Nous nous moquons parfois de nouvelles vulnérabilités de sécurité qui ont un nom accrocheur et un site Web brillant. Nous innovons ici, cependant, en couvrant un site Web brillant qui se moque de lui-même. Donc, tout d’abord, il s’agit d’une véritable vulnérabilité dans la toute nouvelle puce M1 d’Apple. Il a CVE-2021-30747, et dans certains cas très limités, il pourrait être utilisé pour quelque chose de malveillant. Le nom complet est M1ssing Register Access Controls Leak EL0 State, ou M1RACLES. Pour traduire ce nom trop difficile pour être intelligent en anglais, un registre CPU est laissé ouvert pour un accès en lecture / écriture à partir d’un espace utilisateur non privilégié. Il s’agit d’un registre à deux bits qui n’a pas d’objectif documenté, il est donc parfait pour la contrebande de données entre les processus.

Notez qu’il s’agit d’un registre non documenté. S’il s’avère que cela fait réellement quelque chose d’important, cette vulnérabilité pourrait devenir plus sérieuse à la hâte. Jusque-là, penser à cela comme une vulnérabilité à deux bits semble exact. Pour l’instant, cependant, ce qui nous préoccupe le plus, c’est que deux processus peuvent l’utiliser pour transmettre des informations dans les deux sens. Ce n’est pas comme Spectre ou Rowhammer où un processus lit ou écrit dans un processus indépendant, mais les deux doivent être dans le jeu.

Le découvreur, [Hector Martin], souligne un exemple où cela pourrait en fait être abusé: pour contourner les autorisations sur les appareils iOS. C’est un scénario intelligent. Les claviers tiers ont toujours été un peu inquiétants, car ils exécutent un code qui peut voir tout ce que vous tapez, mots de passe inclus. Le conseil de longue date est de ne jamais utiliser un tel clavier, s’il demande des autorisations d’accès au réseau. Apple a fait de ce conseil une règle de plate-forme: aucun clavier iOS n’a accès au réseau. Que se passe-t-il si une deuxième application malveillante est installée sur un appareil, qui dispose d’autorisations d’accès à Internet? Avec un canal de données caché, le clavier peut mélanger les frappes de touches vers son application sœur et retirer vos secrets de l’appareil.

Alors, à quel point devriez-vous vous soucier de la CVE-2021-30747? Probablement pas grand-chose. Le site brillant est vraiment une expérience sociale pour voir combien d’entre nous écriraient la vulnérabilité sans être dans la blague. Pourquoi aller aux tracas? Apparemment, c’était une excuse pour faire cette vidéo, mettant en vedette la bonne pomme appropriée !! Clip musical.

Demi-doubler sur Rowhammer

Il y a quelques jours, Google a annoncé les détails de Half-Double, et le verre est définitivement Half-Double avec tous les jeux de mots idiots qui me viennent à l’esprit. Le concept est simple: si Rowhammer fonctionne parce que les rangées individuelles de bélier sont physiquement si proches les unes des autres, une miniaturisation supplémentaire permet-elle des attaques contre des bits à deux rangées de distance? La réponse est un oui qualifié.

Rappel rapide, Rowhammer est une attaque démontrée pour la première fois contre la DDR3 en 2014, où un accès rapide à une ligne de mémoire peut provoquer des erreurs de retournement de bits dans la ligne voisine. Depuis lors, les fabricants de puces ont déployé des efforts pour durcir contre Rowhammer, y compris des techniques de détection. Dans le même temps, les chercheurs ont continué à faire progresser l’art grâce à des techniques telles que Double-Sided Rowhammer, en randomisant l’ordre des lectures et en essayant de synchroniser l’attaque avec les intervalles de rafraîchissement du bélier. Half-Double est encore un autre moyen de surmonter les protections intégrées dans les puces de RAM modernes.

Nous commençons par spécifier une ligne de bélier particulière comme victime (V). La ligne juste à côté sera la ligne de l’agresseur proche (N), et la ligne suivante au-dessus, nous appelons la ligne de l’agresseur le plus éloigné (F). Une attaque Rowhammer normale alternerait simplement entre la lecture de l’agresseur proche et un leurre lointain, basculant rapidement la ligne de sélection de ligne, ce qui dégrade la charge physique dans les bits voisins. L’attaque Half-Double alterne à la place entre l’agresseur éloigné et une ligne leurre pendant 1000 cycles, puis lit une fois à partir de l’agresseur proche. Ce processus est répété jusqu’à ce que la ligne victime soit légèrement retournée, ce qui se produit souvent en quelques dizaines d’itérations. Parce que le martèlement n’est pas juste à côté de la rangée de la victime, la détection intégrée applique des atténuations à la mauvaise rangée, permettant à l’attaque de réussir malgré les atténuations.

Serveurs Windows plus vulnérables

Nous avons parlé de CVE-2021-31166 il y a deux semaines, une faille vermifuge dans Windows ‘ http.sys conducteur. [Jim DeVries] a commencé à se demander quelque chose dès qu’il a entendu parler de la CVE. La gestion à distance de Windows, exécutée sur le port 5985, était-elle également vulnérable? Personne ne semblait le savoir, alors il a pris les choses en main et a confirmé que oui, WinRM est également vulnérable à cette faille. D’après ce que je peux dire, cela est installé et activé par défaut sur tous les serveurs Windows modernes.

Et loin de son affirmation optimiste selon laquelle personne n’exposerait sûrement cela à Internet… On estime qu’il y a plus de 2 millions d’adresses IP qui font exactement cela.

Plus de ransomwares

Sur le front des ransomwares, il y a une histoire intéressante sur la République d’Irlande. Le système de santé a été touché par le ransomware Conti et le prix du décryptage a été fixé à l’équivalent de 20 millions de dollars. Cela a été une surprise, alors, lorsqu’un décrypteur a été publié librement. Il semble y avoir un thème récurrent dans les ransomwares, à savoir que les grands groupes essaient de gérer l’attention qu’ils attirent. D’autre part, cette attaque de ransomware comprend une menace de divulgation d’informations privées, et le groupe Conti tente toujours d’extorquer de l’argent pour l’empêcher. C’est une situation étrange, bien sûr.

Inside Baseball pour les nouvelles de sécurité

J’ai trouvé une série d’histoires et de tweets plutôt intéressantes, à commencer par les mises à jour Android de mai au début du mois. [Liam Tung] chez ZDNet fait un bon travail en présentant les bases. Premièrement, lorsque Google a annoncé les mises à jour Android de mai, ils ont signalé quatre vulnérabilités comme pouvant être activement exploitées. Dan Goodin chez Ars Technica a pris ombrage avec le langage imprécis, qualifiant l’annonce de «vague au point d’être dénuée de sens».

Shane Huntley a sauté dans la mêlée sur Twitter, et fait allusion à la trame de fond derrière le vague avertissement. Il y a deux possibilités qui ont vraiment du sens ici. La première est que des exploits ont été trouvés en vente quelque part, comme un forum de hackers. Il n’est pas toujours évident qu’un exploit ait effectivement été vendu à quelqu’un qui l’utilise. L’autre possibilité donnée est que lorsque Google a été informé de l’exploit actif, il était nécessaire que certains détails ne soient pas partagés publiquement. Donc, la prochaine fois que vous verrez une grande organisation comme Google couvrir son langage de manière évidente et apparemment inutile, il est possible qu’il y ait une situation intéressante dans ce langage. Le temps nous le dira.

Le Patch Gap

Le terme existe depuis au moins 2005, mais il semble que nous entendions de plus en plus parler de problèmes de patch gap. La définition exacte varie en fonction de qui utilise le terme et du produit qu’ils vendent. Une bonne définition de travail est le temps entre une vulnérabilité et une mise à jour disponible pour corriger la vulnérabilité.

Il existe des raisons plus courantes pour les lacunes des correctifs, comme la mise en ligne de vulnérabilités sans aucune divulgation coordonnée. Une autre cause plus intéressante est lorsqu’un problème en amont est résolu et annoncé publiquement, et il faut du temps pour obtenir le correctif. L’exemple en question cette semaine est Safari, et un correctif dans WebKit en amont. Le bogue dans la nouvelle fonctionnalité AudioWorklets est une confusion de type qui fournit un moyen simple de traiter l’audio dans un thread d’arrière-plan. Lors de l’initialisation d’un nouveau thread de travail, le programmeur peut utiliser son propre constructeur pour créer l’objet thread. La fonction qui lance l’exécution ne vérifie pas réellement que le type d’objet lui a été attribué et l’objet est converti dans le bon type. Le code est exécuté comme s’il était correct, conduisant généralement à un plantage.

Le bogue a été corrigé en amont peu de temps après la mise à jour de Safari. On pense qu’Apple a fonctionné en sachant que cela ne pouvait pas être utilisé pour un RCE réel et n’avait donc pas publié de mise à jour de sécurité pour le corriger. Le problème, c’est qu’il est exploitable, et un exploit PoC est disponible depuis une semaine. Comme c’est souvent le cas, cette vulnérabilité devrait être combinée avec au moins un autre exploit pour surmonter le renforcement de la sécurité et le sandboxing intégrés dans les navigateurs modernes.

Il y a une autre bizarrerie qui rend ce bogue encore plus dangereux. Sur les appareils iOS, lorsque vous téléchargez un navigateur différent, vous exécutez essentiellement Safari avec un skin différent collé sur le dessus. Pour autant que je sache, il n’y a aucun moyen d’atténuer ce bogue sur un appareil iOS. Faites peut-être très attention aux sites Web que vous visitez pendant quelques jours, jusqu’à ce que cela soit corrigé.

Via Ars Technica