçu de ce qui se trouve sur le localhost local de l’équipe Server.
Suivant Suivant est une technique de blanchiment simple. Cela utilise un outil comme Burp pour modifier les données envoyées par le client des équipes. Une partie du message qui est envoyé lors de l’intégration d’un lien est l’URL à l’appel téléphonique pour la génération de prévisualisation. Aucune autre validation n’est effectuée, il est donc possible de produire un aperçu d’une URL bénigne, tandis que le lien réel va à une page arbitraire. Le troisième numéro est associé, car le lien vers la vignette elle-même est également dans ce message, ainsi que de sanctionner. Le cas d’utilisation fascinant ici est qu’un attaquant peut définir cela sur une URL qu’ils contrôlent, ainsi que d’extraire des informations d’une cible, à savoir l’adresse IP publique. Maintenant, cela est bloqué par le client de la cible sur la plupart des plates-formes, cependant sur Android, les chèques étaient manquants.
Et enfin, également une question Android-seule, unL’attaquant peut envoyer un “message de décès”, essentiellement un message mal formé que les accidents de l’application en essayant de rendre l’aperçu. Ces accidents l’application à chaque fois que l’individu tente d’accéder au chat, verrouillant efficacement l’individu hors de l’application. Maintenant, ce ne sont pas des problèmes de fracas de terre, mais les haussements collectifs de Microsoft en réponse sont … insuffisants. Ils ont échéma furtif la fuite d’adresse IP, mais il est évidemment toujours possible d’avoir des prévisualisations de liaison spoof, en plus de l’accident de l’application Android.
PBX Backfoors
Les chercheurs de Redteam Pentesting ont consulté une PBX conçue par AUERSWALD, un fabricant allemand d’équipements de télécommunication. Ce qui a attiré leur attention était un service annoncé, où AUERSWALD pourrait effectuer une réinitialisation du mot de passe administrateur pour un client verrouillé de leur équipement. Il s’agit d’un manuel porte-manuel, ainsi que d’une enquête définitivement justifiée.
Si seulement c’était ce type de backdoor: https://xkcd.com/806/
Leur approche, plutôt que d’attaquer directement le matériel, était de saisir le dernier firmware Bundle du site Web d’AUERSWALD et d’analyser cela. Utilisez le fichier, GunZip, ainsi que les utilitaires de Dumpimage, leur fournis le système de fichiers racine dont ils ont besoin. Travailler avec le Web de fichiers de configuration, ils sont installés sur le serveur Web binaire qui contenait probablement le mot de passe de réinitialisation du mot de passe Backdoor. Juste une note, il est extrêmement typique des gadgets intégrés à inclure toute l’interface individuelle ainsi que la logique de configuration dans un seul binaire HTTPD.
Compte tenu d’un binaire, ils s’appuient sur ce qui a rapidement fini par être l’outil préféré des chercheurs de sécurité partout, Ghidra. Ils avaient un indice de plus, l’utilisateur “sous-admin”, alors cherché cette chaîne utilisant Ghidra. Paydirt. Percez avec des fonctions, le nom d’utilisateur codé «Schandelah» était là. Un peu plus de dormeur est venu avec la fonction de mot de passe. Pour chacun de ces PBXS, le mot de passe de Backdoor est les 7 premiers caractères du hachage de MD5 de, le numéro de série de l’unité + “R2D2” + la date actuelle.
Juste pour le plaisir, les chercheurs ont utilisé Ghidra à parcourir d’autres utilisations de la fonction de mot de passe de Backdoor. Éteint, si l’individu administrateur est spécifié, ainsi que le mot de passe ne correspond pas au mot de passe configuré par l’utilisateur, il est comparé à cet algorithme. Si cela correspond? Vous êtes connecté en tant qu’administrateur sur le matériel. Ceci est évidemment plus utile que la réinitialisation du mot de passe administrateur, car elle permet d’accéder sans type de modifications évidentes au système. L’ensemble de l’article est un didacticiel fantastique sur l’utilisation de Ghidra pour ce type de recherche.
AUERSWALD a extrêmement rapidement poussé les modifications du micrologiciel pour corriger les problèmes identifiés. Un porte-backdoor telle que celui-ci est divulgué publiquement, n’est pas presque le légal que la mine de terres juridique comme quelques-uns des autres que nous avons discuté ici. Il existe toujours un problème avec l’application – une réinitialisation de mot de passe doit également réinitialiser le gadget aux paramètres d’usine ainsi que supprimer des données individuelles. Quelque chose de moins est d’inviter une divulgation de données majeure.
Sam Spoofing
Cette vulnérabilité d’escalade d’escalade de privilège Windows Active Directory est intéressante pour sa simplicité. C’est une combinaison de CVE-2021-42287 ainsi que de CVE-2021-42278. Windows Active Directory a deux types de comptes individuels, de particuliers ainsi que de comptes de machines. Les comptes de la machine sont utilisés pour apporter du matériel spécifique dans le domaine, ainsi que généralement à la fin de l’indication du dollar (myMachine1 $). Par défaut, une personne peut produire des comptes de machine, en plus de renommer ces comptes. Le tout premier numéro est qu’un individu pourrait produire aussi bien que puis renommer un compte machine à titre exact comme un contrôleur de domaine, juste sans ce signe de dollar final. Par exemple, je pourrais produire MyMachine1 $, puis renommez-le à DomainController1. DomainController1 $ Il existerait toujours, ainsi que le domaine les verrait comme des comptes de machine distincts.
Les domaines de Windows modernes utilisent Kerberos sous la hotte, ainsi que Kerberos utilise le paradigme de billet. Un compte peut demander un ticket d’octroi de billets (TGT) qui agit comme un jeton d’authentification temporaire. Croyez-lui comme un remplacement de mot de passe, cela peut être immédiatement envoyé avec des demandes. L’assaut est de demander un TGT pour le compte de machine renommé, ainsi que de renommer ce compte à nouveau, retour à MyMachine1. La clé est que l’attaquant a toujours un ticket valide pour le compte DomainController1, même si un compte n’existe plus de conserver ce nom précis. Ensuite, l’attaquant demande une clé de session à partir du centre de distribution de clé (KDC) en utilisant ce TGT. Le KDC note que le compte demandeur n’existe pas, ainsi que de l’annulation de dollar, ainsi que de l’inspecter à nouveau. Il voit la TGT valide pour DomainController1, et renvoie une clé de session autorisant l’attaquant comme domaineController1 $, qui se produit comme un compte administrateur de domaine.
Les douleurs vieillissantes de Chrome
Il est déclaré que nous n’avions pas eu de fenêtres 9, car aussi bien de vieilles applications étaient wRitten avec regex qui empêcherait l’exécution, se plaignant que l’application ne fonctionnerait pas sur Windows 95 ou 98. Chrome tente d’empêcher un problème similaire, car les concepteurs de Google voient la version 100 à l’horizon. Ce type de chose a un navigateur Web mordant avant, notamment lorsque l’opéra a publié la version 10, enfreignez davantage la chaîne d’agent utilisateur dans le processus. Firefox s’introduit également sur le plaisir, ainsi que les concepteurs des deux navigateurs ont une demande de vous: recherchez sur le Web avec une chaîne d’agent utilisateur spoofed, ainsi que de comprendre ce qui se casse à la suite de la version 100. Cette serait une excellente occasion de tester vos propres sites aussi. Comprendons si vous voyez un type de résultats particulièrement étrange.