ในช่วงสองสัปดาห์ที่ผ่านมา Log4J ยังคงขับเคลื่อนข่าวความปลอดภัยด้วยแพลตฟอร์มที่มีช่องโหว่มากขึ้นเช่นเดียวกับพิเศษ cves ออกมา ก่อนอื่นทำงานโดย TrendMicro ดูยานพาหนะไฟฟ้ารวมถึงชาร์จ พวกเขาค้นพบการจู่โจม Log4J ในหนึ่งในกรอบการชาร์จที่ตีพิมพ์รวมถึงการจัดการกับหลักฐานการเสี่ยงต่อช่องโหว่ในระบบ Infotainment Tesla ใน Tesla มันไม่ยืดเพื่อให้ภาพของมัลแวร์ที่อาจทำงานบนเครื่องชาร์จเช่นเดียวกับ EV เช่นเดียวกับเนื่องจากระบบเหล่านั้นคุยกับทุกคนพวกเขาอาจกระจายไวรัสกับยานพาหนะที่เคลื่อนที่จากเครื่องชาร์จไปยังเครื่องชาร์จ
Log4J ตอนนี้มีมากถึง 2.17.1 เนื่องจากยังมีอีกหนึ่ง RCE ที่จะแก้ไข CVE-2021-44832 นี่เป็นเพียงการทำคะแนนเพียง 6.6 บนสเกล CVSS ซึ่งตรงข้ามกับต้นฉบับซึ่งชั่งน้ำหนักใน 10 44832 ต้องการผู้โจมตีที่จะออกแรงจัดการการกำหนดค่า Log4J ครั้งแรกทำให้การเอารัดเอาเปรียบมากขึ้น ช่องโหว่ของการติดตามนี้แสดงให้เห็นถึงรูปแบบที่รู้จักกันอย่างกว้างขวางซึ่งช่องโหว่ที่มีชื่อเสียงสูงดึงดูดความสนใจของนักวิจัยผู้ค้นพบปัญหาอื่น ๆ ในรหัสเดียวกัน
ขณะนี้มีรายงานของ Log4j ที่ใช้ในแคมเปญ Conti Ransomware นอกจากนี้เวิร์มที่อาศัยอยู่ใน Marai ได้รับการปฏิบัติ การโจมตีการแพร่กระจายของตัวเองนี้ดูเหมือนจะกำหนดเป้าหมายเซิร์ฟเวอร์ Tomcat ในหมู่คนอื่น ๆ
WebOS ตกลงไปที่สแนปชอต
[David Buchanan] ยอมรับว่าในขณะที่นี่เป็นประโยชน์ที่น่าสนใจไม่มียูทิลิตี้มากนักในตอนนี้ ที่อาจมีการเปลี่ยนแปลงอย่างไรก็ตามลองดูข้อบกพร่องสำหรับตอนนี้ สแนปชอตเป็นฟังก์ชั่นที่ยอดเยี่ยมในเครื่องยนต์ V8 JavaScript เมื่อคุณนำทางไปยังเว็บเพจบริบท JavaScript สำหรับหน้านั้นจะต้องผลิตในหน่วยความจำรวมถึงการบรรจุไลบรารีทั้งหมดที่เรียกว่าโดยหน้า ที่ไม่ได้ใช้เวลานานในเดสก์ท็อปอย่างไรก็ตามในแกดเจ็ตที่ฝังตัวหรือโทรศัพท์มือถือบรรจุอินเทอร์เฟซระดับภูมิภาคขั้นตอนการเริ่มต้นนี้สามารถแสดงส่วนใหญ่ของเวลาที่จำเป็นในการวาดหน้าที่ร้องขอ สแนปชอตเป็นแฮ็คที่ยอดเยี่ยมที่บริบทเริ่มต้นเช่นเดียวกับที่บันทึกไว้แล้ว เมื่อเปิดอินเทอร์เฟซเครื่องยนต์ V8 สามารถเรียกได้ว่าการเก็บรักษาไฟล์นั้นรวมถึงบริบทที่กำหนดค่าเริ่มต้นล่วงหน้าทำให้การแนะนำของแอปหรืออินเทอร์เฟซได้รับการชื่นชมได้เร็วขึ้น การจับเพียงอย่างเดียวคือ V8 คาดว่าสแน็ปช็อตจะถูกบรรจุจากแหล่งที่เชื่อถือได้เท่านั้น
ไปที่แพลตฟอร์ม WebOS เอง แอพส่วนตัวเป็น Sandboxed อย่างไรก็ตามเว็บแอปใช้รหัสของพวกเขาในบริบทของ WebAppMgr (WAM) เบราว์เซอร์ของพวกเขาตามโครเมียม / V8 ในขณะที่แอพส่วนตัวเป็น Sandboxed, WAM ไม่ใช่ The Kicker คือเว็บแอปสามารถระบุสแน็ปช็อตของตัวเองเป็นตันเป็น V8 การบรรจุสแนปชอตที่เสียหายให้ [David] ความสับสนประเภท JS เช่นเดียวกับการอ่าน / เขียนโดยพลการดั้งเดิมเป็นผล จากที่นั่นทำลาย JS รวมถึงกระสุนจริงนั้นค่อนข้างง่าย RCE นี้ทำงานเป็นผู้ใช้ “WAM” อย่างไรก็ตามนี่เป็นบัญชีที่มีสิทธิพิเศษอย่างอ่อนโยน โดยเฉพาะอย่างยิ่ง WAM ได้เข้าถึงการเข้าถึง / DEV / MEM – เข้าถึงหน่วยความจำระบบโดยตรง การเลื่อนระดับเป็นรากเกือบเล็กน้อย
[David] ได้ตีพิมพ์ POC เต็มรูปแบบโดยสังเกตว่า LG Underpays ฉาวโฉ่สำหรับ Bug Bounties ฉันไม่เห็นด้วยกับการยืนยันของเขาว่าการโจมตีนี้ต้องพึ่งพาแอปที่เป็นอันตรายต่อการโหลดอย่างสมบูรณ์แบบด้วยเหตุผลง่าย ๆ ที่ LG ใช้งานร้านค้าวัสดุสำหรับแพลตฟอร์มนี้ นักออกแบบที่เป็นอันตรายอาจสามารถหลีกเลี่ยงการตรวจจับมัลแวร์ประเภทใด ๆ ที่ LG ใช้ประโยชน์จากแอป VET แอพที่เป็นอันตรายใน App Store นั้นไม่มีอะไรใหม่แน่นอนหลังจากทั้งหมด ส่วนที่แย่ที่สุดของการใช้ประโยชน์นี้คือมันยากที่จะวางนิ้วในที่ที่ช่องโหว่อยู่
ทีมสี่ข้อผิดพลาดในทีม
[Fabian Bräunlein] ค้นพบนิสัยที่ไม่ได้ตั้งใจที่น่าสนใจในคุณสมบัติการแสดงตัวอย่างลิงค์ของ Microsoft Teams ปัญหาแรกคือการขอรับการปลอมแปลงด้านเซิร์ฟเวอร์ ตัวอย่างลิงค์ผลิตขึ้นที่ด้านเซิร์ฟเวอร์ของทีมรวมถึงความหมายที่ต้องการเปิดหน้าเพื่อสร้างตัวอย่าง ปัญหาคือการขาดการกรอง – การเชื่อมโยงไปยัง 127.0.0.1:80 สร้างตัวอย่างของสิ่งที่พบใน localhost ของเซิร์ฟเวอร์ของทีม
ถัดไปเป็นเทคนิคการปลอมแปลงลิงค์ที่เรียบง่าย สิ่งนี้ใช้เครื่องมือเช่นเรอเพื่อปรับเปลี่ยนข้อมูลที่ส่งโดยลูกค้าของทีม ส่วนหนึ่งของข้อความที่ส่งเมื่อฝังลิงค์คือ URL ไปยังโทรศัพท์สำหรับรุ่นดูตัวอย่าง ไม่มีการตรวจสอบความถูกต้องเพิ่มเติมดังนั้นจึงเป็นไปได้ที่จะสร้างตัวอย่างจาก URL ที่อ่อนโยนในขณะที่ลิงค์จริงไปที่หน้าโดยพลการ ปัญหาที่สามเกี่ยวข้องกันเนื่องจากลิงก์ไปยังรูปขนาดย่อของตัวเองก็เช่นกันในข้อความนี้เช่นเดียวกับสามารถดัดแปลงได้ กรณีการใช้งานที่น่าสนใจที่นี่คือผู้โจมตีอาจตั้งค่านี้เป็น URL ที่พวกเขาควบคุมเช่นเดียวกับข้อมูลสกัดจากเป้าหมาย ได้แก่ ที่อยู่ IP สาธารณะ ตอนนี้สิ่งนี้ถูกบล็อกโดยลูกค้าเป้าหมายบนแพลตฟอร์มส่วนใหญ่อย่างไรก็ตามใน Android การตรวจสอบหายไป
และในที่สุดก็เป็นปัญหาเดียวกับ Android เท่านั้นผู้โจมตีสามารถส่ง “ข้อความแห่งความตาย” เป็นหลักข้อความที่มีรูปร่างผิดปกติที่อุบัติเหตุแอปเพียงแค่พยายามแสดงตัวอย่าง อุบัติเหตุนี้แอปทุกครั้งที่แต่ละคนพยายามเข้าถึงการแชทอย่างมีประสิทธิภาพล็อคบุคคลออกจากแอปโดยสิ้นเชิง ตอนนี้สิ่งเหล่านี้ไม่ใช่ปัญหาที่แตกหักของโลกอย่างไรก็ตามยักการยักรวมของ Microsoft ในการตอบสนองคือ … อันเดอร์ พวกเขามีการป้องกันการล่องหนที่ที่อยู่ IP รั่วไหลอย่างไรก็ตามเห็นได้ชัดว่ายังเป็นไปได้ที่จะหลอกตัวอย่างลิงค์นอกเหนือจากการเกิดอุบัติเหตุแอป Android
Backdoors PBX
นักวิจัยที่ Redteam Pentesting ดู PBX ที่ออกแบบโดย Auerswald ผู้ผลิตอุปกรณ์โทรคมนาคมเยอรมัน สิ่งที่ดึงดูดสายตาของพวกเขาคือบริการโฆษณาที่ Auerswald อาจทำการรีเซ็ตรหัสผ่านผู้ดูแลระบบสำหรับลูกค้าที่ถูกล็อคจากอุปกรณ์ของพวกเขา นี่เป็นตำราเรียน Backdoor รวมทั้งรับประกันการสอบสวนอย่างแน่นอน
ถ้าเพียงมันเป็น Backdoor ประเภทนี้: https://xkcd.com/806/
แนวทางของพวกเขาแทนที่จะโจมตีฮาร์ดแวร์โดยตรงคือการคว้ามัดเฟิร์มแวร์ล่าสุดจากเว็บไซต์ของ Auerswald รวมถึงวิเคราะห์ว่า ใช้ไฟล์ Gunzip รวมถึง Dumpimage Utilities ให้ระบบไฟล์รูทที่ต้องการ การทำงานกับเว็บของการกำหนดค่าไฟล์พวกเขาจะตัดสินในเว็บเซิร์ฟเวอร์ไบนารีที่มีแนวโน้มมากที่สุดที่มีการรีเซ็ตรหัสผ่าน Backdoor เพียงแค่บันทึกมันเป็นเรื่องปกติอย่างยิ่งสำหรับแกดเจ็ตที่ฝังตัวเพื่อรวมอินเทอร์เฟซแต่ละตัวรวมถึงตรรกะการกำหนดค่าในไบนารี httpd เดียว
ให้ไบนารีพวกเขาพึ่งพาสิ่งที่ได้อย่างรวดเร็วในการเป็นเครื่องมือที่ต้องการของนักวิจัยด้านความปลอดภัยทุกที่ Ghidra พวกเขามีอีกหนึ่งคำใบ้ผู้ใช้ “ผู้ดูแลระบบย่อย” ดังนั้นค้นหาสตริงนั้นใช้ Ghidra paydirt การขุดเจาะด้วยฟังก์ชั่นชื่อผู้ใช้ “Schandelah” ที่มีอยู่ Sleuthing เพิ่มขึ้นเล็กน้อยด้วยฟังก์ชั่นรหัสผ่าน สำหรับ PBX ทุกคนเหล่านี้รหัสผ่าน Backdoor เป็น 7 ตัวอักษรแรกของ Hash MD5 ของหมายเลขซีเรียลของหน่วย + “R2D2” + วันที่ปัจจุบัน
เพียงเพื่อความสนุกสนานนักวิจัยที่ใช้ Ghidra เพื่อเรียกดูการใช้งานอื่น ๆ ของฟังก์ชั่นรหัสผ่านลับๆ ปรากฎว่าหากมีการระบุบุคคลผู้ดูแลระบบรวมถึงรหัสผ่านไม่ตรงกับรหัสผ่านที่กำหนดค่าผู้ใช้มันจะถูกเปรียบเทียบกับอัลกอริทึมนี้ ถ้ามันตรงกับ? คุณเข้าสู่ระบบในฐานะผู้ดูแลระบบบนฮาร์ดแวร์ เห็นได้ชัดว่ามีประโยชน์มากกว่าการรีเซ็ตรหัสผ่านผู้ดูแลระบบเนื่องจากจะช่วยให้สามารถเข้าถึงได้โดยไม่มีการแก้ไขที่ชัดเจนใด ๆ กับระบบ บทความทั้งหมดเป็นบทช่วยสอนที่ยอดเยี่ยมเกี่ยวกับการใช้ Ghidra สำหรับการวิจัยประเภทนี้
Auerswald ผลักดันการปรับเปลี่ยนเฟิร์มแวร์อย่างรวดเร็วเพื่อแก้ไขปัญหาที่ระบุ Backdoor เช่นนี้ที่เปิดเผยต่อสาธารณะไม่ได้ถูกกฎหมายเกือบทั้งหมดเช่นเดียวกับทุ่นระเบิดที่ซื่อสัตย์เช่นบางส่วนของคนอื่น ๆ ที่เราพูดถึงที่นี่ นอกจากนี้ยังมีปัญหากับแอปพลิเคชัน – การรีเซ็ตรหัสผ่านควรรีเซ็ต Gadget ในการตั้งค่าจากโรงงานเช่นเดียวกับลบข้อมูลส่วนบุคคล สิ่งที่น้อยลงคือการเชิญชวนข้อมูลสำคัญที่สำคัญ
การปลอมแปลงแซม
ช่องโหว่ที่เพิ่มขึ้นของ Windows Active Directory นี้เป็นที่น่าสนใจสำหรับความเรียบง่าย มันเป็นการรวมกันของ CVE -2021-42287 เช่นเดียวกับ CVE-2021-42278 Windows Active Directory มีบัญชีที่ไม่ซ้ำกันสองบัญชีแต่ละบัญชีและบัญชีเครื่อง บัญชีเครื่องจักรใช้เพื่อนำฮาร์ดแวร์เฉพาะเข้าสู่โดเมนรวมถึงการสิ้นสุดโดยทั่วไปด้วยการบ่งชี้เงินดอลลาร์ (MyMachine1 $) ตามค่าเริ่มต้นบุคคลสามารถผลิตบัญชีเครื่องนอกเหนือจากการเปลี่ยนชื่อบัญชีเหล่านั้น ประเด็นแรกคือบุคคลที่อาจผลิตเช่นเดียวกับการเปลี่ยนชื่อบัญชีเครื่องเป็นตัวควบคุมโดเมนที่แน่นอนเช่นเดียวกับสัญญาณดอลลาร์สุดท้าย ตัวอย่างเช่นฉันอาจผลิต mymachine1 $ จากนั้นเปลี่ยนชื่อเป็น DomainController1 DomainController1 $ จะยังคงมีอยู่รวมถึงโดเมนจะเห็นว่าเป็นบัญชีเครื่องแยกต่างหาก
โดเมน Windows ที่ทันสมัยใช้ Kerberos ภายใต้เครื่องดูดควันรวมถึง Kerberos ใช้กระบวนทัศน์ตั๋ว บัญชีสามารถขอตั๋วใบอนุญาตจากตั๋ว (TGT) ที่ทำหน้าที่เป็นโทเค็นการรับรองความถูกต้องชั่วคราว เชื่อว่ามันเป็นการเปลี่ยนรหัสผ่านที่สามารถส่งได้ทันทีพร้อมคำขอ การจู่โจมคือการขอ TGT สำหรับบัญชีเครื่องที่เปลี่ยนชื่อเป็นเช่นเดียวกับการเปลี่ยนชื่อบัญชีนั้นเมื่อกลับไปที่ MyMachine1 อีกครั้ง กุญแจสำคัญคือผู้โจมตียังคงมีตั๋วที่ถูกต้องสำหรับบัญชี DomainController1 แม้ว่าบัญชีจะไม่มีอยู่อีกต่อไปการเก็บชื่อที่แม่นยำนั้นไว้อีกต่อไป ต่อไปผู้โจมตีร้องขอรหัสเซสชันจากศูนย์กระจายสินค้าสำคัญ (KDC) ใช้ประโยชน์จาก TGT นี้ KDC ตั้งข้อสังเกตว่าบัญชีที่ร้องขอไม่มีอยู่รวมถึงการผนวกตัวบ่งชี้เงินดอลลาร์รวมทั้งรันการตรวจสอบอีกครั้ง มันเห็น TGT ที่ถูกต้องสำหรับ DomainController1 รวมถึงส่งคืนคีย์เซสชันที่อนุญาตให้ผู้โจมตีเป็น DomainController1 $ ซึ่งเกิดขึ้นเพื่อเป็นบัญชีผู้ดูแลระบบโดเมน
ความเจ็บปวดอายุของ Chrome
มีการระบุว่าเราไม่ได้รับ Windows 9 เนื่องจากแอพเก่าจำนวนมากRitten กับ Regex ที่จะป้องกันการดำเนินการบ่นว่าแอปพลิเคชันจะไม่ทำงานบน Windows 95 หรือ 98 Chrome กำลังพยายามป้องกันปัญหาที่คล้ายกันเนื่องจากนักออกแบบของ Google ดูรุ่น 100 บนขอบฟ้า สิ่งนี้มีการกัดเว็บเบราว์เซอร์ก่อนหน้านี้เมื่อโอเปร่าเปิดตัวเวอร์ชัน 10 ทำลายสตริงเอเจนต์ผู้ใช้ในกระบวนการเพิ่มเติม Firefox กำลังเข้าร่วมสนุกเช่นเดียวกับนักออกแบบของเบราว์เซอร์ของเบราว์เซอร์มีคำขอของคุณ: ค้นหาเว็บด้วยสตริงตัวแทนผู้ใช้ปลอมแปลงรวมถึงให้พวกเขาเข้าใจว่าพวกเขาเข้าใจสิ่งที่แตกต่างจากรุ่น 100 นี้ จะเป็นโอกาสที่ดีในการทดสอบเว็บไซต์ของคุณเองเช่นกัน ให้เราเข้าใจว่าคุณเห็นผลลัพธ์แปลก ๆ ประเภทใด ๆ