en las últimas dos semanas, Log4j ha continuado conduciendo noticias de seguridad, y se encuentran plataformas más vulnerables, así como una extra. Cves saliendo. Muy primero es el trabajo realizado por Trendmicro, mirando vehículos eléctricos, así como a los cargadores. Descubrieron un asalto LOG4J en uno de los marcos de cargador publicados, así como también se manejó para observar la evidencia de vulnerabilidad en el sistema de infoentensión en el vehículo TESLA. No es un tramo para imaginar un pedazo de malware que pueda ejecutarse tanto en un cargador, así como un EV. Además, dado que los sistemas hablan con todos los demás, podrían propagar el virus con vehículos que se movían del cargador al cargador.
Log4j es ahora hasta 2.17.1, ya que todavía hay un RCE más para solucionar, CVE-2021-44832. Esto solo se califica a 6.6 en la escala de CVSS, a diferencia del original, que pesaba en un 10. 44832 necesita que el atacante se haya administrado por primera vez en la configuración de LOG4J, lo que hace que la explotación sea mucho más difícil. Esta cadena de vulnerabilidades de seguimiento demuestra un patrón ampliamente conocido, donde una vulnerabilidad de alto perfil atrae el interés de los investigadores, que descubren otros problemas en el mismo código exacto.
Ahora hay informes de LOG4J que se utilizan en las campañas de Ransomware de Conti. Además, se ha observado un gusano con sede en Marai. Este asalto autopropagante parece estar apuntando a los servidores de Tomcat, entre otros.
WebOS cae a una instantánea
[David Buchanan] reconoce que, si bien esta es una explotación fascinante, no hay mucha utilidad en este momento. Eso podría cambiar, sin embargo, veamos la falla por ahora. Las instantáneas son una función increíble en el motor V8 JavaScript. Cuando navega a una página web, el contexto de JavaScript para esa página debe producirse en la memoria, incluido el embalaje de todas las bibliotecas llamadas por la página. Sin embargo, eso no toma tanto tiempo en un escritorio, sin embargo, en un gadget incrustado o un teléfono celular que empaque una interfaz regional, esta etapa de inicialización puede representar una gran parte del tiempo necesario para dibujar la página solicitada. Las instantáneas son un truco fantástico, donde se inicializa el contexto, así como luego se guarda. Cuando la interfaz se abre posteriormente, el motor V8 se puede llamar manteniendo ese archivo, así como el contexto se inicializan previamente, lo que hace que la introducción de la aplicación o la interfaz sean apreciablemente más rápidas. La única captura es que V8 espera que las instantáneas solo se llenen de una fuente confiable.
En la plataforma de webos. Las aplicaciones privadas están sandboxed, sin embargo, las aplicaciones web ejecutan su código en el contexto de la webappmgr (WAM), su navegador basado en Chromium / V8. Mientras que las aplicaciones privadas están sandboxed, Wam no lo es. El kicker es que una aplicación web puede especificar su propia instantánea a toneladas en V8. Embalaje de una instantánea dañada proporcionada [David] JS Type confusión, así como una primitiva lectura / escritura arbitraria como resultado. A partir de ahí, salió de correr JS, así como en el código sólido real fue relativamente fácil. Este RCE se ejecuta como el usuario “WAM”, sin embargo, esta es una cuenta ligeramente privilegiada. En particular, WAM tiene acceso a Acceso a A / DEV / MEM: acceso directo a la memoria del sistema. La escalada a la raíz es casi trivial.
[David] ha publicado el POC completo, observando que LG notoriamente subyacta por las recompensas de errores. No estoy de acuerdo con su afirmación de que este asalto se basa completamente en una aplicación maliciosa de carga lateral, por la simple razón de que LG ejecuta su tienda de materiales para esta plataforma. Un diseñador malicioso puede ser capaz de omitir cualquier tipo de rutinas de detección de malware que LG utilice a las aplicaciones VET. Las aplicaciones maliciosas en la tienda de aplicaciones no son definitivamente nada nuevo, después de todo. La peor parte de este hazlo es que es difícil poner el dedo en el lugar donde se encuentra la vulnerabilidad.
Equipo de cuatro errores en equipos.
[FABIAN BRÄUNLEIN] descubrió algunos hábitos involuntarios fascinantes en la función de vista previa de enlace de Microsoft Teams. El primer problema es un lado del servidor, solicita falsificación. La vista previa del enlace se produce en el lado del servidor de equipos, así como por las necesidades de significado que abren la página para producir la vista previa. El problema es la falta de filtrado: la conexión a 127.0.0.1:80 produce una vista previa de lo que se encuentra en el localhost del servidor de los equipos.
Siguiente es una técnica simple de suplantación de enlaces. Esto utiliza una herramienta como BRIP a la modificación de los datos enviados por el cliente de equipos. Parte del mensaje que se envía al obtener un enlace es la URL para llamar a la generación de vista previa. No se hace ninguna otra validación, por lo que es posible producir una vista previa de una URL benigna, mientras que el enlace real va a una página arbitraria. El tercer problema está relacionado, ya que el enlace a la propia miniatura está igualmente en este mensaje, así como se puede manipular. El caso de uso fascinante aquí es que un atacante podría establecer esto a una URL que controlan, así como extraer información de un objetivo, a saber, la dirección IP pública. Ahora, esto está bloqueado por el cliente del objetivo en la mayoría de las plataformas, sin embargo, en Android que faltaban los cheques.
Y finalmente, igualmente un problema único de Android, unEl atacante puede enviar un “mensaje de muerte”, esencialmente un mensaje mal formado que accide a la aplicación con solo intentar rendir la vista previa. Esto accidentes la aplicación cada vez que el individuo intenta acceder al chat, bloqueando efectivamente al individuo de la aplicación por completo. Ahora, estos no son problemas de destrozamiento de la Tierra, sin embargo, el encogimiento de hombros colectivo de Microsoft es … Dentro. Ellos tienen una fuga de direcciones IP, sin embargo, obviamente es posible que, además de Spoof Link Previews, además de acceder a la aplicación Android.
PBX BackDoors
Los investigadores de RedTeam Pentesting echaron un vistazo a un PBX diseñado por Auerswald, un fabricante alemán de equipos de telecomunicaciones. Lo que atrapó su atención fue un servicio anunciado, donde Auerswald podría realizar un restablecimiento de contraseña de administrador para un cliente bloqueado de su equipo. Esta es una puerta trasera de libro de texto, así como la investigación definitivamente justificada.
Si solo fuera este tipo de puerta trasera: https://xkcd.com/806/
Su enfoque, en lugar de atacar directamente al hardware, fue tomar el último paquete de firmware del sitio web de Auerswald, así como también analizarlo. Utilizar el archivo, Gunzip, así como las utilidades de DumpIgage les proporcionaron el sistema de archivos raíz que necesitaban. Trabajando con la web de archivos de configuración, se establecieron en el binario de servidor web que probablemente contenía la puerta trasera de restablecimiento de contraseña. Solo una nota, es extremadamente típico de los gadgets integrados para incluir toda su interfaz individual, así como la lógica de configuración en un solo binario HTTPD.
Dado un binario, se basaron en lo que rápidamente ha terminado siendo la herramienta preferida de investigadores de seguridad en todas partes, Ghidra. Tenían una sugerencia más, el usuario “Sub-Admin”, buscaba así esa cadena que utiliza Ghidra. PayDIRT. Perforando con funciones, el nombre de usuario con codificación dura “Schandelah” estaba allí. Un poco más con mayor ocasión se le ocurrió la función de contraseña. Para cada uno de estos PBX, la contraseña de puerta trasera es los primeros 7 caracteres del hash MD5, el número de serie de la unidad + “R2D2” + la fecha actual.
Solo por diversión, los investigadores utilizaron Ghidra para buscar otros utilizados de la función de contraseña de puerta trasera. Resulta que, si se especifica la persona administradora, así como la contraseña no coincide con la contraseña configurada por el usuario, se compara con este algoritmo. Si coincide? Has iniciado sesión como admin en el hardware. Esto es obviamente más útil que restablecer la contraseña de administrador, ya que permite acceder a obtener acceso sin ningún tipo de modificaciones obvias al sistema. Todo el artículo es un fantástico tutorial sobre la utilización de Ghidra para este tipo de investigación.
Auerswald extremadamente rápidamente eliminó las modificaciones de firmware para corregir los problemas identificados. Una puerta trasera como esta, que se divulga públicamente, no es casi la mina terrestre legal y honesta, como algunos de los otros que hemos discutido aquí. Todavía hay un problema con la aplicación: un restablecimiento de una contraseña también debe restablecer el gadget a la configuración de fábrica, así como eliminar los datos individuales. Cualquier cosa menos es invitar la divulgación de datos principal.
SAM SPOOFING
Esta vulnerabilidad de la escalada de privilegios de privilegios de Active Directory es interesante por su simplicidad. Es una combinación de CVE-2021-42287, así como CVE-2021-42278. Windows Active Directory tiene dos tipos únicos de cuentas, individuales, así como cuentas de máquinas. Las cuentas de la máquina se utilizan para traer hardware específico al dominio, así como generalmente terminan con la indicación del dólar (MyMachine1 $). De forma predeterminada, una persona puede producir cuentas de máquinas, además de cambiar el nombre de esas cuentas. El primer problema es que una persona podría producir, así como luego cambiar el nombre de una cuenta de la máquina como exactamente igual que un controlador de dominio, solo sin ese signo de dólar final. Por ejemplo, podría producir MyMachine1 $, luego cambiarlo de nombre a DomainController1. DomainController1 $ todavía existiría, así como el dominio verían aquellos como cuentas de máquinas separadas.
Los dominios modernos de Windows utilizan Kerberos bajo la capucha, así como Kerberos utiliza el paradigma del boleto. Una cuenta puede solicitar un boleto de concesión de boletos (TGT) que actúa como un token de autenticación temporal. Creo que es un reemplazo de contraseña, que se puede enviar inmediatamente con las solicitudes. El asalto es solicitar un TGT para la cuenta de la máquina renombrada, así como luego cambiar el nombre de esa cuenta cuando nuevamente, de nuevo a MyMachine1. La clave es que el atacante aún tiene un boleto válido para la cuenta de DomainController1, aunque una cuenta ya no existe manteniendo ese nombre preciso. A continuación, el atacante solicita una clave de sesión del centro de distribución clave (KDC) que utiliza este TGT. El KDC señala que la cuenta solicitante no existe, además de ayudar a agregar la indicación del dólar, así como a la inspección nuevamente. Ve el TGT válido para DomainController1, así como devuelve una clave de sesión que autoriza al atacante como DomainController1 $, que ocurre para ser una cuenta de administrador de dominio.
Dolores envejecidos de Chrome
Se afirma que no obtuvimos una Windows 9, ya que también muchas aplicaciones antiguas fueron WRitten con REGEX que evitaría la ejecución, quejándose de que la aplicación no se ejecutará en Windows 95 o 98. Chrome está tratando de evitar un problema similar, ya que los diseñadores de Google ven la versión 100 en el horizonte. Este tipo de cosas ha mordido el navegador web antes, especialmente cuando Opera lanzó la versión 10, rompiendo aún más la cadena del agente de usuario en el proceso. Firefox también se está divirtiendo en la diversión, así como los diseñadores de ambos navegadores tienen una solicitud de usted: busque la web con una cadena de agentes de usuario falsificados, así como de que entiendan qué roturas como resultado de la versión 100. Esta Sería una gran oportunidad para probar tus propios sitios, también. Entendamos si ve algún tipo de resultados especialmente extraños.