Alors tout d'abord, rappelez-vous la vulnérabilité / jailbreak Unc0ver de la semaine dernière? Dans la version iOS 13.5.1, la faille sous-jacente a été corrigée, fermant le jailbreak. Si vous avez l'intention de jailbreaker votre appareil iOS, assurez-vous de ne pas installer cette mise à jour. Cela dit, l'avertissement normal s'applique: soyez très prudent lorsque vous exécutez un logiciel obsolète.
Connexion Apple
Un exploit dans le protocole d'authentification Web d'Apple a été corrigé la semaine dernière. Se connecter avec Apple est similaire à OAuth et permet d'utiliser un compte Apple pour se connecter à d'autres sites et services. Sous le capot, un jeton Web JSON (JWT) est généré et transmis, afin de confirmer l'identité de l'utilisateur. En théorie, ce schéma permet même l'authentification sans divulguer l'adresse e-mail de l'utilisateur.
Alors, qu'est ce qui pourrait aller mal? Apparemment, une simple demande de JWT signé avec la clé publique d'Apple sera automatiquement approuvée. Ouais, c'était si mauvais. Tout compte lié à un identifiant Apple pourrait être trivialement compromis. Il a été corrigé la semaine dernière, après avoir été retrouvé et signalé par (Bhavuk Jain).
Le fond d'écran maudit
Donc, quand quelqu'un poste une image sur Twitter et avertit tout le monde de ne * jamais * l'utiliser comme fond d'écran de téléphone, quelle est la chose logique à faire? Apparemment, il est seulement approprié de le définir immédiatement comme fond d'écran de votre téléphone, puis de vous plaindre qu'il rend votre téléphone inutilisable. Alors que se passe-t-il?
L'image en question utilise un espace colorimétrique spécial que l'interface utilisateur Android n'est pas équipée pour gérer. Cette image particulière a une valeur de couleur supérieure à 255, ce qui est hors limites, provoquant un crash dans l'interface utilisateur. Une fois que l'interface utilisateur Android est tombée en panne, il est impossible de modifier le fond d'écran, ce qui entraîne une boucle de crash. Quelques utilisateurs ont pu désactiver leurs fonds d'écran dans les quelques instants entre les plantages, mais le moyen le plus sûr de nettoyer le gâchis est de supprimer manuellement l'image en utilisant quelque chose comme TWRP.
Exim et CVE-2019-10149
Cette vulnérabilité est celle qui continue de donner. Nous avons parlé de CVE-2019-10149 il y a environ un an. Cette semaine, la NSA a publié un avertissement (PDF) que certains acteurs étatiques exploitent activement ce bogue Exim.
Pour un rappel rapide, le serveur de messagerie Exim est le serveur de messagerie le plus populaire sur le net. CVE-2019-10149 est un exploit intelligent qui incite un serveur vulnérable à essayer d'envoyer un e-mail à une adresse spécialement conçue, hébergée sur un serveur de messagerie malveillant. Lorsque la machine cible essaie d'envoyer un message de rebond, le serveur malveillant envoie un octet toutes les quatre minutes, forçant la connexion à rester ouverte pendant une semaine. Cette stratégie garantit que le code vulnérable est atteint. Lorsque le message est finalement envoyé, la charge utile intégrée à l'adresse e-mail est évaluée et exécutée.
L'avertissement de la NSA spécifie le GRU russe comme coupable, agissant sous le nom de Sandworm. Il y a probablement toute l'histoire derrière la façon dont les attaques actuelles ont été découvertes d'origine russe. Étant donné qu'aucun des indicateurs de compromis n'est directement lié au GRU, nous devrons simplement croire sur parole de la NSA, mais bien sûr, ils ne rendront pas public comment ils obtiennent leurs contre-informations non plus.
Dans d'autres nouvelles du GRU, le Royaume-Uni leur a officiellement attribué une série d'attaques contre le pays de Géorgie. Ces attaques ont coupé le réseau électrique géorgien, les disques durs chiffrés (ransomware) et les systèmes financiers directement endommagés. Et le mois dernier, le gouvernement allemand a attribué des hacks à son parlement à un officier du GRU en particulier: Dmitriy Badin.
Attribuer des cyberattaques à un acteur particulier est toujours délicat, surtout lorsque les agences de renseignement étrangères avisées qui ne veulent pas se faire prendre sont à l'origine du travail, mais le fait que plusieurs agences gouvernementales convergent vers les mêmes conclusions est plus convaincant. Les preuves allemandes, recueillies sur cinq ans et pointant vers un agent particulier, le sont particulièrement.
Secrets de missiles nucléaires volés?
Notre dernière histoire vient de Sky News, qui annonce la nouvelle que Westech International a été frappé par une attaque de ransomware. Comme vous l’avez peut-être deviné, le titre de cette section est la loi de Betteridge en action, quoique ironiquement.
Alors que s'est-il vraiment passé, et pourquoi l'angle des «secrets nucléaires» est-il presque certainement superposé? Tout d'abord, Westech n'est pas une grande entreprise d'ingénierie et ils n'ont pas travaillé sur la conception de systèmes d'armes nucléaires. Allez sur leur site Web et regardez les contrats qu'ils ont et les services qu'ils offrent. Télécommunications, maintenance et planification logistique.
Deuxièmement, nous savons que l'attaque par ransomware a frappé les machines qui effectuent leur paie. Les informations classifiées sont soumises à un ensemble strict de règles aux États-Unis. Il doit uniquement être conservé et utilisé dans une installation d’information à compartiments sensibles (SCIF). Les ordinateurs contenant des informations classifiées ne doivent jamais être connectés au réseau non sécurisé. Il existe même un réseau de routeur de protocole Internet secret (SIPRNet) dédié uniquement aux communications sécurisées et uniquement accessible à partir d'un SCIF. Tout cela pour dire que si une attaque de ransomware peut renvoyer les données à un attaquant, alors quelqu'un a gâché royalement d'une manière qui conduit souvent à une peine de prison. C’est loin de la paie et des secrets nucléaires.
Enraciner votre passerelle AT&T
(Andrew Dupuis) avait une passerelle Arris Fibre Gateway fournie par AT&T, et comme beaucoup de hackers, il n'était pas satisfait. Avant de plonger complètement dans le lapin, nous devons souligner qu'AT & T facture 10 $ par mois pour cet appareil et refuse de laisser ses clients utiliser leur propre matériel à la place. (Andrew) pense que cela viole probablement les règles de la FCC. Dans tous les cas, il voulait gérer sa propre passerelle au lieu d'être enfermé dans AT&T. La connexion fibre utilise la sécurité 802.1x sur la connexion physique, qui sert également à verrouiller les clients dans le matériel officiel. Si un utilisateur pouvait extraire les certificats 802.1x, il pourrait remplacer la passerelle AT&T officielle par son propre matériel, ce qui est le point de la rédaction.
L'exploit lui-même commence par une rétrogradation du firmware, revenant à une version qui contient toujours la vulnérabilité. La vulnérabilité? Un serveur REST destiné au dépannage et au débogage. Un peu de travail plus tard, et le matériel est enraciné, avec un serveur telnet qui n'attend que vous. Cela ne devrait pas être très surprenant, le système d'exploitation sous le capot est un Linux intégré standard. La première chose à faire est de désactiver la fonction de mise à jour automatique, pour éviter de se verrouiller hors de l'appareil.
(Andrew) explique comment sécuriser correctement la passerelle et la re-régler pour de meilleures performances, de bonnes idées si vous avez l'intention de continuer à l'utiliser dans votre réseau. Le véritable objectif ici est d'extraire les certificats. Je ne sais pas à quel point cela devrait être une surprise, mais il semble que chaque appareil utilise les mêmes certificats de sécurité, et (Andrew) a eu la gentillesse de partager la copie qu'il a extraite.
(Andrew) l'a envoyé sur la ligne Hackaday. Si vous avez des recherches à partager ou si vous êtes tombé sur quelque chose que vous pensez que nous devrions couvrir, assurez-vous de nous le faire savoir!
