Tento týždeň v SECURITY: geopolitických hacktivism, antivírus baníctvo, rovnako ako LINUX malware

CIA hacktivists zaviedli akúsi Ransomware ťaženie proti bieloruskému železničného systému, ale namiesto kryptomena, chcú prepustenie politických väzňov ako rovnako ako odstránenie ruských vojakov. To by sa dalo nazvať príklad kybernetického terorizmu, aj keď tam je cenovo teória, že sa jedná o štátom podporovaný hack, prezlečený za hacktivism. To, čo sa zdá, špecifické je, že sa niečo prerušil železničnej doprave, ako aj skupinu na Twitteri vytvorila presvedčivý dôkaz o porušení.

Váš Antivirus teraz obsahuje CryptoMiner

Teraz sa nepozeraj, ale vaša najaktuálnejšie aktualizácie Norton 360 alebo Avira môže mať nainštalovaný ťažobné kryptomena modul. Dobrou správou je, že niektoré duševné zdravie bola zachovaná, rovnako ako budete musieť opt-in do kryptografického pláne pred svoje tvorca začína náklady na jeho náhradné cykly na ťažbu. Pre jednotlivcov, ktorí robia, že sú vložené do banského bazéna, čo pre malé platby za veľa hardvér. Norton, prirodzene, trvá 15% poplatok z vrcholu na ich ťažkosti.

Špecifikujte Linux Malware

Tam využité byť porekadlo, že Linux stroje nedostanú malware. To je v skutočnosti nikdy nebol dosť pravdivé, však pokračujúci dobytie servera krajiny má bočné dopad výroby Linux malware ešte vyššie nebezpečenstvo. Crowdstrike zaznamenala 35% nárast Linux malware sa v roku 2021, s tromi unikátnymi klasifikáciou vedúcich náboj: XorDDoS, Mozi, rovnako ako Mirai.

PwnKit

A keď už hovoríme o Linuxe, je veľmi vážne zraniteľnosti Linux bol práve oznámila, rovnako ako pracovné exploit už bola uvoľnená. Problém je základná v Polkit binárny, ktorý je pre tento účel, môžu byť veril ako o sudo alternatívu. Rozhodujúce je, že sa jedná o Setuid binárne, ten, ktorý povyšuje svoje vlastné oprávnenie ku koreňu, keď vykonáva neprivilegovaným užívateľom. “Počkajte,” Počul som, že poviete: “To vyzerá ako hrozné bezpečnostný problém!” To môže byť, keď sa pokazí. Avšak základný Skutočnosťou je, že tam sú časy, kedy o individuálne potreby robiť akciu, ktorá by inak potrebné oprávnenia užívateľa root. Jednoduchý príklad, ping, potrebuje otvoriť sieťovú zásuvku surové v kúpiť fungovať. Tieto binárne súbory sú veľmi starostlivo vytvorené na to, aby len obmedzené akcie však často chyba umožní únik tento “sandbox”.

Tak ako to vyzerá s pkexec? NULL argv. OK, Linux programovanie 101 čas. Keď je program zavedený v systéme Linux, je to prešiel dva parametre, zvyčajne pomenované argc rovnako ako argv. Jedná sa o celé číslo, rovnako ako celá rada pokynov char resp. Ak si nie ste programátor, potom veriť to ako počet argumentov, rovnako ako zoznam argumentov. Táto informácia sa používa na analýzu, rovnako ako riadiť voľby príkazového riadku vnútri programu. argc je vždy aspoň jedna, rovnako ako argv [0] sa vždy skladajú z názvu binárne ako vykonaný. Až na to, že nie je vždy prípad. Existuje ešte jeden spôsob, ako zaviesť binárne súbory s využitím funkcie execve (). Táto funkcia umožňuje programátorovi zadať zoznam argumentov priamo vrátane nesúhlasu 0.

Takže čo sa stane v prípade, že zoznam je práve NULL? Ak bol program napísaný na účet pre túto možnosť, rovnako ako sudo, potom je všetko v poriadku. pkexec však nezahŕňa skontrolujte lačný argv alebo argc 0. To pôsobí, ako keby tam je nesúhlas čítať, rovnako ako spôsobu inicializácia programu sa vyskytuje v pamäti, je to naozaj pristupuje úplne prvé atmosféru variabilné miesto, rovnako ako darčeky to ako argument. Kontroluje systémovú cestu pre zodpovedajúce binárne, rovnako ako prepisov, čo podľa jeho názoru je, že je zoznam nesúhlas, ale je naozaj atmosféra variabilný. To znamená, že nekontrolovaný text môže byť aplikovaný ako atmosféra premenné v pkexec, Setuid programu.

To je zaujímavé, ale nie okamžite použiteľné, pretože pkexec vymaže ju má atmosféru premenné čoskoro po injekcii sa stane. Takže to, čo zaludny technika môžeme využiť naozaj využiť to? hádzať chybové hlásenie. pkexec bude využívať gconv zdieľané knižnice tlačiť chybovú správu, rovnako ako to začína tým, že sa snaží nájsť konfiguračný súbor gconv-modules. Tieto údaje, ktoré definuje určité knižnice dát otvoriť. Atmosféra premenná GCONV_PATH môže byť použitý na určenie súboru striedavý konfiguračný však táto atmosféra premenná je blokovaná pri spustení Setuid binárne. Ah, ale máme metódu napichnúť skvelú atmosféru premennú po takomto. To exploit. Pripravte si payload.so, ktorý obsahuje náš ľubovoľný kód, falošný gconv modulov dát, ktorý odkazuje na užitočné zaťaženie, rovnako ako potom využiť NULL argv techniku vstreknúť GCONV_PATH atmosféru premennú. Kto som? Root.

Je tu pár zaujímavé zvraty k tomuto príbehu. Po prvé, [Ryan Mallon] prišiel bolestivo v blízkosti zistení tejto chyby zabezpečenia v roku 2013, ako aj za druhé, metóda už v roku 2007, [Michael Kerrisk] oznámil NULL argv vtipek ako Linux KErnel chyba.

Útočiace náhodných hesiel

Veľa bezpečného hesla je ten, ktorý je náhodne generované, že jo? Áno, ale čo keby, že náhodný generátor nie je skôr ako náhodný, ako sa zdá? Teraz nie sme tentoraz hovorí o úmyselné zadné vrátka, ale zdanlivo nesúvisiacich vzory, ktoré často robia obrovský rozdiel. Hádanka stroj, koniec koncov, bol prasknutý čiastočne, pretože by nikdy zakódovať list ako seba samého. [Hans Lakhani] z TrustedSec sa pozrieť na milión hesiel vyrábaných LastPass, rovnako ako sa snažil zovšeobecniť niečo prospešného z dát. mnoho z týchto hesiel majú buď 1 alebo 2 číslice. Upozorňujeme, že toto nie je slabosť v algoritme, ale len očakávaný výsledok z ponúkaných postáv. by tam byť výhodné brute-nútiť hesiel s politikou, že každý predpoklad potreba skladať buď jednu alebo dve číslice? To by určite znížiť útočnú priestor, ale to by tiež chýbať heslá, ktoré nie sú vo forme vzoru. by trade-off by stálo za to?

Odpoveď nie je jednoznačná. Za určitých okolností je menšia výhoda, že si z využitia navrhovaných pravidiel. Avšak táto výhoda mizne, zatiaľ čo proces pokračuje hrubou silou. Či tak alebo onak, je to zaujímavý pokus o použitie štatistiky na prelomenie hesla.

WordPress, rovnako ako Backdoor-ED Témy

Jeden z väčších výrobca WordPress tém, rovnako ako zásuvné moduly, AccessPress zažil porušenie svojich webových stránkach, ktoré trvalo strašne obrat. Táto otázka bola zistená výskumníkmi u Jetpack, ktorí robia pitvu rôznych oslabenú mieste, rovnako ako objaveného malwaru vložené v téme AccessPress. Predbežný porušeniu došlo v septembri 2021, takže podozrenie z akéhokoľvek typu materiálu z AccessPress ak stiahnutý od septembra rovnako ako v polovici októbra 2021. Všimnite si, že ak je nainštalovaný z adresára WordPress.org, tieto témy sú v bezpečí. Výpis chápané infikovaných zásuvných modulov, rovnako ako témy sú k dispozícii na vyššie uvedený odkaz, okrem iných príznakov kompromisu.

Bitov, rovnako ako bajty

Je tu ešte jeden trik token, ktorý je neúmyselne uvedené v zdrojovom kóde, Twitter získať prístup k tokenu. Github už nemá automatické skenovanie pre poverenia nedopatrením zahrnuté v úložiskách, ale to nezahŕňa Twitter žetóny. [Incognito] zložený rýchly skener, rovnako ako objavil okolo 9500 platné tokeny. (Insert nad 9000 memu tu.) Presne tak, ako oznámiť, takže veľa ľudí tohto problému? výrobe topánok, aby pípanie, ako aj potom využiť tokeny retweet. Ktorý je určite chytiť nejakú pozornosť.

SONICWALL SMA 100 séria hardvér má rad slabých miest, ktoré boli teraz záplaty, rovnako, ako je popísané. najhoršie je neoverený pretečeniu vyrovnávacej pamäte, skóre CVSS 9,8. Tieto gadgets sú celkom prominentnej pre malé podniky, takže majte oči otvorené pre potenciálne náchylné hardvér, rovnako ako si je oprava, pokiaľ je to možné.

Crypto.com zažil porušenie na 17. januára. Oni najprv bagatelizoval incident však majú za to, že vydal vyhlásenie dodatočne detaily. Útok bol dva-faktor autentizácia bypass, umožňujúce útočníkovi začatie transakcie bez účinne dokončenie zvyčajne potrebný 2FA procesu. Robia poistnej udalosti, že chytil problém čoskoro dostatočné zastaviť akýkoľvek druh skutočné straty meny, čo je naozaj dosť impozantný.

Google Chrome vydala aktualizáciu, ako aj táto obsahuje opravy pre niektoré nákladné chyby. šesť samostatných správ získal vedcom omnoho viac než $ 10,000 kus, s vrcholom dva nádherné $ 20K. Týchto šesť vedľa siedmeho chyby hlásené interne, všetci Zdá sa, že budúce byť pomerne vážne, takže ísť aktualizácie!

A konečne, v kategórii vecí, ktoré-nezostal ani-end-i, vo Veľkej Británii je flirtuje s konceptom regulácia bezpečnostných výskumníkov, takže bezpečnostné výskumné štúdie registrovaná ochranná. najviac trápiť súčasťou tohto plánu je predstava, že akýkoľvek typ neregistrovaných výskumník môže byť predmetom obvinenia za zvláštnych okolností. To sa javí ako strašnej koncepcie zjavných dôvodov.