Cette semaine de sécurité: hacktivisme géopolitique, mines d’antivirus, ainsi que des logiciels malveillants de Linux

Les hacktivistes de la CIA ont introduit une sorte de campagne ransomware contre le système ferroviaire biélorusse, mais plutôt au lieu de cryptocurrence, ils veulent la libération de prisonniers politiques comme ainsi que l’enlèvement des soldats russes. Cela pourrait être appelé un exemple de cyber-terrorisme, bien qu’il existe une théorie abordable qu’il s’agit d’un piratage sponsorisé par l’État, à la masquage en tant que hacktivisme. Ce qui semble spécifique, c’est que quelque chose a interrompu le transit ferroviaire, ainsi qu’un groupe sur Twitter a créé une preuve convaincante d’une violation.

Votre antivirus comprend maintenant un cryptominer

Ne regardez pas maintenant, mais votre mise à jour la plus récente de Norton 360 ou d’Avira peut avoir installé un module minier de cryptocurrence. La doublure en argent est que certaines mentale ont été conservées, ainsi que vous devez vous inscrire au plan Crypto avant que votre fabricant ne commence ses cycles de rechange sur les mines. Pour les individus qui font, ils sont mis dans une piscine minière, ce qui fait de petits paiements pour beaucoup de matériel. Norton, naturellement, prend une charge de 15% du haut pour leur problème.

La spécification des logiciels malveillants Linux

Il est utilisé pour être un adage que les machines Linux ne reçoivent pas de logiciels malveillants. Ce n’est jamais vraiment assez vrai, mais la conquête continue du paysage du serveur a eu l’impact secondaire de la fabrication de malware Linux un danger encore plus élevé. Crowdstrike a vu un coup de pouce de 35% dans des logiciels malveillants Linux en 2021, avec trois classifications uniques menant à la charge: Xorddos, Mozi, ainsi que Mirai.

Pwnkit

Et en parlant de Linux, une vulnérabilité Linux assez sérieuse était juste annoncée, ainsi qu’un exploit de travail a déjà été libéré. La question est une base de base dans le binaire Polkit, qui, à cette fin, on peut croire comme une alternative sudo. La partie cruciale est que c’est un binaire séduide, celui qui élève ses propres privilèges à la racine lorsqu’il est effectué par un utilisateur non privilégié. “Maintenant, attends”, je vous entends dire que “cela semble être un horrible problème de sécurité!” Cela peut être, quand ça va mal. Cependant, la réalité fondamentale est qu’il y a des moments où une personne doit faire une action qui aurait autrement besoin de privilèges racines. Un exemple de base, Ping, doit ouvrir une prise réseau brute en achetant à la fonction. Ces fichiers binaires sont très soigneusement créés pour permettre uniquement des actions restreintes, mais souvent un bogue permet d’échapper à ce “sablebox”.

Alors, quelle est l’histoire avec Pkexec? Null argv. OK, la programmation Linux 101 fois. Lorsqu’un programme est introduit sur Linux, il est passé deux paramètres, généralement nommé argc ainsi que argv. Ce sont un entier, ainsi qu’une variété de directives de charcuterie, respectivement. Si vous n’êtes pas un programmeur, croyez-y en tant que nombre d’arguments, ainsi que la liste des arguments. Cette information est utilisée pour analyser et gérer les choix de ligne de commande dans le programme. Argc est toujours au moins un, ainsi que ARGV [0] consistera toujours au nom du binaire comme exécuté. Sauf que ce n’est pas toujours le cas. Il y a une autre méthode pour introduire des fichiers binaires, en utilisant la fonction exécutive (). Cette fonction permet au programmeur de spécifier directement la liste des arguments, y compris le désaccord 0.

Alors, qu’est-ce qui se passe si cette liste est juste nul? Si un programme a été écrit pour tenir compte de cette possibilité, comme sudo, tout va bien. PKEXEC, cependant, n’inclut pas d’inspection d’un ARGV vide ou d’un Argc de 0. Il agit comme s’il existe un désaccord à lire, ainsi que de la méthode de l’initialisation du programme en mémoire, il accède vraiment à la toute première atmosphère variable à la place, ainsi que le traite comme un argument. Il vérifie la voie du système pour un binaire correspondant, tout en réécrisant ce qu’il estime que c’est une liste de désaccordement, cependant est vraiment la variable de l’atmosphère. Cela indique que le texte incontrôlé peut être injecté comme une variable de l’atmosphère dans PKEXEC, le programme SETUID.

C’est intéressant, cependant pas utile instantanément, puisque PKEXEC Efface ses variables d’atmosphère peu après l’arrivée de l’injection. Alors, quelle technique Sneaky pourrions-nous utiliser pour vraiment exploiter cela? jeter un message d’erreur. PKEXEC utilisera la bibliothèque partagée GCONV pour imprimer un message d’erreur, ainsi qu’elle commence par essayer de rechercher le fichier de configuration GCONV-Modules. Ces données définissent les données de certaines bibliothèques à ouvrir. La variable de l’atmosphère gconv_path peut être utilisée pour spécifier un fichier de configuration alternatif, mais cette variable de l’atmosphère est bloquée lors de l’exécution d’un binaire séduide. Ah, mais nous avons une méthode pour injecter une variable d’atmosphère après cela. C’est l’exploit. Préparer une charge utile.SO qui contient notre code arbitraire, une fausse données GCONV-Modules qui pointe vers la charge utile, ainsi que lors de l’utilisation de la technique ARGV NULL pour injecter la variable de l’atmosphère GCONV_Path. Qui suis je? Racine.

Il y a quelques coups intéressants de cette histoire. Premièrement, [Ryan Mallon] a été douloureusement proche de la recherche de cette vulnérabilité en 2013. En outre, la méthode de nouveau, [Michael Kerrisk] a signalé le Null Argv Quirk en tant que Linux Kebug rnel.

Attaquer des mots de passe aléatoires

Le beaucoup de mot de passe sûr est celui qui est généré au hasard, non? Oui, mais si ce générateur aléatoire n’est pas plutôt aussi aléatoire qu’il y paraît? Maintenant, nous ne parlons pas de backdoors délibérés cette fois-ci, cependant les modèles apparemment non pertinents qui font souvent une énorme différence. La machine Enigma, après tout, a été fissurée en partie car elle ne coderait jamais une lettre comme elle-même. [Hans Lakhan] De Trustedsec a examiné un million de mots de passe fabriqués par LastPass, ainsi que d’essayer de généraliser quelque chose de bénéfique à partir des données. Beaucoup de ces mots de passe ont soit 1 à 2 chiffres. Notez que ce n’est pas une faiblesse de l’algorithme, cependant le résultat attendu des caractères proposés. Serait-il un avantage aux mots de passe forcés brute avec la politique que chaque hypothèse doit être composée d’un ou deux chiffres? Cela diminuerait certainement l’espace d’assaut, mais il manquerait également des mots de passe qui ne correspondent pas au motif. Le compromis en vaut-il la peine?

La réponse n’est pas claire. Dans des circonstances spécifiques, il existe un avantage mineur d’utiliser les règles suggérées. Cependant, cet avantage disparaît comme le processus de force brute continue. De toute façon, c’est une tentative intéressante d’appliquer des statistiques à la fissuration du mot de passe.

WordPress ainsi que des thèmes de backdoor-ed

L’un des plus grands producteurs de thèmes WordPress ainsi que des plugins, d’accesses, a connu une violation de leur site Web qui a fait un tour terrible. Les chercheurs de Jetpack, qui faisaient une post mortem de différents sites compromis, ainsi que des logiciels malveillants découverts intégrés dans un thème d’accès à accessoires. L’infraction préliminaire s’est produite en septembre 2021, alors soyez suspicieux de tout type de matériel d’accessionné si téléchargé entre septembre et à la mi-octobre 2021. Notez que s’ils sont installés dans le répertoire WordPress.org, ces thèmes étaient en sécurité. Une liste des plugins infectés compris ainsi que des thèmes sont proposés sur le lien ci-dessus, en plus d’autres signes de compromis.

Bits aussi bien que des octets

Il y a encore un jeton d’astuce supplémentaire qui est divulgué par inadvertance dans le code source, le Twitter a accédé à un jeton. GitHub effectue déjà une numérisation automatisée pour les informations d’identification incluses par inadvertance dans les référentiels, mais cela n’inclut pas les jetons Twitter. [IncognitiateTech] Composé un scanner rapide et découvert environ 9 500 jetons valides. (Insérez plus de 9 000 memes ici.) Comment notifier donc beaucoup de personnes du problème? Produisez un bot, faites un tweet, ainsi que puis utilisez les jetons à retweet. C’est sûr d’attirer une attention particulière.

SonicWall SMA Series Series Hardware possède une série de vulnérabilités qui ont maintenant été correctes et divulguées. Le pire est un débordement de tampon non authentifié, marquez une CVSS de 9.8. Ces gadgets sont assez importants pour les petites entreprises, alors gardez vos yeux ouverts pour un quincaillerie potentiellement sujette, ainsi que les obtenir correctement si vous le pouvez.

Crypto.com a connu une violation du 17 janvier. Au début, ils ont minimisé l’incident, cependant, envisagent de libérer une déclaration avec des détails supplémentaires. L’assaut était un contournement d’authentification à deux facteurs, permettant à un attaquant d’initier des transactions sans compléter efficacement le processus de 2FA habituellement nécessaire. Ils font l’affirmation de l’assurance qu’ils ont attiré le problème suffisamment tôt pour arrêter tout type de perte réelle de monnaie, qui est vraiment plutôt impressionnante.

Google Chrome a publié une mise à jour, ainsi que celle-ci inclut des correctifs pour des bogues coûteux. Six rapports séparés ont gagné des chercheurs beaucoup plus de 10 000 $ une pièce, avec les deux premiers de 20 000 $. Ces six, en plus d’un septième bogue signalé en interne, tous semblent avoir la potentielle à être plutôt sérieuse, alors allez-y!

Et enfin, dans les choses – cette catégorie, le Royaume-Uni flirte avec le concept de réglementation des chercheurs en matière de sécurité, en faisant une étude de recherche sur la sécurité un commerce enregistré. La partie la plus pénible de ce plan est le concept que tout type de chercheur non enregistré peut être soumis à des accusations criminelles dans des circonstances spécifiques. Cela semble être un concept horrible pour des raisons évidentes.