Uncategorized

DEZE WEEK IN VEILIGHEID: NPM vandalisme, het simuleren van reboots, en nog veel meer

March 2, 2022

We hebben heel wat verhalen over malware sluipen in de NPN en andere JavaScript repositories gedekt. Dit is een beetje anders. Deze keer een JS programmeur vernield zijn eigen pakketten. Het is zelfs niet malware, misschien moeten we noemen het protestware? De twee pakketten, kleuren en vervalser zijn beide populair, met een gecombineerde wekelijkse download van bijna 23 miljoen euro. Hun auteur, [Marak] toegevoegd een breken update voor elk van hen. Deze bibliotheken nu afdrukken van een header van vrijheid LIBERTY LIBERTY, en vervolgens willekeurige tekens, of zeer slechte ASCII-art. Het is al bevestigd dat dit was niet een externe aanvaller, maar [Marak] het breken van zijn eigen projecten op de grond. Waarom?

Het lijkt erop dat dit verhaal terug in de late 2020 begint, wanneer [Marak] verloor nogal wat bij een brand, en we moesten vragen om geld op Twitter. Edit: dank zij commenter [Jack Dansen] voor het wijzen op een belangrijk detail dat ontbrak. Marak werd gebracht voor roekeloos gedrag en werd verdacht voor mogelijke aspiraties terrorisme, zoals het maken van bommen materialen werden gevonden in zijn uitgebrande appartement. twee weken later, tweeted hij dat miljarden werden gemaakt uit het werk open source ontwikkelaars, het citeren van een Faang lek. Faang is een verwijzing naar de grote vijf Amerikaanse technologiebedrijven: Facebook, Apple, Amazon, Netflix en Google. Op dezelfde dag, opende hij een probleem op GitHub voor faker.js, het gooien van een ultimatum: “Neem dit als een kans om me een zes cijfers jaarcontract te sturen of een vork het project iemand anders aan werken”

Als je merkt dat je medelijden met [Marak], is er een rimpel links te draaien. Hij heeft niet begaan code om colors.js sinds februari 2018. andere ontwikkelaar, [DABH] is bezig met onderhoud sindsdien tot het vandalisme gebeurd. Alles bij elkaar, het is een puinhoop. Beide projecten op NPM zijn teruggekeerd naar hun ongehinderd releases, en zal waarschijnlijk worden gedraaid tot de officiële vorken van de projecten.

gesimuleerde Reboots

De gemeenschappelijke wijsheid is dat terwijl er meerdere iOS malware kits, geproduceerd door de wil van van NSO-groep, die malware kan eigenlijk niet verslaan beveiligde boot van Apple, dus een telefoon reboot is genoeg om “uninstall” het. Het probleem met dit is duidelijk zodra je het te horen: Je bent een gecompromitteerde apparaat vertrouwen op een schone reboot daadwerkelijk uit te voeren. Onderzoekers van ZecOps hebben de mogelijkheid om het reboot proces in wat ze roepen noreboot onderbreken aangetoond. Hun code haken in de shutdown functie, en in plaats daarvan doodt de gebruikersinterface. zodra de knop opnieuw wordt ingedrukt, wordt de boot animatie getoond, en ten slotte een handige commando systeem herstart userspace. bekijk de demo embedded hieronder.

Geen probleem, toch? gewoon gebruik maken van de hardware kracht restart functie. volume omhoog, volume omlaag, houd dan de aan-uitknop tot u het Apple-logo te krijgen. hoe lang denk je het te houden? totdat het logo shows up – rechts, het is triviaal om nep opnieuw op te starten voordat de echte gebeurt. OK, dus om te weten dat je een echte reboot je gewoon de batterij te trekken … Oh.

via The Record.

Microsoft Hacks MacOS

MacOS heeft een functie genaamd Transparantie, Consent, en controle (TCC), die handvatten rechten voor individuele apps. Dit systeem voorkomt de rekenmachine toegang webcam van het systeem, bijvoorbeeld. De instellingen worden opgeslagen in een database opgeslagen in de home directory, met strenge controles voorkomen apps rechtstreeks te modificeren. Microsoft heeft de Powerdir kwetsbaarheid, die een paar eigenaardigheden combineert met de bescherming overwinnen aangekondigd. De exploit is simpel: maak een nep-TCC database, en vervolgens de gebruiker home directory zodat vervalste database is nu het actieve. Het is een beetje ingewikkelder dan dat, omdat een willekeurige app moet echt niet in staat zijn om de home directory opnieuw toewijzen.

Ze vonden twee technieken om de remap te laten werken. eerste is de directory services binaries, dsexport en dsimport. Terwijl het veranderen van de home-directory direct root-toegang nodig heeft, kan deze export / import dance worden gedaan als een onbevoegde gebruiker. De tweede techniek is een kwaadaardige bundel aan de configd binaire, waarbij een code-injectie aanvalt. Het is interessant om te zien Microsoft blijven veiligheidsonderzoek targeting MacOS doen. Hun motivatie misschien minder nobele zijn, maar het is echt helpen houden al onze toestellen beter te beveiligen.

QNAP en UPnP

We hebben een flink aantal NAS kwetsbaarheden gedekt door de jaren heen, en ik heb meerdere malen dat het niet echt verstandig om apparaten als deze bloot te stellen aan het internet opgemerkt. een van de voorgestelde verklaringen was UPnP, en vandaag hebben we een aantal officiële bevestiging dat dit inderdaad een deel van het probleem. In een nieuw adviesorgaan, QNAP raadt officieel het uitschakelen UPnP in QNAP apparaten. Het lijkt erop dat dit zou moeten zijn aanbevolen geruime tijd terug, of beter nog, deze apparaten geleverd met UPnP standaard uitgeschakeld. Ik wil een stap verder gaan, en stel u de functie ingeschakeld in uw router, ook, tenzij je weet dat je eigenlijk nodig hebt voor iets.

Als je een USB-stick in de Post …

God beware, sluit het niet in! Het lijkt erop dat een paar bedrijven die memo niet hebben gekregen, omdat er een succesvolle Ransomware-campagne is geweest met Fin7 met behulp van alleen deze aanpak. De truc is dat ze een officiële uitziende brief bevatten, en misschien een cadeaubon, verleidt de ontvanger om de USB-drive aan te sluiten om hun loyaliteitsbeloning te claimen. Een 2020-campagne van dezelfde groep is de beste koop, waar deze beweert te zijn van Amazon of HHS.

Misschien heb je verzameld dat deze flash-drives meer zijn dan alleen flash-opslag. In feite lijken ze Badusb-apparaten te zijn – kleine chips die zich registreren als HID-apparaten en toetsaanslagen naar de computer verzenden. Eenmaal aangesloten, openen ze PowerShell en voeren ze een kwaadaardig script uit, waardoor externe toegang tot de aanvallers biedt. Als u een van deze, of een vergelijkbare aanval ontvangt, belt u de FBI of uw lokale equivalent. Rapporten van bedrijven en individuen is wat leidt tot waarschuwing zoals deze.

Opmerkelijke updates

De eerste ronde van Android-updates voor dit jaar is uit, en er is een stand-outprobleem, waardoor een overvloed aan apparaten die de Qualcomm-leeuwenraak zijn besproken. CVE-2021-30285 is een vitale nominale kwetsbaarheid in de gesloten source software van Qualcomm. Het wordt een “onjuiste invoervalidatie in kernel” genoemd, maar lijkt een geheugenbeheerprobleem in de Qualcomm-hypervisor. Het heeft een 9.3 op de CVSS-schaal, maar er zijn op dit moment geen andere details beschikbaar.

De virtualisatieproducten van VMware zijn gepatcht tegen CVE-2021-22045, een kwetsbaarheid van de heap-overloop in hun virtuele CD-ROM-apparaatcode. Exploitatie kan resulteren in een VM-escape en willekeurige code die op de machine-hypervisor wordt uitgevoerd, een slecht scenario voor VM-operators. De FLAW-tarieven a 7.7, en gelukkig moet er een CD-afbeelding zijn die actief aan de machine is bevestigd, dus de oplossing is vrij eenvoudig – verwijder gewoon de CD-drive of afbeelding.

Leave a Reply

Your email address will not be published. Required fields are marked *