(Wladimir Palant) semble être sur une croisade d'un homme contre les problèmes de sécurité dans les logiciels de sécurité. Le nom n'est peut-être pas immédiatement reconnaissable, mais parmi ses autres infamies provient Adblock Plus, avec lequel nous avons une relation amour-haine. (Regardez, surfez sur le net avec un adblocker, mais désactivez-le pour les sites auxquels vous faites confiance et que vous souhaitez soutenir, comme HaD).

Cette semaine, il a annoncé une faille assez grave dans le Bitdefender. La divulgation commence par des éloges pour Bitdefender: «Bitdefender Antivirus en termes de sécurité est l'un des meilleurs produits antivirus que j'ai vus jusqu'à présent…» Cela dit, la vulnérabilité qu'il a découverte est grave. Un site Web malveillant peut déclencher l'exécution d'applications arbitraires. Le problème a été corrigé dans une mise à jour publiée le 22.

Image de Wladimir Palant, CC BY-SA 4.0

La vulnérabilité est intéressante. Tout d'abord, Bitdefender utilise une API qui a été ajoutée aux navigateurs Web spécifiquement pour permettre au logiciel de sécurité de fonctionner sans effectuer le décryptage de connexion intermédiaire des connexions HTTPS. Lorsqu'un problème est détecté, Bitdefender remplace la page potentiellement malveillante par son propre message d'erreur.

En raison de la façon dont cela est mis en œuvre, le navigateur voit ce message d'erreur comme étant le contenu légitime du site demandé. S'il s'agissait d'une page statique, ce ne serait pas un problème. Cependant, Bitdefender fournit une option pour charger la page demandée de toute façon, et cela en incorporant des jetons dans cette page d'erreur. Lorsqu'un utilisateur appuie sur le bouton pour charger la page, Bitdefender voit les jetons correspondants dans la demande sortante et autorise la page.

Cela peut être exploité via un appel AJAX. Une page Web malveillante fait XMLHttpRequest rappeler le même domaine et manipule la réponse pour qu'un message d'erreur soit injecté par Bitdefender. Comme il s'agit du même domaine, le contenu de cette réponse est accessible à la page malveillante, ce qui signifie que les jetons de sécurité ont été divulgués. Ces jetons peuvent ensuite être utilisés pour déclencher le lancement du navigateur Safepay de Bitdefender. Ce n'est pas terrible en soi, mais le vrai problème est le fait que le navigateur Safepay est lancé à l'aide d'une URL fournie par un attaquant. request.send("data:text/html,nada --utility-cmd-prefix="cmd.exe /k whoami & echo""); Les espaces ne sont pas correctement échappés, de sorte que des arguments de ligne de commande peuvent être injectés, conduisant à une exécution arbitraire.

Ripple20

JSOF vient de publier une partie de ses recherches sur la pile Trek TCP / IP, mais ils exploitent cela pour récolter des adresses e-mail, une tactique que je trouve répugnante, et franchement, toute entreprise de sécurité devrait le faire aussi. Heureusement, le PDF est disponible une fois que vous savez où chercher.

Trek produit une pile IP qui peut être utilisée comme élément d'un système d'exploitation en temps réel, ou même sur des appareils intégrés qui n'ont pas de système d'exploitation complet. Cette pile logicielle a été déployée sur des appareils IoT à travers le monde. C'est de cela que parlent les chercheurs du JSOF lorsqu'ils disent «le facteur de la chaîne d'approvisionnement». Ils ont découvert 19 vulnérabilités distinctes dans cette pile logicielle, dont quatre étaient des problèmes critiques d'exécution de code à distance (RCE).

(Je pense que je dois réprimander JSOF, car ils se réfèrent à ces vulnérabilités zero-day. S'il est peut-être tout à fait vrai qu'ils étaient zero-day lorsqu'ils ont été découverts pour la première fois, le fait que JSOF soit passé par un processus coordonné processus de divulgation signifie que ce ne sont plus des vulnérabilités zero-day. Cela semble être une tentative de battage médiatique de leur recherche, plutôt que d'être basé sur des faits.)

Jusqu'à présent, les détails n'ont été publiés que pour deux vulnérabilités: CVE-2020-11896 et 11898. La première est un RCE et la seconde une fuite d'informations. Les deux vulnérabilités proviennent d'une mauvaise manipulation des paquets tunnelés IP-in-IP fragmentés. Apparemment, le périphérique cible n'a pas besoin d'avoir un tunnel IP configuré, mais il doit avoir une prise en charge du tunnel IP. Il est difficile de savoir à quel point cette configuration est courante ou inhabituelle, mais tant que la fragmentation et la prise en charge des tunnels sont présentes, tout ce qui est nécessaire pour un compromis est un seul port UDP ouvert.

Lors de la réception de paquets, lorsque la longueur des fragments de paquets dépasse la longueur indiquée dans les en-têtes de paquets, une fonction est appelée pour couper les données reçues en excès. Il est possible de manipuler cette fonction de manière à traiter plus de données que prévu. Les données en excès sont copiées au-delà de la fin d'un tampon alloué, ce qui conduit à des résultats prévisibles. Il y a quelques étapes supplémentaires intelligentes nécessaires pour atteindre réellement le RCE, alors lisez le document pour plus de détails.

Fait intéressant, Cisco vient de publier un avis détaillant son travail initial sur le tri des bogues Ripple20. Jusqu'à présent, il semble que les correctifs ne soient pas encore disponibles pour les produits Cisco vulnérables, ce qui met en évidence le défi que pourrait représenter cet ensemble particulier de bogues.

Contournement de démarrage sécurisé

(Jason A. Donenfeld) de Wireguard fame a découvert une faille amusante dans le mode de verrouillage du noyau Linux. Le verrouillage du noyau est une extension du schéma de démarrage sécurisé EFI qui, entre autres, garantit que les modules du noyau non signés ne seront pas chargés, même par root. Comme vous pouvez l'imaginer, ce fut une bataille difficile pour obtenir cette fonctionnalité dans le noyau Linux.

La vulnérabilité est une variable EFI qui peut être écrite, même avec une politique de verrouillage du noyau, qui insère une table ACPI. Cela signifie essentiellement injecter du code dans le processus de pré-démarrage, en demandant à la machine de démarrage de définir la stratégie de verrouillage du noyau sur désactivé. La partie humoristique de tout ce travail est que le cas de test de Donefeld charge le module Wireguard. Il semble que cela demande beaucoup de travail juste pour charger son VPN.

Recherche d'une API Starbucks

(Sam Curry) doit constamment ouvrir la fenêtre DevTools de son navigateur, car il vient de remarquer des appels d'API qui étaient en cours de traitement alors qu'il achetait une carte-cadeau Starbucks. Étant l'individu curieux et soucieux de sécurité qu'il est, Sam a décidé de prendre un certain temps pour explorer l'API qui était utilisée. Il a rapidement déterminé que l'API utilisait un frontal orienté Internet pour proxy des appels d'API dans le réseau interne de Starbucks. Après de nombreux essais et erreurs, le point de terminaison API/bff/proxy/stream/v1/users/me/streamItems/web..................searchv1Accounts a été découvert. Il n'a jamais été conçu pour être accessible au public, mais un travail intelligent de traversée de chemin l'a rendu possible. Ce point de terminaison a permis à Sam de parcourir tous les utilisateurs du système Starbucks, tous les 100 millions d'enregistrements.

Cela représentait tout à fait le problème, donc les résultats ont été rapidement signalés et corrigés dans les 24 heures. Rien ne prouve que le point de terminaison vulnérable ait été découvert ou exploité de manière indépendante. Sam a rapporté une belle prime de 4 000 $ pour la découverte.

Mots de passe Pwned, version 6

(Troy Hunt) continue d'apparaître, et cette semaine, c'est parce qu'il a publié la sixième itération du service Pwned Passwords. Il a écrit un article de blog sur la mise à jour, et la mise à jour a ajouté plus de 17 millions de nouveaux mots de passe. Pour ceux d'entre nous qui ne connaissent pas le service, il s'agit d'une page Web où vous pouvez entrer votre mot de passe et voir s'il a été compromis dans une violation de données. Oui, vous avez bien lu, l'intention est que vous alliez entrer votre mot de passe sur le service Web de quelqu'un d'autre. Oui, c'est fou. Le thread r / netsec Reddit a tous deux eu beaucoup de plaisir avec cela, et a des suggestions sur la façon d'utiliser le service sans faire confiance au code de Troy.

Blague à part, le service utilise k-anonymat pour protéger votre mot de passe. Cela fonctionne comme ça. Votre navigateur prend le mot de passe que vous entrez, génère un hachage SHA1, puis envoie les cinq premiers caractères de ce hachage au service. La liste des hachages commençant par ces cinq caractères est renvoyée et le code exécuté dans votre navigateur vérifie si le SHA1 complet figure dans la liste renvoyée. Il est intelligent, devrait être sûr, et il n'y a toujours aucun moyen de mettre un mot de passe important sur ce site Web. Au lieu de cela, je préfère le script python simple mis en place par (Ben Wiederhake). Il est suffisamment court et simple pour que nous puissions tous lire la source avant de l'exécuter.

(Note de l'éditeur: j'utilise occasionnellement des mots de passe Pwned. C'est bon pour vérification que votre non critique le ou les mots de passe ne sont pas facilement craquables. Hackaday1234 passe, par exemple, alors n'hésitez pas à l'utiliser pour les connexions au forum. Mais vos mots de passe réellement importants doivent être uniques, longs et générés de manière aléatoire, et ne nécessitent donc même pas de vérification. head -c 8 /dev/urandom | base64 Et.. Voila. La sécurité peut être très simple si vous la laissez faire.)

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici