Cette semaine en sécurité : brèches, ÆPIC, SQUIP et symboles

Vous avez donc peut-être reçu une invite de réinitialisation du mot de passe Slack. Environ un demi pour cent de la base d’utilisateurs de Slack a vu son hachage de mot de passe potentiellement exposé en raison d’un bogue étrange. Lors de l’envoi de liens d’invitation partagés, le hachage du mot de passe était envoyé aux autres membres de l’espace de travail. Il est un peu difficile de comprendre comment ce problème exact s’est produit, car les hachages de mot de passe ne devraient jamais être envoyés à des utilisateurs comme celui-ci. Je suppose que d’autres utilisateurs ont reçu un paquet de mise à jour d’état lors de la création du lien et qu’une erreur logique dans le code a entraîné l’envoi d’un trop grand nombre d’informations d’état.

Les preuves suggèrent que la première personne à avoir attrapé le bogue était un chercheur qui a révélé le problème à la mi-juillet. Slack semble utiliser une politique de mot de passe sensée, ne stockant que les mots de passe hachés et salés. Cela peut ressembler à une recette de petit-déjeuner, mais cela signifie simplement que lorsque vous tapez votre mot de passe pour vous connecter à Slack, le mot de passe passe par un hachage cryptographique à sens unique et les résultats du hachage sont stockés. Le salage est l’ajout de données supplémentaires, pour rendre une attaque de précalcul impraticable. Slack a déclaré que même si ce bogue a été utilisé pour capturer ces hachages, ils ne peuvent pas être utilisés pour s’authentifier directement en tant qu’utilisateur concerné. Le conseil normal concernant l’activation de l’authentification à 2 facteurs s’applique toujours, en tant que protection supplémentaire contre l’utilisation abusive d’informations divulguées.

Et Tu Twilio

Pour ne pas être en reste, Twilio vient de révéler un problème persistant, mais celui-ci était une attaque d’ingénierie sociale active. Cela a commencé comme une campagne de phishing ciblée contre les employés de Twilio, et lorsque les employés sont tombés amoureux de la fausse page de connexion, les attaquants ont utilisé les informations d’identification capturées pour accéder aux outils internes et aux données des utilisateurs finaux. Il convient de noter en particulier que ces tentatives de phishing ont réussi car elles visaient des employés connus de Twilio, en utilisant les bons numéros de téléphone et en incluant des noms ou des noms d’utilisateur. Il a été rapporté que d’autres sociétés, à savoir Cloudflare et Cicso, subissent des attaques similaires. Il est possible qu’il y ait eu une brèche dans un fournisseur partagé, qui a permis la pêche ciblée.

Plus d’informations sur les cauchemars de la vulnérabilité du processeur

En tête de file se trouve ÆPIC Leak d’Intel, un nouveau type de bogue de processeur. Ce n’est pas un bogue d’exécution spéculatif – nous n’incitons pas le processeur à agir sur la mémoire qui sera annulée. Cela ressemble plus à lire à partir d’une mémoire non initialisée et à y trouver les secrets d’un autre processus. C’est en fait le type exact de bogue que les chercheurs recherchaient, car ils ont intentionnellement rempli des tampons et des caches avec un modèle connu, puis ont tenté de lire à partir d’emplacements de mémoire absurdes à la recherche de ces modèles. Si une lecture de mémoire renvoyait leurs données canari, alors quelque chose d’intéressant se préparait.

C’est exactement ce qui s’est passé lors de la lecture des adresses d’E/S attribuées au contrôleur d’interruption programmable avancé (APIC). Certains octets à l’intérieur de la plage APIC sont réservés et essayer de les lire invoque un comportement indéfini. Sur de nombreux modèles de CPU, cela signifie un blocage du système et/ou un crash complet du CPU. Sur certains processeurs, la lecture a fonctionné, mais comme l’APIC n’envoie pas réellement de données sur ces adresses, le contenu du cache obsolète est renvoyé. C’est un résultat très intéressant, mais notez que pour réussir l’attaque, il faut un accès au système au niveau racine. Cela le rend fondamentalement vide de sens, car le noyau peut déjà lire de la mémoire arbitraire, n’est-ce pas ?

Il existe une exception importante à la règle du Kernel-voit-tout. La technologie d’enclave SGX d’Intel est spécifiquement conçue pour protéger les régions de mémoire même du noyau. En pratique, cela signifie des clés DRM et des machines virtuelles protégées par SGX. La fuite de clé DRM n’est pas une menace *pour* l’utilisateur final, il n’y a donc pas lieu de s’inquiéter. Et la collection de personnes qui exécutent des machines virtuelles protégées par SGX est probablement assez petite.

SQUIP

AMD ne manque pas de plaisir, rendant SQUIP public cette semaine (livre blanc). Il s’agit d’un nouveau canal secondaire qui dérive l’état du processus de la file d’attente du planificateur. Le multithreading simultané (SMT) est la technique utilisée par les processeurs modernes pour alimenter deux fils d’instructions dans un seul cœur de traitement. Étant donné que différentes instructions utilisent différents composants du processeur, SMT se traduit par un débit plus élevé que les arrangements traditionnels à un thread par cœur. Un inconvénient est que l’activité d’un thread peut avoir un impact sur les performances de l’autre. Par exemple, pour le traitement audio en direct, l’une des recommandations était de désactiver SMT pour éviter les sous-utilisations de données. Pour les soucieux de la sécurité, il y a un effet secondaire évident, qu’un processus peut apprendre un peu d’informations sur ce que fait son thread frère sur le cœur du processeur. Il existe une poignée de méthodes pour détecter et tirer parti de cet effet, et ce que SQUIP apporte est une nouvelle méthode pour espionner le fil frère.

Dans les processeurs AMD Zen, il existe plusieurs unités logiques arithmétiques (ALU) par cœur de processeur, mais une seule de ces unités peut effectuer des opérations de multiplication, de division et de contrôle de redondance cyclique (CRC). SQUIP met en file d’attente de nombreuses demandes d’opérations de multiplication à la suite, puis émet un rdpru instruction, lire le registre du processeur. Il recherche spécifiquement la valeur du compteur d’horloge de fréquence de performance réelle (APERF). Il y a un comportement bizarre ici qui est la clé de l’attaque. Il existe des files d’attente distinctes pour chacune des ALU, ainsi que la file d’attente principale pour le noyau. La file d’attente principale pousse les instructions dans les sous-files d’attente individuelles, mais si la prochaine file d’attente cible est pleine, la file d’attente principale se bloque jusqu’à ce que l’instruction suivante puisse être envoyée au bon composant. En effet, si la file ALU1 est pleine+1, le rdpru l’appel est retardé. Une fois que cette instruction arrive à la fin de la file d’attente primaire du processeur, elle peut immédiatement s’exécuter sur l’une des autres ALU. Ceci, en substance, permet à un processus défavorisé d’espionner le nombre d’instructions de multiplication exécutées par son processus frère, même si ce frère se trouve dans une VM différente, par exemple.

Nous pouvons donc déterminer les instructions de multiplication. Qu’est-ce que cela nous apporte exactement ? L’exemple que les chercheurs ont trouvé était le carré et la multiplication de RSA, où chaque bit de la clé secrète déclenchera deux ou trois multiplications, selon la valeur de ce bit donné. En utilisant la technique SQUIP sur de nombreuses exécutions (plus de 50 000), il est possible de déduire la valeur de la clé secrète. C’est un travail brillant, mais probablement d’une utilisation limitée dans le monde réel. C’est du moins l’avis d’AMD, car ses conseils consistent à utiliser les meilleures pratiques de codage pour atténuer ce problème.

Microsoft Office et symboles

C’est un autre de ces « l’enfer a-t-il gelé? » moments, alors que Microsoft annonce la publication de symboles de débogage pour Microsoft Office. Quels sont exactement les symboles de débogage que vous demandez ? Considérez-les peut-être comme une feuille de route vers ce qu’il y a dans un fichier binaire. Lorsqu’un programme plante, les symboles de débogage vous indiquent quelle fonction était en cours d’exécution lorsque le plantage s’est produit, et peut-être même le nom de la variable responsable. Bien qu’il ne s’agisse pas d’autant d’informations qu’une version source complète, cela apporte vraiment beaucoup de transparence sur ce qui se passe à l’intérieur d’un programme donné. Imaginez ce qu’une décompilation Ghidra d’Office pourrait donner. Et c’est en quelque sorte le but. Microsoft souhaite que les chercheurs trouvent des bogues exploitables et les signalent. En plus de cela, des tiers créent des plugins et des intégrations pour Office, et un meilleur débogage facilite les deux tâches.

VMWare

[Steven Seeley] de Source Incite a trouvé une collection de vulnérabilités VMWare en mai, et lorsqu’elles sont rassemblées, elles constituent une impressionnante chaîne de vulnérabilités RCE à racine. Tout d’abord, c’est une bizarrerie qui est probablement une fonctionnalité. Lorsqu’un administrateur crée un lien de tableau de bord dans l’application vRealize Manager, un jeton intégré dans ce lien permet à quiconque d’accéder au tableau de bord sans compte valide. Bien qu’il s’agisse essentiellement d’un accès en lecture seule, il existe un deuxième problème, où un appel d’API pour créer un nouvel utilisateur contourne les vérifications d’authentification normales.

