Le système de fichiers volumineux de Git est une solution raisonnable à un problème de niche. Comment gérez-vous les gros fichiers binaires qui doivent aller dans un référentiel git? Il peut s’agir d’images ou de vidéos faisant partie de la documentation d’un projet, ou même d’un jeu de données de démonstration. La solution de Git-lfs est de remplacer les fichiers binaires par un pointeur basé sur les taxes vers l’endroit où le fichier réel est hébergé. Ce n’est cependant pas important pour comprendre cette vulnérabilité. Le problème est que git-lfs appellera le binaire principal git dans le cadre de son opération, et quand il le fera, le chemin complet n’est pas utilisé. Sur un système Unix, ce n’est pas un problème. le $PATH variable est utilisée pour déterminer où chercher les binaires. Quand git est exécuté, /usr/bin/git est exécuté automatiquement. Sur un système Windows, cependant, l’exécution d’un nom binaire sans chemin recherchera d’abord dans le répertoire courant, et si un fichier exécutable correspondant n’est pas trouvé, alors seulement les emplacements standard seront vérifiés.

Vous pouvez déjà voir le problème. Si un référentiel contient un git.exe, git.bat, ou un autre git.* fichier que Windows pense être exécutable, git-lfs exécutera ce fichier au lieu du binaire git prévu. Cela signifie simplement extraire un référentiel malveillant pour une exécution immédiate du code. Une installation standard de git pour Windows, antérieure à la 2.29.2.2, contient le plugin vulnérable par défaut, alors vérifiez que vous êtes à jour!

Alors rappelez-vous qu’il y a une autre ride à cette vulnérabilité. Dans quelle mesure vérifiez-vous le contenu d’un téléchargement git avant d’exécuter la prochaine commande git? Même avec un patché git-lfs version, si vous clonez un référentiel malveillant, puis exécutez une autre commande git, vous exécutez toujours le local git.* fichier. La vraie solution consiste à pousser le répertoire local plus haut dans la chaîne de chemins.

PLATYPUS d’Intel

Logo PLATYPUSIntel a un nouveau correctif de vulnérabilité intéressant dans ses processeurs, PLATYPUS. Une série de mises à jour du système d’exploitation, de micrologiciels et même de correctifs de microcode ont été publiés pour résoudre ce nouveau problème. Nous pouvons jeter un œil au livre blanc (PDF) et décider à quel point PLATYPUS est sérieux?

Le mécanisme au centre de PLATYPUS est RAPL d’Intel, l’interface Running Average Power Limit. En termes simples, il s’agit d’un capteur de puissance en temps réel pour les processeurs Intel. Dans le noyau Linux, cette interface était exposée à des utilisateurs sans privilèges. Maintenant, que pourrait faire un utilisateur non privilégié avec un tel wattmètre?

Apparemment, l’une des attaques de démonstration a pu cartographier l’espace d’adressage aléatoire du noyau Linux, en environ 20 secondes. À partir d’une position d’attaque privilégiée (niveau racine), les secrets de l’enclave SGX d’Intel peuvent être découverts. Comment? C’est essentiellement le même problème que TEMPEST de l’époque de la Seconde Guerre mondiale. Tout ce qui fuit des informations sur l’état interne d’un dispositif de cryptographie peut être utilisé pour attaquer la cryptographie. Dans ce cas, il ne s’agit pas d’émissions radio, mais d’émission d’informations sous forme de consommation d’énergie. Il y a d’autres éléments intelligents dans cette histoire, comme l’abus d’un bogue séparé pour des fonctions de processeur en une seule étape, donnant à un attaquant une résolution beaucoup plus fine dans sa collecte de données. Il est probable que dans les prochains mois, nous verrons des informations sur l’attaque PLATYPUS qui sera à nouveau utilisée sur les puces AMD, et peut-être même sur les processeurs ARM.

Téléviseurs TCL

Il y a un vieil adage, ne jamais attribuer à la méchanceté ce qui peut être expliqué par une simple négligence. On ne sait pas si les problèmes qui [sick codes] et [John Jackson] dans certains téléviseurs TCL peut être pleinement expliqué par la négligence. Avant de spéculer, couvrons ce qui a été réellement trouvé. Tout d’abord, le système cible est une gamme de téléviseurs intelligents de marque TCL fonctionnant sous Android. Comme beaucoup d’entre nous le feraient, [sick codes] commencé par une analyse NMAP, à la recherche de ports ouverts.

Quatorze. Il y avait quatorze ports ouverts, et non des services standard, mais des ports semi-aléatoires de haut niveau. La plupart d’entre eux exécutent des services HTTP / HTTPS qui sont probablement des connexions API d’une certaine sorte. Le port le plus intéressant qu’ils ont trouvé était 7978, où tout le système de fichiers racine était disponible. Celui-là a été attribué à CVE-2020-27403. Une deuxième vulnérabilité, CVE-2020-28055, est un problème d’autorisations de dossier. Le dossier du fournisseur TCL est accessible en écriture dans le monde entier, ce qui signifie que d’autres applications pourraient y injecter du code.

J’ai réussi à parler à [sick codes] lui-même à propos du problème, et il a souligné une application appelée TerminalManager_Remote comme étant particulièrement intéressant. Cela semble être une implémentation personnalisée du protocole TR-060, qui est destiné à la gestion à distance du matériel ISP. Pourquoi exactement ce protocole est utilisé pour les téléviseurs intelligents est inconnu. On pourrait spéculer sur la quantité d’informations capturées et renvoyées à TCL. À tout le moins, nous pouvons dire qu’il existe un potentiel de comportement abusif, compte tenu de ce que nous savons du logiciel fonctionnant sur l’unité.

Il y a suffisamment d’éléments intéressants dans cette histoire pour que j’ai commandé un téléviseur TCL et que je prévois de travailler moi-même sur ce sujet. Gardez un œil sur les mises à jour et probablement d’autres CVE à venir.

Jeux en ligne et sécurité

J’ai découvert un merveilleux trio d’articles par [Dan Petro] de l’évêque Fox. Il examine les problèmes de triche dans le monde du jeu en ligne, et quelles mesures anti-triche ont fonctionné et lesquelles n’ont pas fonctionné, puis applique les leçons axées sur la sécurité des applications Web. Il fait le même constat que beaucoup de nos lecteurs, l’industrie des jeux a un étrange amour pour l’utilisation de logiciels espions pour la prévention de la triche.

Le premier article concerne les informations cachées et où les règles sont réellement appliquées dans un jeu. Si toute la carte du jeu est envoyée aux clients, il est inévitable qu’un tricheur puisse montrer la carte entière au joueur. De même, si le client est autorisé à appliquer la logique du jeu, une triche côté client peut facilement modifier cette logique. L’application évidente est de ne faire confiance à rien qui fonctionne sur le matériel de l’utilisateur. Il est beaucoup trop facile d’ouvrir la console Web sur un navigateur moderne et d’examiner de près chaque information qui a été envoyée au navigateur. Ne faites pas confiance au client.

La deuxième partie concerne la détection et l’interdiction des bots. Les aim-bots et les macros sont les deux gros problèmes dans le monde du jeu. La manière préférée de les détecter est la «détection d’anomalie». Un certain joueur effectue-t-il trop d’entrées parfaites trop rapidement? Ont-ils un niveau de précision presque impossible? Vous pouvez reconnaître la similitude avec le programme reCAPTCHA de Google. Dans les deux cas, le système recherche un «dire», un cadeau que l’utilisateur n’est pas entièrement humain.

Le dernier volet concerne les conditions de course. L’exemple montre comment un joueur confronté à un décalage du réseau semble se téléporter autour de la carte et qu’il est impossible de le toucher. Certains joueurs peu scrupuleux sont allés jusqu’à installer un «lag switch» pour déclencher intentionnellement ce comportement. La solution utilise des techniques telles que les mutex et des règles de synchronisation exécutables pour garantir le comportement attendu. Tout compte fait, les articles étaient une vision inattendue de la philosophie de la sécurité, mais une lecture amusante.

Aussi sur Tap

Plus tôt cette semaine, Al Williams a couvert etherify. C’est un hack intelligent qui utilise un port Ethernet comme antenne de transmission de fortune.

Bryan Cockfield a écrit une attaque intelligente contre Ubuntu où un utilisateur pourrait planter un service système, ce qui trompe le système en exécutant à nouveau les boîtes de dialogue de création d’utilisateur de premier démarrage, permettant une augmentation des privilèges locaux.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici