Il existe une nouvelle souche de malware ciblant MacOS, Silver Sparrow, et c’est inhabituel pour plusieurs raisons. Tout d’abord, c’est l’un des rares logiciels malveillants qui cible les nouveaux processeurs M1 ARM64. Juste un rappel, c’est la nouvelle conception interne en silicone d’Apple. C’est inhabituel pour une deuxième raison – ça ne fait rien. Plus précisément, alors que les chercheurs surveillaient, l’infrastructure de commande et de contrôle ne fournissait pas de charge utile. Silver Sparrow a été trouvé positivement sur près de 30 000 machines.

Le malware dispose également d’un kill switch intentionnel, où la présence d’un fichier particulier déclenche une suppression complète du package de malware. Les chercheurs de Red Canary soulignent que ce package se comporte très bien comme un programme légitime, difficile à identifier en tant que logiciel malveillant. Ars Technica a reçu une déclaration officieuse d’Apple, indiquant qu’ils suivaient la situation et avaient révoqué le certificat du développeur utilisé pour signer le malware. Il n’est pas tout à fait clair si cela empêche le malware de s’exécuter sur des machines déjà compromises ou arrête simplement de nouvelles infections.

Alors, qui est derrière Silver Sparrow? Le mode furtif observé et d’autres complexités suggèrent qu’il s’agit de plus qu’une simple campagne de logiciels publicitaires ou de ransomwares. Comme il a été découvert avant la livraison de la charge utile, nous ne saurons peut-être jamais quel est le but. Il peut s’agir d’une campagne créée par le gouvernement, ciblant quelque chose de spécifique.

VMware RCE

Les détails d’une vulnérabilité VMware ont été publiés cette semaine et l’attaque m’a paru plutôt élégante. CVE-2021-21972 est une combinaison de deux problèmes. La première est que l’interface Web VMware expose un point de terminaison HTTP qui n’applique pas l’authentification utilisateur. L’une des fonctions de ce point de terminaison est d’autoriser le téléchargement d’un fichier d’archive et de l’extraire dans le /tmp annuaire. Le deuxième problème est que la fonction d’extraction n’a pas correctement nettoyé les noms des fichiers extraits. Par conséquent, il était possible de créer une archive avec une attaque transversale de chemin.

Ici, nous avons deux défauts très simples, et une fois réunis, permettent à un acteur complètement non authentifié d’obtenir facilement une exécution de code arbitraire sur la machine exécutant VMware. L’attaque fonctionne sur les serveurs Linux et Windows, avec les variations d’implémentation attendues.

À l’intérieur d’un système de sécurité sans fil

Vous êtes-vous déjà demandé à quel point un système de sécurité résidentiel est sécurisé? [Nick Miles] et [Chris Lyne], une paire de chercheurs de Tenable, s’est demandé la même chose et a décidé de déchirer un système SimpliSafe, en effaçant tous ses secrets. Ils ont commencé avec des analyseurs logiques, et sont allés jusqu’à payer le décapage fonctionnel des puces, pour récupérer le firmware.

Le processus étape par étape vaut la peine d’être lu, mais la conclusion est que le système est relativement bien conçu. Chaque appareil possède une clé AES immuable, ce qui représente une surface d’attaque qui ne serait pas présente avec un échange de clés plus robuste.

Pour les curieux, [Nick] a fait une analyse détaillée d’un système Ring il y a quelques mois à peine.

Attribution d’exploit approprié, l’histoire de Jian

Je suis connu pour être un peu sceptique lorsqu’une attaque ou un exploit est attribué à une nation étrangère, mais aucune preuve réelle n’est présentée. Une histoire a attiré mon attention cette semaine, car c’est un merveilleux exemple de ce à quoi une attribution correcte ressemble, sans parler d’un excellent exemple de démêler un mystère de malware. Check Point Research a examiné en profondeur un exploit utilisé par APT31, censé faire partie du gouvernement chinois.