Le problème suivant se trouve être des informations sensibles qui se retrouvent dans les journaux, et que le système autorise l’accès aux journaux à un utilisateur sous-privilégié, ou à aucun utilisateur du tout, dans ce cas ! La ligne de journal en question contient une chaîne d’autorisation de base. L’authentification de base consiste simplement en un mot de passe et un identifiant exécutés via un encodage Base64. Comme démontré dans cette chaîne d’attaque, ce n’est vraiment pas une bonne idée à utiliser. Quoi qu’il en soit, cela permet une réinitialisation du mot de passe pour l’utilisateur administrateur, obtenant un accès administrateur attaquant au système. l’administrateur peut aller activer le port SSH et se connecter. Ainsi, un attaquant a admin et SSH, mais ce n’est toujours pas root.

La prochaine est une sudo règle qui permet à tout utilisateur d’exécuter un script Python spécifique avec sudo – ce qui signifie que le script s’exécute en tant que root. Ce script se tourne vers une variable d’environnement pour trouver ses binaires, et cette variable est simple à définir. Définissez la variable pour que le script exécuté en tant que root exécute un script que vous avez écrit et que vous puissiez faire n’importe quoi, comme donner à votre compte les droits sudo complets. La chaîne d’exploitation complète s’appelle DashOverride et des correctifs sont disponibles pour les trois vulnérabilités en jeu. Bien fait [Steven] pour la trouvaille.

SELinux

Si vous jouez dans RedHat Land, vous connaissez probablement SELinux, ne serait-ce que comme la chose embêtante que vous désactivez pour faire fonctionner le logiciel. Beaucoup d’entre nous, les administrateurs système qui travaillent sur RHEL et ses clones, ont l’habitude de le désactiver temporairement comme première étape de dépannage. Bien, [esp0x31] aimerait que vous reconsidériez cette habitude, en faisant valoir que SELinux peut être un outil utile pour le renforcement du système. Le message décrit comment vous pouvez configurer un contexte de fichier pour un programme donné, puis limiter strictement son accès aux seuls fichiers avec ce contexte. Cette application doit-elle pouvoir communiquer via UDP ? Sinon, ajoutez une règle qui empêche toute création de socket UDP. Une astuce qui tue est le newrole commande, qui vous place dans le domaine SELinux que vous venez de définir – parfait pour dénigrer vos nouvelles règles à la recherche d’une échappatoire.

Bits et octets

Le protocole point à point de Windows présente une faille, CVE-2022-30133, où l’envoi de trafic vers le port 1723 peut entraîner l’exécution de code arbitraire. Le plus effrayant à propos de celui-ci est qu’il est potentiellement vermifuge et que le port pourrait être intentionnellement exposé à Internet, car il s’agissait d’une des premières solutions VPN de Windows. Yoiks.

X-as-a-Service est l’un des moyens les plus populaires de monétiser, et l’élément criminel a sauté à bord. Nous avons eu le ransomware-as-a-service, et maintenant il y a command&control-as-a-Service. Diriger le trésor de machines de votre botnet est-il trop compliqué ? Pour des frais mensuels peu élevés, ces gars-là le feront pour vous, et il est livré avec un tableau de bord élégant et tout. Nous vivons vraiment dans les temps modernes.

Rsync a une faille, où un serveur malveillant peut écrire des fichiers arbitraires sur un client qui se connecte. Cela pourrait également être exploité sous la forme d’une attaque de l’homme du milieu. Recherchez une version 3.2.5 dans les prochains jours, qui contiendra le correctif.

5,4 millions de comptes Twitter ont vu leurs données privées supprimées et vendues, grâce à un zéro-day dans le code Web de Twitter. Le bit sensible était l’e-mail ou le numéro de téléphone utilisé pour vérifier le compte. Pour la plupart d’entre nous, ce ne serait qu’une gêne pour que cela s’échappe. Juste un autre en faire un autre couple de listes de spammeurs. Il existe une poignée de comptes Twitter qui sont gérés de manière anonyme pour une bonne raison, et ce type de fuite pourrait être assez problématique s’il permettait à de mauvais acteurs de relier les points. Grâce à [app-le-bees] pour avoir signalé celui-ci dans notre Discord !