Diese Woche in der Sicherheit: Der log4j, der in den letzten zwei Wochen nicht weitergeht, webos, sowie mehr

Bylafyd

in den letzten zwei Wochen hat log4j weiterhin Sicherheitsnachrichten gefahren, wobei mehr anfällige Plattformen gefunden werden, sowie zusätzliche Cvves kommt heraus. Sehr erster ist die Arbeit von TrendMicro, Blick auf Elektrofahrzeuge sowie Ladegeräte. Sie entdeckten einen log4j-Angriff in einem der veröffentlichten Ladegeräte-Frameworks sowie ebenfalls, um den Nachweis der Sicherheitsanfälligkeit im Tesla-InfoTainmentsystem Tesla zu beobachten. Es ist kein Strecke, um ein Stück Malware vorzustellen, die sowohl auf einem Ladegerät als auch auf einem EV verlaufen könnte. Da diese Systeme mit allen anderen sprechen, können sie das Virus mit Fahrzeugen mit Fahrzeugen ausbreiten, die vom Ladegerät zum Ladegerät ziehen.

Log4j ist jetzt so viel wie 2.17.1, da noch ein weiterer RCE zu fixiert ist, CVE-2021-44832. Dies wird nur 6,6 auf der CVSS-Skala erzielt, im Gegensatz zu dem Original, das bei einem 10. 44832 gewogen hat, den Angreifer an den Angreifer benötigt, um den Angreifer zuerst über die Log4J-Konfiguration verwalten zu können, um die Ausbeutung viel schwieriger zu machen. Diese Zeichenfolge der Folgeanfälligkeiten zeigt ein weithin bekanntes Muster, in dem eine Anfälligkeit mit hoher Profil das Interesse der Forscher anzieht, die andere Probleme im gleichen Code entdecken.

Es gibt jetzt Berichte über log4j, die in Conti Ransomware-Kampagnen verwendet werden. Zusätzlich wurde ein Mari-basierter Wurm beobachtet. Dieser selbstausbreitende Angriff scheint unter anderem Tomcat-Server zu zielen.

Webos fällt in einen Schnappschuss

[David Buchanan] erkennt an, dass es zwar ein faszinierender Exploit ist, es an diesem Punkt nicht viel nützlich ist. Das könnte sich ändern, aber lass uns den Fehler vorerst ansehen. Snapshots sind eine tolle Funktion im V8-JavaScript-Motor. Wenn Sie zu einer Webseite navigieren, muss der JavaScript-Kontext für diese Seite im Speicher erstellt werden, einschließlich der Packung aller von der Seite genannten Bibliotheken. Das ist jedoch nicht lange auf einem Desktop, jedoch auf einem eingebetteten Gadget oder einem Mobiltelefon, das eine regionale Schnittstelle verpackt, dieser Initialisierungsschritt einen großen Teil der Zeit darstellen, der zum Zeichnen der angeforderten Seite erforderlich ist. Snapshots sind ein fantastischer Hack, in dem der Kontext initialisiert ist, sowie dann gespeichert. Wenn die Schnittstelle später geöffnet wird, kann der V8-Motor aufgerufen werden, um diese Datei zu halten, sowie der Kontext wird vorbestimmt, wodurch die Einführung der App oder der Schnittstelle dauerhaft schneller ist. Der einzige Fang ist, dass V8 umgeht, dass Schnappschüsse nur von einer vertrauenswürdigen Quelle verpackt werden.

Auf die Webos-Plattform selbst. Private Apps sind Sandkasten, jedoch führen Web-Apps ihren Code im Kontext des WebAppmgr (WAM), dessen Browser auf der Basis von Chrom / V8 aus. Während die privaten Apps sandkasten sind, ist WAM nicht. Der Kicker ist, dass eine Web-App seinen eigenen Snapshot zu Tonnen in V8 angeben kann. Verpackung eines beschädigten Snapshots, der [DAVID] JS-TYP-Verwirrung sowie ein willkürliches Lese- / Schreibprimitiv angeboten wird. Von dort war der Auslaufen von JS sowie in den tatsächlichen Shellcode relativ einfach. Diese RCE läuft als “WAM” -Onwender, dies ist jedoch ein mild privilegiertes Konto. Insbesondere hat WAM Zugriff auf Zugriff auf / dev / MEM – Direkterhaltszugriff auf den Systemspeicher. Eskalation zur Wurzel ist fast trivial.

[DAVID] hat den vollen PoC veröffentlicht, wodurch LG für Bugsporde notorisch untergebracht wurde. Ich stimme seiner Behauptung nicht zu, dass dieser Angriff auf die Seitenladung einer böswilligen App vollständig setzt, aus dem einfachen Grund, warum LG ihren Materialspeicher für diese Plattform ausführt. Ein schädlicher Designer kann möglicherweise jede Art von Malware-Erkennungsroutinen umgehen, die LG mit VET-Apps verwendet. Schadhafte Apps im App Store ist doch unbedingt nichts Neues. Der schlimmste Teil dieses Exploits ist, dass es schwierig ist, den Finger darauf zu legen, wo die Schwachstelle liegt.

Vier-Bug-Team in Teams

[Fabian Bräunlein] entdeckte einige faszinierende unbeabsichtigte Gewohnheiten in der Microsoft-Teams-Link-Vorschau-Funktion. Das erste Problem ist eine serverseitige Anforderungsfälschung. Die Link-Vorschau wird auf der Teams der Teams erstellt, sowie mit der Bedeutung, um die Seite zu öffnen, um die Vorschau herzustellen. Das Problem ist das Mangel an Filterung – Linking bis 127.0.0.1.1.12

Als nächstes ist eine einfache Link-Spoofing-Technik. Dies verwendet ein Tool wie Burp, um die vom Team-Client gesendeten Daten zu ändern. Teil der Nachricht, die beim Einbetten eines Links gesendet wird, ist die URL, um die Anforderung zur Vorschaugenerierung anzumelden. Es erfolgt keine weitere Validierung, so dass es möglich ist, eine Vorschau von einer benignen URL herzustellen, während der eigentliche Link auf eine beliebige Seite geht. Die dritte Ausgabe ist zusammenhängt, da der Link zur Miniaturansicht selbst ebenfalls in dieser Botschaft ist, sowie mit manipuliert werden können. Der faszinierende Anwendungsfall ist hier, dass ein Angreifer dies auf eine URL einstellen könnte, die sie kontrollieren, sowie Informationen aus einem Ziel, nämlich der öffentlichen IP-Adresse. Nun wird dies vom Client des Ziels auf den meisten Plattformen blockiert, jedoch auf Android fehlten die Prüfungen.

Und schließlich ebenfalls ein einziges Android-Problem, einDer Angreifer kann eine “Botschaft des Todes” senden, im Wesentlichen eine Nachricht fehlerhaft, die die App unangemessen fällt, indem Sie einfach versuchen, die Vorschau zu rendern. Dies verfällt die App jedes Mal, wenn der Einzelne versucht, Zugang zum Chat zu erhalten, und das Individuum effektiv aus der App ganz ganz in der App zu sperren. Jetzt sind diese nicht erdschüttende Probleme, jedoch ist Microsofts Collective Collective Couging in Response … Underhelming. Sie haben Stealth-patched das IP-Adressen-Leck, jedoch ist es offensichtlich immer noch möglich, die Android-App-Android-Android-Android-Previews noch nicht möglich zu machen.

PBX-Hinterteile

Die Forscher des Redteam-Pentestings haben einen PBX angesehen, der von Auerswald, einem deutschen Hersteller von Telekommunikationsgeräten entworfen wurde. Was ihr Auge erwischt hatte, war ein angekündigter Service, in dem AUerswald ein Administratorkennwort-Reset für einen Client ausführen könnte, der aus ihrer Ausrüstung gesperrt ist. Dies ist ein Lehrbuch-Backdoor sowie auf jeden Fall garantierte Untersuchung.

Wenn es nur diese Art von Backdoor war: https://xkcd.com/806/
Ihr Ansatz, anstatt die Hardware direkt anzugreifen, bestand darin, das neueste Firmware-Bundle von Auerswalds Website zu ergreifen und das zu analysieren. Verwenden Sie die Datei, Gunzip sowie Dumpimage-Dienstprogramme, sofern sie das root-Dateisystem bereitgestellt, das sie benötigt. Wenn Sie mit dem Web of Config-Dateien arbeiten, ließen sie sich auf dem Binärnen von Webserver an, der höchstwahrscheinlich das Zurücksetzen von Kennwort zurückgesetzt hat. Nur eine Anmerkung, es ist äußerst typisch für eingebettete Gadgets, um alle einzelnen Schnittstellen sowie die Konfigurationslogik in einem einzelnen HTTPD-Binärdatei aufzunehmen.

Angesichts eines Binärners stützten sie sich auf das, was schnell am bevorzugten Werkzeug von Sicherheitsforschern überall ist, Ghidra. Sie hatten einen weiteren Hinweis, der Benutzer “Sub-Admin”, der so nach dieser Zeichenfolge gesucht wurde, unter Verwendung von Ghidra. Paydirt. Der gedruckte Benutzername “Schandelah” war dabei mit Funktionen. Ein bisschen mehr SLEMUTHING kam die Passwortfunktion auf. Für jedes dieser PBXs ist das Backdoor-Kennwort die ersten 7 Zeichen des MD5-Hashs, der Seriennummer des Geräts + “R2D2” + das aktuelle Datum.

