Fail2ban est un excellent outil pour bloquer dynamiquement les adresses IP qui présentent un mauvais comportement, comme des tentatives de connexion répétées. Il vient d’être annoncé qu’une vulnérabilité pourrait permettre à un attaquant de s’emparer d’une machine en étant bloqué par Fail2ban. Le problème est dans le mail-whois action, où un e-mail est envoyé à l’administrateur contenant les informations whois. Les informations Whois sont des données potentiellement contrôlées par un attaquant, et Fail2ban ne stérilise pas correctement l’entrée avant de la canaliser dans le mail binaire. Mailutils a une fonctionnalité qui utilise la touche tilde comme séquence d’échappement, permettant d’exécuter des commandes lors de la composition d’un message. Fail2ban ne désinfecte pas ces commandes tilde, si malveillantes whois les données peuvent trivialement exécuter des commandes sur le système. Whois est l’un des protocoles Unix à l’ancienne qui s’exécute en clair, donc une attaque MItM rend cela particulièrement facile. Si vous utilisez Fail2ban, assurez-vous de mettre à jour vers 0.10.7 ou 0.11.3, ou purgez toute utilisation de mail-whois à partir de vos configurations actives.

Briser le cryptage en reniflant le TPM

« Tous les paris sont ouverts une fois que vous avez un accès physique. » Cela semble être un mantra prouvé une fois de plus, même lorsque les techniques modernes sont en jeu pour essayer de le vaincre. Cette histoire commence lorsque l’équipe rouge de Dolos Group a reçu un ordinateur portable «volé» de son client. Le défi consistait à voir si un attaquant ayant accès à un ordinateur portable de l’entreprise pouvait l’utiliser pour s’introduire dans le réseau protégé de l’entreprise. L’ordinateur portable était bien verrouillé, avec un cryptage complet du disque via un module de plate-forme de confiance (TPM) et Bitlocker étant la cerise sur le gâteau.

Cela rend impossible de faire des progrès, n’est-ce pas? Pas assez. L’ordinateur portable n’a pas été configuré pour exiger un mot de passe ou un code PIN pour démarrer. Dans cette configuration, le TPM envoie automatiquement la clé de chiffrement au chargeur de démarrage pendant le démarrage. Cette clé est envoyée via une interface SPI en clair. Il suffit de sonder le bus SPI pendant le démarrage. Alors que le TPM est physiquement assez petit pour rendre cela assez difficile, l’interface SPI est un bus, ce qui signifie qu’elle se connecte à plusieurs puces sur la carte. L’un d’eux est une puce CMOS, avec des broches beaucoup plus grosses. La capture a réussi et ils ont rapidement eu accès au système de fichiers sur le lecteur crypté. Il n’y avait pas beaucoup d’intérêt sur cette machine en particulier, à part un client VPN.

Pour accéder à ce client, les attaquants ont choisi d’utiliser une très vieille astuce pour contourner la connexion Windows – la porte dérobée des clés collantes. Si vous n’êtes pas familier avec ce hack intelligent, prenez des notes. Lorsque vous avez accès au lecteur d’une machine, mais pas à un compte utilisateur sur la machine, vous pouvez copier cmd.exe sur l’un des rares binaires système afin de contourner la connexion. Le binaire du clavier virtuel est un choix populaire, mais dans ce cas Utilman.exe (touches collantes) a été choisi. Ils ont démarré l’image modifiée en tant que machine virtuelle et, sur l’écran de connexion, ont utilisé la combinaison de touches Windows + U pour lancer leur shell de commande. Étant donné que la machine elle-même était déjà connectée via VPN et connectée au domaine via un compte de machine, ils avaient un pied à terre pour jouer dans le réseau interne. Le téléchargement d’un fichier dans le répertoire du scanner sur l’un des serveurs était suffisant pour remporter le test d’intrusion.

Ensemble de données Fishy Clubhouse

Clubhouse, le réseau social audio à la mode est au centre d’une nouvelle histoire de grattage de données. Sur l’un des forums du darknet, un utilisateur propose de vendre une base de données de 3,8 milliards de numéros de téléphone, prétendument extraits des serveurs de Clubhouse. C’est étrange, car la base de données ne contient que les numéros de téléphone. Clubhouse a annoncé qu’il ne s’agissait pas d’une fuite valide et qu’ils pensent que les chiffres ont été générés de manière aléatoire. La grande quantité de chiffres, sans aucune information supplémentaire, est suffisante pour rendre la base de données inutile même si elle est réelle. Il semble y avoir très peu de soucis ici.

