0

Tento týden v SECURITY: NPM vandalismus, simulujících restartuje a více

February 5, 2022

jsme probrali docela dost příběhů o malware plížit se do NPN a jiných úložišť JavaScript. To je trochu jiný. Tentokrát programátor JS zdemoloval své vlastní balíčky. Není to ani malware, možná bychom měli říkat, že protestware? Dva balíčky, barvy a podvodník, tak populární, s kombinovaným týdenní stažení téměř 23 milionů. Jejich autor, [Marak] přidal přetržení aktualizace pro každý z nich. Tyto knihovny se vytisknout záhlaví svobody LIBERTY LIBERTY, a pak buď náhodné znaky nebo velmi špatnou ASCII art. To bylo potvrzeno, že se nejednalo o vnější útočník, ale [Marak] lámání své vlastní projekty na účel. Proč?

Vypadá to, že tento příběh začíná znovu na konci roku 2020, kdy [Marak] ztratil trochu do ohně, a musel požádat o peníze na Twitteru. Edit: díky komentátor [Jack Dansen] za zdůraznění důležitý detail, který chyběl. Marak byl obviněn za obecné ohrožení, a bylo podezření na možné aspirace terorismu, jako bomba materiály pro výrobu byly nalezeny v jeho spálené-out bytu. O dva týdny později, když tweeted, že miliardy byly dělány volno open source vývojáři s odvoláním na únik FAANG. FAANG je odkaz na pěti velkých amerických technologických společností: Facebook, Apple, Amazon, Netflix a Google. Ve stejný den, on otevřel problém na GitHub pro faker.js, odhodil ultimátum: „Vem si to jako příležitost, aby mi poslal šest postava roční kontrakt nebo fork projektu a někdo jiný pracovat na něm“

Pokud se ocitnete litovat [Mařáka], je tu vrásky vlevo otočit. Má nedopustil kód colors.js od února 2018. jiný developer, [DABH] bylo provádění údržby od té doby až do vandalismus se stalo. Všichni říkali, že je to bordel. Oba projekty na NPM byly vráceny do svých nerušený verzí, a bude pravděpodobně otočí oficiálních vidlice projektů.

simulované Restartuje

Společný moudrost je, že zatímco existuje několik objednávek malware výstroje, produkoval likes skupiny NBÚ, že malware nemůže skutečně porazit Apple zabezpečené botu, takže restartování telefonu je dost „odinstalovat“ to. Problém s tímto je zřejmé, jakmile to slyšel: Jsi důvěřivý kompromisní zařízení skutečně provést čistou restartování počítače. Výzkumníci z ZecOps prokázaly schopnost přerušit proces restartu v tom, co oni volají NoReboot. Jejich kód zavěsí do funkce vypnutí, a místo toho zabije uživatelského rozhraní. jednou tlačítko napájení po opětovném stisknutí tlačítka se zobrazí spouštěcí animace a nakonec šikovný příkaz restartování systému v uživatelském prostoru. dívat se na ukázku níže vložený.

Žádný problém, ne? stačí použít funkci hardware síla restart. hlasitost nahoru, hlasitost dolů, pak podržte tlačítko napájení til dostanete logo Apple. Jak dlouho si ho pochovat? dokud logo objeví – vpravo, je to triviální předstírat nucený restart než ten skutečný stane. OK, tak vím, že získat skutečný restart stačí vytáhnout baterii … Oh.

via Record.

Microsoft Hacks MacOS

MacOS má funkci nazvanou Transparentnost, Souhlas, a kontrola (TCC), která zpracovává oprávnění pro jednotlivé aplikace. Tento systém zabraňuje aplikace kalkulačka přístupu kamery na systému, například. Nastavení jsou uložena v databázi uložené v domovském adresáři, s přísné kontroly brání aplikací z přímo modifikovat jej. Microsoft oznámil zranitelnost Powerdir, který kombinuje pár vtípky překonat ochranu. Exploit je jednoduchý: vytvořit databázi falešnou TCC, a pak změnit domovský adresář uživatele, aby falešnou databáze je nyní aktivní. Je to trochu složitější, než to, protože náhodný app opravdu neměl být schopen přemapovat domovský adresář.

Zjistili dvě techniky, aby se přemapovat práci. Prvním z nich je adresářové služby binární soubory, dsexport a dsimport. Při změně domovského adresáře přímo vyžaduje root přístup, tento export / import tanec může být provedeno tak, jak neprivilegovaným uživatelem. Druhá metoda je vytvořit škodlivý svazek do configd binárních, který dělá kód vstřikování útoku. Je zajímavé vidět, Microsoft i nadále dělat bezpečnostní výzkum cílení MacOS. Jejich motivace může být menší než ušlechtilý, ale je to opravdu pomůže udržet všechny naše zařízení bezpečnější.

QNAP a UPnP

Jsme probrali poměrně málo NAS zranitelnost v průběhu let, a já jsem poznamenal, několikrát, že to opravdu není moudré vystavit spotřebiče, jako je to na internetu. jedním z navrhovaných vysvětlení bylo UPnP, a dnes máme nějaké oficiální potvrzení, že toto je opravdu součástí problému. V novém informačním zpravodaji QNAP oficiálně doporučuje vypnout UPnP v zařízeních QNAP. Vypadá to, že by to mělo být doporučeno docela nějaký čas zpátky, nebo ještě lépe, jsou tato zařízení dodané s UPnP ve výchozím stavu zakázáno. Chtěl bych jít o krok dále, a naznačují, otáčením funkci vypnout ve svém směrovači také, pokud víte, že jste skutečně potřebovat pro něco.

Pokud si disk USB v e-mailu …

Proboha, Nepřipojujte ji! Zdá se, že několik společností nedostalo tuto poznámku, protože tam byla úspěšná ransomware kampaň FIN7 pomocí tohoto přístupu. Trik je, že oni patří oficiální vypadající dopis, a možná dárkovou kartu, lákavá přijímač zapojit disk USB, aby si nárokoval jejich věrnostní odměnu. Kampaň 2020 ze stejné skupiny vydávané nejlepší koupit, kde tento nárok na Amazon nebo HHS.

Možná jste se shromáždili, že tyto flash disky jsou více než jen úložiště flash. Zdá se, že se zdají být badusb zařízení – malé hrany, které se registrovat jako skrytá zařízení a posílat stisknutí kláves do počítače. Po připojeném se otevírají Powershell a provozují škodlivý skript, což umožňuje vzdálený přístup k útočníkům. Pokud obdržíte jeden z nich, nebo podobný útok zavolejte FBI nebo váš místní ekvivalent. Zprávy od firem a jednotlivců je to, co vede k varování, jako je tento.

Pozorovatelné aktualizace

První kolo Android aktualizací pro tento rok je venku, a je tu jeden samostatný problém, který ovlivňuje pletnu zařízení Sporting Qualcomm Snapdragon. CVE-2021-30285 je životně důležitou hodnotou zranitelnost v uzavřeném zdrojovém softwaru Qualcomm. To se nazývá “nesprávné ověření vstupu v jádře”, ale zdá se, že je problém řízení paměti v hypervisoru Qualcomm. Je hodnoceno 9.3 na stupnici CVSS, ale v této době nejsou k dispozici žádné další podrobnosti.

Virtualizační produkty VMware byly opraveny proti CVE-2021-22045, chybu zabezpečení přetečení haldy v jejich virtuálním CD-ROMovém kódu zařízení. Vykořisťování by mohlo mít za následek únik VM a libovolný kód běh na stroji na stroji, nejhorším scénáři pro operátory VM. Sazby chyb A 7,7, a nahoře musí být k stroji aktivně připojen obraz CD, takže řešení je docela snadné – stačí vyjmout jednotku CD nebo obrázek.