Nur zum Spaß nutzten die Forscher Ghidra, um nach anderen Nutzen der Backdoor-Kennwortfunktion zu stöbern. Es stellt sich heraus, wenn der Admin-Individuum angegeben ist, und das Kennwort stimmt nicht mit dem vom Benutzer konfigurierten Kennwort überein, es ist mit diesem Algorithmus verglichen. Wenn es passt? Sie werden als Administrator auf der Hardware angemeldet. Dies ist offensichtlich nützlicher als das Zurücksetzen des Administratorkennworts, da er den Zugriff auf den Zugriff auf ohne jede Art von offensichtlichen Modifikationen an das System ermöglicht. Der gesamte Artikel ist ein fantastisches Tutorial zur Verwendung von Ghidra für diese Art von Forschung.

Auerswald drückte extrem schnell Firmware-Modifikationen aus, um die angegebenen Probleme zu korrigieren. Eine Backdoor, wie diese, die öffentlich offenbart ist, ist nicht fast die legale sowie ehrliche Landmine wie ein paar der anderen, die wir hier diskutiert haben. Mit der Anwendung gibt es noch ein Problem – ein Kennwort-Reset sollte das Gadget auch auf die Werkseinstellungen zurücksetzen sowie einzelne Daten löschen. Alles, was weniger weniger erhebt, lädt die offene Datenergebnisse ein.

Sam Spoofing.

Diese Windows Active Directory-Privileg-Eskalationsanfälligkeit ist für seine Einfachheit interessant. Es ist eine Kombination von CVE-2021-42287 sowie CVE-2021-422278. Windows Active Directory verfügt über zwei einzigartige Arten von Konten, Einzel- sowie Maschinenkonten. Maschinenkonten werden verwendet, um spezifische Hardware in die Domäne zu bringen, sowie im Allgemeinen mit der Dollaranzeige (MYMACHINE1 $). Standardmäßig kann ein Individuum Maschinenkonten erstellen, um diese Konten umzubenennen. Das allererste Thema ist, dass ein Individuum produziert und dann ein Maschinenkonto als genau wie ein Domänencontroller umbenennen könnte, nur ohne dieses endgültige Dollarzeichen. Zum Beispiel könnte ich myMachine1 $ produzieren, dann umbenennen Sie es in DomainController1. DomainController1 $ wäre noch vorhanden, und die Domäne würde diese als separate Maschinenkonten sehen.

Moderne Windows-Domains nutzen Kerberos unter der Kapuze sowie Kerberos das Ticketparadigma. Ein Konto kann ein Ticket-Gewährungs-Ticket (TGT) anfordern, das als temporärer Authentifizierungs-Token fungiert. Ich glaube daran als ein Kennwortwechsel, der sofort mit Anfragen gesendet werden kann. Der Angriff besteht darin, ein TGT für das umbenannte Maschinenkonto anzufordern, und das Konto erneut umbenennen, wenn es wiederin zurück nach MyMachine1 ist. Der Schlüssel ist, dass der Angreifer immer noch über ein gültiges Ticket für das DomainController1-Konto verfügt, obwohl ein Konto nicht mehr vorhanden ist, um diesen präzisen Namen zu erhalten. Als Nächstes fordert der Angreifer einen Sitzungsschlüssel vom Schlüsselverteilungszentrum (KDC) mit dieser TGT an. Die KDC stellt fest, dass das Anforderungskonto nicht existiert, sowie hilfsbereitschaftlich hängt, die Dollaranzeige zu hängen, sowie die Inspiration erneut läuft. Es sieht die gültige TGT für DomainController1 sowie zurück, um einen Sitzungsschlüssel zurückzugeben, der den Angreifer als DomainController1 $ autorisiert, das als Domain-Admin-Konto auftritt.

Chroms Alterungschmerzen

Es ist gesagt, dass wir keine Windows 9 bekommen haben, da viele alte Apps auch w warenMit Regex, der die Ausführung verhindern würde, wodurch sich der Antrag nicht unter Windows 95 oder 98 ausführen würde. Chrome versucht, ein ähnliches Problem zu verhindern, da die Designer von Google Version 100 am Horizont sehen. Diese Art von Dingen hat den Bitten-Webbrowser zuvor, insbesondere wenn Opera Version 10 veröffentlicht wird, wobei die Benutzer-Agent-Zeichenfolge im Prozess weiter brechisch wird. Firefox steigt auch auf den Spaß, und beide Browser-Designer haben eine Anfrage von Ihnen: Durchsuchen Sie das Web mit einer gefälschten Benutzer-Agent-Zeichenfolge, und lassen Sie sie verstehen, was als Folge von Version 100 bricht. wäre eine großartige Chance, auch Ihre eigenen Websites zu testen. Lassen Sie uns verstehen, ob Sie jede Art von besonders seltsamen Ergebnissen sehen.

Leave a Reply

Your email address will not be published. Required fields are marked *