Deviner des noms sur Linkedin

Une technique de grattage qui n’est pas tout à fait à la mode est la revealin outil, de [mxrch]. L’outil prend le profil d’un utilisateur avec un nom de famille caché et révèle le nom complet une lettre à la fois. C’est un outil astucieux, mais vous pouvez le faire vous-même, à la main, sur la page d’accueil de Linkedin. Le problème est la fonction de recherche de Linkedin, qui envoie chaque frappe au serveur, pour mettre à jour la liste des correspondances possibles. L’algorithme de correspondance a accès aux noms de famille complets, vous pouvez donc trouver le nom un caractère à la fois. Prendre [Thomas H.] par exemple. Tapez cela et le lien vers son profil apparaît dans la liste. Ajoutez-y un « a » et il disparaît. Continuez d’essayer jusqu’à ce que vous devinez un « e », et le profil est toujours là. Vous savez maintenant que la deuxième lettre est un « e ». Revealin fait exactement le même processus, juste beaucoup plus rapidement. Je l’ai testé et j’ai découvert que cela fonctionnait jusqu’à ce que je commence à atteindre la limitation de débit de Linkedin. Rincer et répéter sur mille instances cloud ? Tout compte fait, c’est un petit outil intelligent.

Insecte de 16 ans

Vous avez probablement un pilote vulnérable installé sur votre machine Windows. Les pilotes d’imprimante HP, Xerox et Samsung installent tous le pilote SSPORT, qui contient CVE-2021-3438, une vulnérabilité vieille de 16 ans. Chercher C:windowssystem32driversssport.sys. Il contient un débordement de tampon trivial qui peut être utilisé pour l’exécution de privilèges locaux. Le pilote mis à jour est disponible, ou vous pouvez désinstaller le pilote si vous n’utilisez plus une imprimante qui en dépend.

Sécurité des dépendances

Les attaques de la chaîne d’approvisionnement sont un gros problème depuis longtemps. Le danger qu’un paquet ou une bibliothèque en amont soit compromis s’est produit à quelques reprises dans l’histoire récente, comme event-stream et les attaques de confusion de dépendance. Gitlab et Github ont tous deux annoncé des projets pour tenter d’améliorer la situation. Package Hunter de Gitlab est un outil de profilage comportemental qui assemble votre code et vos dépendances dans un bac à sable, et le met à l’épreuve à la recherche d’un comportement étrange. L’inconvénient est qu’il est actuellement limité aux projets NodeJS et Ruby. Même à cela, cela devrait être un ajout utile à un pipeline CI pour trouver les problèmes immédiatement.

Github possède déjà une poignée de fonctionnalités de sécurité de la chaîne d’approvisionnement, comme l’entrée de la base de données des avis de sécurité à laquelle nous avons lié l’histoire de Fail2ban au début de l’article. La nouvelle est qu’ils apportent ces fonctionnalités à Go. Cela inclut les avis, le graphique de dépendance, les alertes automatisées sur les vulnérabilités annoncées et même les demandes d’extraction automatisées pour mettre à jour la dépendance vulnérable. C’est un ensemble d’outils utile, et c’est génial de les voir disponibles dans une autre langue.

Ingénierie inverse pour Nuls Débutants

Vous avez un binaire, et vous devez savoir ce qu’il fait sous le capot. Facile, il suffit de le décompiler ! Maintenant que nous avons des outils comme Ghidra, c’est assez facile de faire ça jmp dans l’assemblage. Mais si vous n’avez jamais fait de programmation assembleur, la liste des push, mov, et pop les commandes ne sont pas beaucoup plus utiles que le code machine brut. Eh bien, ajoutez ce guide rapide de [Sami ALAOUI KENDIL] à votre liste de lecture. Il couvre les commandes et les modèles d’assemblage de base que vous devez connaître pour suivre le flux d’exécution. Tout comme il est dit sur l’étain, c’est un excellent guide pour lire le code décompilé.