OpenWRT est l’un de mes projets préférés absolus, mais la semaine a été difficile. Tout d’abord, les forums officiels d’OpenWRT signalent que l’un des comptes d’administrateur a été accédé et que la liste des utilisateurs a été téléchargée par un acteur malveillant inconnu. Cette liste est connue pour inclure des adresses e-mail et des noms d’utilisateur. Il ne semble pas que les hachages de mot de passe aient été exposés, mais juste pour être sûr, une expiration de mot de passe a été déclenchée pour tous les utilisateurs.

Avis de sécurité OpenWRT

Le deuxième problème OpenWRT est un ensemble de vulnérabilités récemment découvertes dans Dnsmasq, un package installé par défaut dans les images OpenWRT. Parmi ces vulnérabilités, quatre sont des débordements de tampon et trois sont des faiblesses dans la façon dont les réponses DNS sont vérifiées, ce qui peut potentiellement permettre un empoisonnement du cache. Ces sept vulnérabilités sont collectivement appelées DNSpooq (Whitepaper PDF).

Empreintes de Favicon

L’un des domaines de recherche frustrants mais impressionnants est celui des empreintes digitales du navigateur. Vous n’avez peut-être pas de compte et pouvez effacer vos cookies, mais si un annonceur souhaite vous suivre suffisamment, il existe un flux de techniques pour le rendre possible. Une nouvelle technique a été ajoutée à cette liste, la mise en cache Favicon (PDF). Le gros problème ici est que le cache favicon n’est généralement pas mis en bac à sable, même en mode incognito (bien que heureusement pas * enregistré * en mode incognito), et qu’il n’est pas effacé avec le reste des données du navigateur. Pour comprendre pourquoi c’est un problème, posez une question simple. À quel point est-il difficile de déterminer si un navigateur a une copie en cache d’un favicon?

Le schéma exact que les auteurs suggèrent est d’utiliser plusieurs domaines avec des favicons discrets, chacun représentant un seul bit. Chaque utilisateur peut alors se voir attribuer une valeur différente en les envoyant via chaque domaine via une chaîne de redirection. Lorsque les favicons sont chargés, ce bit est défini sur true. Vous vous demandez peut-être comment ces données sont-elles lues par le serveur? Le client est géré en mode lecture seule, où chacune de ces demandes de favicon renvoient un 404. En regardant les demandes arriver, le serveur peut reconstruire l’identifiant unique en fonction des favicons demandées.

Quand j’ai lu cette technique pour la première fois, un problème potentiel s’est révélé être un problème. Comment le serveur pourrait-il savoir s’il faut mettre une nouvelle connexion en mode lecture ou en mode écriture? Il semble, à première vue, que cela irait à l’encontre de tout le système. Les chercheurs à l’origine de l’empreinte digitale favicon ont une solution élégante pour cela. Le favicon pour un seul domaine fixe fonctionne comme un indicateur de bit unique, indiquant s’il s’agit d’un nouvel utilisateur ou d’un nouvel utilisateur. Si le navigateur demande ce favicon, il est nouveau et peut être canalisé via le processus d’écriture d’identifiant. Si le favicon initial n’est pas demandé, il doit être traité comme une visite de retour et l’ID peut être lu. Dans l’ensemble, c’est un moyen diaboliquement intelligent de suivre les utilisateurs, d’autant plus qu’il peut même fonctionner en mode incognito. Attendez-vous à ce que les navigateurs résolvent ce problème rapidement. La première étape sera de sandbox mettre en cache les favicons en mode incognito, mais le papier appelle quelques autres solutions possibles.

Orbite Fox

Le modèle de longue date dans la sécurité WordPress est que WordPress lui-même est assez à l’épreuve des balles, mais de nombreux plugins populaires ont de graves problèmes de sécurité qui ne demandent qu’à être trouvés. Le plugin de la semaine est cette fois Orbit Fox, avec plus de 400 000 installations actives. Ce plugin fournit plusieurs fonctionnalités, l’une étant un formulaire d’inscription utilisateur. Le problème est un manque de validation côté serveur de la réponse au formulaire. Sur un site avec un tel formulaire, il suffit d’ajuster les données de réponse pour user_role est maintenant réglé sur «administrateur». Heureusement, cette vulnérabilité n’est exposée que lors de l’utilisation d’une combinaison de plugins, et le problème a été révélé et corrigé en décembre.

Patch mardi

Un autre patch mardi est venu et est parti, et l’initiative Zero Day nous a couvert avec un aperçu de ce qui a été corrigé. Il y a deux vulnérabilités corrigées qui méritent d’être signalées ce mois-ci. Le premier est CVE-2021-1647, une faille dans Microsoft Defender. Celui-ci a été observé dans la nature et est un exploit RCE. Si votre machine est toujours en ligne, vous avez probablement obtenu ce correctif automatiquement, car Windows Defender possède son propre système de mise à jour automatique.

Le deuxième problème intéressant est CVE-2021-1648. Cette vulnérabilité est le résultat d’un correctif flubbed pour un problème antérieur. D’après Project Zero de Google: «La seule différence entre CVE-2020-0986 est que pour CVE-2020-0986, l’attaquant a envoyé un pointeur et maintenant l’attaquant envoie un décalage.» Heureusement, il ne s’agit que d’un défaut d’élévation du privilège et a maintenant été correctement corrigé, pour autant que nous puissions en juger.

Piratage de Linux, style hollywoodien

Le piratage du style hollywoodien fonctionne parfois. Vous connaissez les films, où un «hacker d’élite» écrase frénétiquement sur un clavier tout en bavardant sur les pare-feu et en reconfigurant le rétro-encabulateur. Parfois, cependant, l’écrasement du clavier trouve en fait des problèmes de sécurité. Dans ce cas, un verrouillage de l’économiseur d’écran peut être rompu en tapant rapidement sur un clavier physique et le clavier virtuel à l’écran en même temps. Le texte du rapport de bogue est en or: «Il y a quelques semaines, mes enfants voulaient pirater mon bureau Linux, alors ils ont tapé et cliqué partout, alors que je me tenais derrière eux en les regardant jouer … quand le noyau de l’économiseur d’écran s’est vidé et ils piraté leur chemin! wow, ces petits hackers… »

Zoom démasquer

Imaginez un instant avec moi que vous travaillez pour Evilcorp. Vous êtes sur un appel Zoom, et le plan directeur diabolique est en cours d’élaboration. Vous êtes un être humain décent, alors vous démarrez un enregistreur d’écran pour obtenir une copie des preuves. Vous avez la preuve, maintenant pour l’envoyer aux bonnes personnes. Mais d’abord, prenez un moment pour penser à l’anonymat. Lorsque votre enregistrement sera diffusé aux nouvelles du soir, Evilcorp pourra-t-il comprendre que c’est vous qui avez divulgué la réunion? Oui, très probablement.

Il existe tout un domaine d’étude autour de l’intégration, de la détection et de l’atténuation des informations d’identification dans les images audio, vidéo et fixes. Cette discipline est connue sous le nom de stéganographie, et fait amusant, elle porte le nom du trio de livres «Steganographia». Le premier écrit en 1499, Steganographia semble être des textes mystiques sur la façon de communiquer sur les distances via des esprits surnaturels. Dans une tournure très satisfaisante, les livres sont en fait un guide pour cacher des messages cryptés dans des textes écrits, le tout caché à l’aide des techniques décrites dans le texte caché. Pour nos besoins, nous pourrions diviser le domaine de la stéganographie en deux grandes catégories. Données intentionnellement cachées et indicateurs inclus involontairement.

En haut de la liste des données intentionnelles se trouve la fonction de filigrane de Zoom. L’administrateur d’appel peut les activer, ce qui inclut des identifiants uniques dans l’audio, la vidéo ou les deux de l’appel. Les filigranes vidéo sont assez faciles à repérer, votre nom d’utilisateur superposé sur l’image. Il n’y a aucune garantie qu’il n’y ait pas de filigrane plus sournois. Les métadonnées sont ensuite à considérer. En particulier, si vous avez sorti un téléphone portable pour effectuer l’enregistrement, ce fichier contient presque certainement des données de temps et de localisation. Une coordonnée GPS constitue un identifiant assez simple, lorsqu’elle pointe directement vers votre maison.

La stéganographie involontaire peut être aussi simple que d’avoir votre caméra auto-vue en surbrillance en haut de l’appel. Il existe des moyens plus subtils pour extraire des données d’un enregistrement, comme regarder la latence des membres individuels de l’appel. Si le locuteur B a quelques millisecondes d’avance dans la version divulguée, par rapport à tous les autres, alors le leaker doit être physiquement proche de ce membre de l’appel. Il est extrêmement difficile de couvrir toutes vos bases en matière d’anonymisation des médias, et nous venons de gratter la surface ici.