Deze week in de beveiliging: de Log4J die niet verdwijnt, WebOS, evenals meer

in de afgelopen twee weken, is Log4J nog steeds beveiligingsnieuws doorgegaan met meer kwetsbare platforms die worden gevonden, evenals extra CVES KOMEN UIT. Heel eerste is werk gedaan door trendmicro, en kijken naar elektrische voertuigen en opladers. Ze ontdekten een Log4j-aanval in een van de gepubliceerde opladerkaders, evenals bezig met het bewijs van het bewijs van kwetsbaarheid in het infotainmentsysteem van Tesla in voertuig. Het is niet een stuk om een ​​stuk malware te maken dat op zowel een oplader kan lopen, evenals een EV. Zowel aangezien die systemen met elkaar praten, kunnen ze het virus verspreiden met voertuigen die van oplader verplaatsen naar oplader.

Log4J is nu wel 2.17.1, want er is nog een meer RCE om te repareren, CVE-2021-44832. Dit scoorde slechts een 6.6 op de CVSS-schaal, in tegenstelling tot het origineel, dat in een 10. 44832 wooge nodig heeft de aanvaller nodig om eerst uit te oefenen op de log4J-configuratie, waardoor exploitatie veel moeilijker wordt gemaakt. Deze reeks follow-on kwetsbaarheden toont een algemeen bekende patroon, waarbij een kwetsbaarheid met een hoog profiel het belang van onderzoekers aantrekt, die andere problemen in exact dezelfde code ontdekken.

Er zijn nu rapporten van Log4J gebruikt in Conti Ransomware-campagnes. Bovendien is een op Marai gebaseerde worm waargenomen. Deze zelfplatende aanval lijkt onder andere targcat-servers te targeten.

WebOS valt op een momentopname

[David Buchanan] erkent dat terwijl dit een fascinerende exploit is, er is het op dit moment niet veel nut. Dat kan veranderen, maar laten we nu naar de fout kijken. Snapshots zijn een geweldige functie in de V8 JavaScript-engine. Wanneer u naar een webpagina navigeert, moet de JavaScript-context voor die pagina in het geheugen worden geproduceerd, inclusief het verpakken van alle bibliotheken die door de pagina worden gebeld. Dat duurt niet zo goed op een desktop, maar op een ingesloten gadget of een mobiele telefoon die een regionale interface wordt verpakt, kan deze initialisatiestap een groot deel van de tijd voorstellen dat nodig is om de gevraagde pagina te tekenen. Snapshots zijn een fantastische hack, waar de context is geïnitialiseerd, evenals opgeslagen. Wanneer de interface later wordt geopend, kan de V8-motor worden genoemd, het bijhouden van dat bestand, evenals de context is vooraf geïnitialiseerd, waardoor de introductie van de app of interface aanzienlijk sneller wordt ingevoerd. De enige vangst is dat V8 Snapshots verwacht dat ze alleen van een vertrouwde bron zijn verpakt.

Naar het WebOS-platform zelf. Private Apps zijn Sandboxed, maar web-apps voeren hun code uit in de context van de WebAppMGR (WAM), hun browser op basis van Chromium / V8. Terwijl de privé-apps zandbox zijn, is WAM niet. De kicker is dat een web-app zijn eigen snapshot kan opgeven aan ton in V8. Een corrupte momentopname inpakken [David] JS-type verwarring, evenals een willekeurige lees / schrijf als resultaat. Vanaf daar was het uitbreken van het rennen van JS en in de werkelijke shellcode relatief eenvoudig. Deze RCE runt als de “WAM” -gebruiker, maar dit is een mild bevoorrechte account. Met name, WAM heeft toegang tot / dev / mem – directe toegang tot het systeemgeheugen. Escalatie om te rooten is bijna triviaal.

[DAVID] heeft de volledige POC gepubliceerd, waarvan hij opmerkt dat LG notoir verloopt voor bug-bontten. Ik ben het niet eens met zijn bewering dat deze aanval volledig vertrouwt op zij-laden van een kwaadwillende app, om de eenvoudige reden dat LG hun materiële winkel voor dit platform uitvoert. Een kwaadwillende ontwerper kan in staat zijn om elk type malwaredetectie-routines te omzeilen dat LG gebruik maakt van dieren-apps. Mandelijke apps in de App Store is absoluut niets nieuws. Het ergste deel van deze exploit is dat het moeilijk is om je vinger te plaatsen op waar de kwetsbaarheid ligt.

Four-Bug-team in teams

[Fabian Bräunlein] ontdekte een aantal fascinerende onbedoelde gewoonten in Microsoft Teams ‘Link Preview-functie. Het allereerste probleem is een serverzijdige aanvraag vervalsing. Het Link-voorbeeld wordt geproduceerd op de kant van de teams Server, evenals door betekenis moet de pagina openstellen om het voorbeeld te produceren. Het probleem is het gebrek aan filtering – Linking to 127.0.0.1:80 produceert een voorproefje van wat wordt gevonden op de localhost van de teams-server.

Volgende is een eenvoudige spoofing-techniek van de link. Dit maakt gebruik van een gereedschap zoals Burp om de gegevens door de teams-client te wijzigen. Een deel van het bericht dat wordt verzonden bij het insluiten van een link is de URL naar telefoongesprek voor previewgeneratie. Er is geen verdere validatie gedaan, dus het is mogelijk om een ​​voorbeeld van een goedaardige URL te produceren, terwijl de werkelijke link naar een willekeurige pagina gaat. Het derde probleem is gerelateerd, omdat de link naar de miniatuur zelf ook in dit bericht is, evenals kan worden geknoeid. Het fascinerende gebruik is hier precies dat een aanvaller dit kan instellen op een URL die ze besturen, evenals extractinformatie van een doelwit, namelijk het openbare IP-adres. Nu wordt dit geblokkeerd door de client van het doel op de meeste platforms, maar op Android ontbraken de cheques.

En tot slot, eveneens een probleem met Android, eenAanvaller kan een “boodschap van de dood” sturen, in wezen een melding die misvormde is die de app ongevallen door probeert het voorbeeld te maken. Dit ongelukken de app telkens wanneer het individu probeert toegang te krijgen tot de chat, waardoor het individu effectief uit de app is vergrendeld. Nu zijn dit geen aardige problemen, hoe Microsoft’s collectieve schouderophalend in antwoord is … Underwhelming. Ze zijn stealth-patched het IP-adreslek, maar het is duidelijk nog steeds mogelijk om Link-previews te spoof, naast een ongeluk de Android-app.

Pbx backdoors

Onderzoekers van RedTeam Pentesting keken een kijkje op een PBX ontworpen door Auerswald, een Duitse fabrikant van telecomapparatuur. Wat hun oog betrapt was, was een geadverteerde service, waar Auerswald een beheerderswachtwoord kan uitvoeren voor een client die uit hun uitrusting is vergrendeld. Dit is een backbook-backdeur, evenals absoluut gerechtvaardigd onderzoek.

Als het maar dit type achterdeur was: https://xkcd.com/806/
Hun aanpak, in plaats van de hardware rechtstreeks aan te vallen, was om de nieuwste firmwarebundel van de website van Auerswald te pakken, evenals analyseren dat. Gebruik van het bestand, GUNZIP, evenals centimagehulpprogramma’s gaf hen het root-bestandssysteem dat ze nodig hadden. Werken met het Web of Config-bestanden, ze hebben op de Webserver-binary geregeld die hoogstwaarschijnlijk het wachtwoordherstelbackdeur bevatte. Gewoon een briefje, het is extreem typisch voor ingesloten gadgets om al hun individuele interface en configuratielogica in een enkel HTTPD-binair mogelijk te maken.

Gegeven een binair belang, vertrouwden ze op wat er snel het voorkeursinstrument van veiligheidsonderzoekers overal is, ghidra. Ze hadden nog een hint, de “sub-admin” -gebruiker, zo zocht naar die string met behulp van Ghidra. Paydirt. Boren met functies, de hardcodeerde gebruikersnaam “Schandelah” was daar. Een beetje meer sleuteling bedacht de wachtwoordfunctie. Voor elke van deze PBX’s is het achtervoor wachtwoord de allereerste 7 tekens van de MD5 HASH van, het serienummer + “R2D2” van het apparaat + de huidige datum.

Alleen voor de lol gebruikten de onderzoekers Ghidra om te bladeren naar andere gebruik van de backdoor-wachtwoordfunctie. Blijkt, als de Admin-persoon is opgegeven, evenals het wachtwoord komt niet overeen met het door de gebruiker geconfigureerde wachtwoord, vergeleken met dit algoritme. Als het overeenkomt? Je bent ingelogd als admin op de hardware. Dit is natuurlijk nuttiger dan het resetten van het beheerderswachtwoord, omdat het toegang heeft tot toegang tot zonder enige voorduidelijke aanpassingen aan het systeem. Het hele artikel is een fantastische tutorial over het gebruik van Ghidra voor dit soort onderzoek.

Auerswald extreem snel duwde firmwaremodificaties om de geïdentificeerde problemen te corrigeren. Een achterdeur zoals deze, die publiekelijk bekend is, is niet bijna de juridische en eerlijke landmijn zoals een paar van de anderen die we hier hebben besproken. Er is nog steeds een probleem met de toepassing – een wachtwoordreset moet eveneens de gadget worden ingesteld op fabrieksinstellingen en afzonderlijke gegevens verwijderen. Alles wat minder uitnodigt uit de openbaarmaking van grote gegevens.

Sam spoofing

Deze Windows Active Directory Privilege Escalation-beveiligingslek is interessant voor zijn eenvoud. Het is een combinatie van CVE-2021-42287 en CVE-2021-42278. Windows Active Directory heeft twee unieke type accounts, zowel individuele als machinaire accounts. Machineaccounts worden gebruikt om specifieke hardware in het domein te brengen, evenals in het algemeen eindigen met de dollarindicatie (MyMachine1 $). Standaard kan een persoon machineaccounts produceren, naast de naam van die accounts. Het allereerste nummer is dat een individu zowel kan produceren als en vervolgens een machine-account hernoemen als exact hetzelfde als een domeincontroller, precies zonder dat uiteindelijke dollarteken. Ik kan bijvoorbeeld MyMachine1 $ produceren, en hernoem het dan naar domeincontroller1. DomeinController1 $ zou nog steeds bestaan, evenals het domein zou die als afzonderlijke machinaire accounts zien.

Moderne Windows-domeinen maken gebruik van Kerberos onder de motorkap, evenals Kerberos maakt gebruik van het kaartparadigma. Een account kan een ticketverlening ticket (TGT) aanvragen die fungeert als een tijdelijk authenticatietoken. Geloof het als een wachtwoordvervanging, die onmiddellijk met verzoeken kan worden verzonden. De aanval is om een ​​TGT aan te vragen voor de hername machineaccount, evenals en vervolgens die account opnieuw noemen wanneer, terug naar Mymachine1. De sleutel is dat de aanvaller nog steeds een geldig ticket heeft voor het DomainController1-account, hoewel er niet langer een account bestaat die deze precieze naam niet blijft houden. Vervolgens verzoekt de aanvaller een sessiesleutel uit het sleuteldistributiecentrum (KDC) met behulp van deze TGT. De KDC merkt op dat het verzoekende account niet bestaat, evenals helpelijk de dollar-indicatie bij te voegen en het inspecteer opnieuw uit te voeren. Het ziet de geldige TGT voor DomainController1, evenals retourneert een sessietoets die de aanvaller autoriseren als domineeController1 $, die optreedt om een ​​domeinbeheerderaccount te zijn.

Chrome’s ouder wordende pijn

Het is vermeld dat we geen Windows 9 hebben gekregen, omdat er ook veel oude apps w warenRitten met Regex die de uitvoering zou voorkomen, klagen dat de applicatie niet op Windows 95 of 98 zou worden uitgevoerd. Chrome probeert een soortgelijk probleem te voorkomen, zoals Google’s ontwerpers versie 100 aan de horizon zien. Dit soort dingen heeft eerder gebeten webbrowser, met name wanneer Opera versie 10 vrijgegeven, verder de reeks van de gebruikersagent in het proces breken. Firefox is ook op het plezier, evenals zowel de ontwerpers van Browsers hebben een verzoek van u: zoek op het web met een spoofed user-agent string, evenals laat ze begrijpen wat het gevolg is van versie 100. Deze zou een geweldige kans zijn om ook je eigen sites te testen. Laten we begrijpen of je een soort van bijzonder vreemde resultaten ziet.

Leave a Reply

Your email address will not be published. Required fields are marked *