Il y a beaucoup trop de détails à approfondir ici, allez lire l’article pour les détails, mais nous en couvrirons les points forts. Vous vous souvenez de la fuite de Shadow Brokers, en 2017? C’était une collection impressionnante de 0 jours qui est universellement reconnue comme produite par Equation Group, qui fait partie de la NSA. L’un des outils exposés dans cette piste était «EpMe», qui a tiré parti de CVE-2017-0005. Jian, un exploit produit par APT31 ciblait également ce CVE, et a probablement été créé en 2014.

Le point culminant ici est que Checkpoint fait un cas très convaincant que ce n’est pas un accident si les deux exploits ciblaient le même CVE, mais que l’exploit chinois était basé sur un échantillon capturé de l’outil produit par la NSA. Essentiellement, ils ont procédé à une ingénierie inverse de l’exploit et l’ont utilisé dans leurs propres opérations, avant même que l’outil ne soit exposé par les Shadow Brokers.

Partitionnement de l’état de Firefox

Autoriser les cookies intersitesMozilla a publié une nouvelle fonctionnalité de confidentialité, State Partitioning, un moyen d’arrêter de manière autoritaire le suivi en ligne basé sur les cookies. Le concept est d’une simplicité trompeuse. Chaque domaine que vous visitez a son propre «pot à cookies». De nombreux sites Web ont des iframes Facebook ou des images intégrées. Le partitionnement de l’état isolerait les cookies créés par chacun de ces iframes, ce qui signifie que votre navigateur est anonyme pour Facebook sur chacun de ces sites.

Main dans la main est une nouvelle API qui permet à un site Web de demander un accès aux cookies intersites. Ceci est important pour la poignée d’utilisations où l’accès est nécessaire pour des utilisations légitimes, comme les services d’authentification unique. Pour le moment, le partitionnement est désactivé par défaut et peut être activé via le paramètre strict de protection renforcée contre le pistage.

Comportement JSON indéfini

[Jake Miller] de Bishop Fox Labs a écrit une excellente introduction à un sujet que je n’ai jamais considéré: les constructions JSON étranges et la façon dont différentes implémentations les gèrent. Un exemple vous aidera.


obj = {"test": 1, "test": 2}


Alors quelle est la valeur de obj["test"]? C’est compliqué. Certains analyseurs JSON choisiront la première définition d’une clé, tandis que d’autres choisiront la dernière. D’autres encore lanceront une erreur en réponse. Ce qui en fait un problème particulièrement sérieux est que les mêmes données peuvent être analysées par différentes implémentations dans une seule transaction. L’exemple donné dans l’article est celui d’une boutique en ligne, où le traitement des paiements est géré par un tiers.

L’attaque fonctionne en manipulant l’objet JSON envoyé par le navigateur, en injectant une deuxième définition de valeur pour la quantité d’articles achetés. Le magasin lui-même voit la valeur la plus élevée, qui détermine les articles réellement expédiés. Le backend de paiement utilise un analyseur JSON différent, qui voit la valeur la plus petite. Le backend gère en fait le traitement des paiements, donc le montant facturé est celui de la plus petite quantité.

L’article continue en décrivant les problèmes avec unicode non valide intégré dans JSON et des paires de clés valides qui ont été /*commented out*/, et que se passe-t-il lorsque vous re-sérialisez ces données bizarres. Un autre cas de bord intéressant est la gestion de très grands nombres, où certains analyseurs renvoient 0, d’autres renvoient un nul, et certains une approximation en notation scientifique.

Tout compte fait, la désérialisation JSON est un gâchis. Il y a certainement de nombreux bogues difficiles à repérer dans les applications Web qui utilisent plusieurs analyseurs. L’auteur fait quelques recommandations à la fin de l’article. Le plus important est que les analyseurs doivent produire une erreur fatale sur une entrée JSON excentrique particulière, plutôt que de renvoyer une estimation des données voulues.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici