Cette semaine en sécurité : vandalisme NPM, simulation de redémarrages, etc.

Nous avons couvert pas mal d’histoires sur les logiciels malveillants se faufilant dans le NPN et d’autres référentiels JavaScript. C’est un peu différent. Cette fois, un programmeur JS a vandalisé ses propres paquets. Ce n’est même pas un malware, peut-être devrions-nous l’appeler protestware ? Les deux forfaits, colors et faker sont tous deux populaires, avec un téléchargement hebdomadaire combiné de près de 23 millions. Leur auteur, [Marak] a ajouté une mise à jour de rupture à chacun d’eux. Ces bibliothèques impriment maintenant un en-tête de LIBERTY LIBERTY LIBERTY, puis soit des caractères aléatoires, soit un art ASCII très médiocre. Il a été confirmé qu’il ne s’agissait pas d’un attaquant extérieur, mais [Marak] briser volontairement ses propres projets. Pourquoi?

Il semble que cette histoire commence à la fin de 2020, lorsque [Marak] perdu beaucoup dans un incendie et a dû demander de l’argent sur Twitter. Deux semaines plus tard, il a tweeté que des milliards étaient gagnés hors du travail des développeurs open source, citant une fuite FAANG. FAANG est une référence aux cinq grandes entreprises technologiques américaines : Facebook, Apple, Amazon, Netflix et Google. Le même jour, il a ouvert un numéro sur Github pour faker.js, lançant un ultimatum : « Profitez-en pour m’envoyer un contrat annuel à six chiffres ou forgez le projet et demandez à quelqu’un d’autre de travailler dessus.

Respectueusement, je ne vais plus soutenir les Fortune 500 (et d'autres entreprises de plus petite taille) avec mon travail gratuit.  Il n'y a pas grand chose d'autre à dire.  Profitez-en pour m'envoyer un contrat annuel à six chiffres ou pour forger le projet et demander à quelqu'un d'autre de travailler dessus.

Si vous vous sentez désolé pour [Marak], il reste une ride à tourner. Il n’a pas commis de code pour colors.js depuis février 2018. Un autre développeur, [DABH] fait de la maintenance depuis lors, jusqu’à ce que le vandalisme se produise. Tout compte fait, c’est le bordel. Les deux projets sur NPM ont été ramenés à leurs versions non perturbées et seront probablement pivotés vers les fourches officielles des projets.

Redémarrages simulés

La sagesse commune est que s’il existe plusieurs kits de logiciels malveillants iOS, produits par des groupes tels que NSO, ces logiciels malveillants ne peuvent pas réellement vaincre le démarrage sécurisé d’Apple, donc un redémarrage du téléphone suffit pour le « désinstaller ». Le problème avec cela est évident une fois que vous l’entendez : vous faites confiance à un appareil compromis pour effectuer un redémarrage propre. Les chercheurs de ZecOps ont démontré la capacité d’interrompre le processus de redémarrage dans ce qu’ils appellent NoReboot. Leur code s’accroche à la fonction d’arrêt et tue à la place l’interface utilisateur. Une fois que le bouton d’alimentation est à nouveau enfoncé, l’animation de démarrage s’affiche et, enfin, une commande système pratique redémarre l’espace utilisateur. Regardez la démo intégrée ci-dessous.

Pas de problème, n’est-ce pas ? Utilisez simplement la fonction de redémarrage forcé du matériel. Augmentez le volume, diminuez le volume, puis maintenez le bouton d’alimentation enfoncé jusqu’à ce que vous obteniez le logo Apple. Combien de temps le tiens-tu ? Jusqu’à ce que le logo apparaisse – à droite, il est trivial de simuler un redémarrage forcé avant que le vrai ne se produise. OK, donc pour savoir que vous obtenez un vrai redémarrage, il vous suffit de retirer la batterie… Oh.

via Le Dossier.

Microsoft pirate MacOS

MacOS dispose d’une fonctionnalité appelée Transparence, consentement et contrôle (TCC) qui gère les autorisations pour les applications individuelles. Ce système empêche par exemple l’application de la calculatrice d’accéder à la webcam du système. Les paramètres sont stockés dans une base de données stockée dans le répertoire d’accueil, avec des contrôles stricts empêchant les applications de le modifier directement. Microsoft a annoncé la vulnérabilité Powerdir, qui combine quelques bizarreries pour surmonter la protection. L’exploit est simple : créez une fausse base de données TCC, puis modifiez le répertoire personnel de l’utilisateur afin que la base de données usurpée soit désormais la base de données active. C’est un peu plus compliqué que cela, car une application aléatoire ne devrait vraiment pas pouvoir remapper le répertoire personnel.

Ils ont trouvé deux techniques pour faire fonctionner le remappage. Le premier est les fichiers binaires des services d’annuaire, dsexport et dsimport. Bien que le changement de répertoire personnel nécessite directement un accès root, cette danse d’exportation/importation peut être effectuée en tant qu’utilisateur non privilégié. La deuxième technique consiste à fournir un bundle malveillant au configd binaire, qui effectue une attaque par injection de code. Il est intéressant de voir Microsoft continuer à faire des recherches sur la sécurité ciblant MacOS. Leur motivation n’est peut-être pas noble, mais elle aide vraiment à sécuriser tous nos appareils.

QNAP et UPnP

Nous avons couvert pas mal de vulnérabilités NAS au fil des ans, et j’ai remarqué à plusieurs reprises qu’il n’est vraiment pas sage d’exposer des appareils comme celui-ci à Internet. L’une des explications suggérées était l’UPnP, et aujourd’hui, nous avons la confirmation officielle que cela fait bien partie du problème. Dans un nouvel avis, QNAP recommande officiellement de désactiver UPnP sur les appareils QNAP. Il semble que cela aurait dû être recommandé il y a un certain temps, ou mieux encore, ces appareils sont livrés avec UPnP désactivé par défaut. J’irais un peu plus loin et suggérerais de désactiver également la fonctionnalité de votre routeur, à moins que vous ne sachiez que vous en avez réellement besoin pour quelque chose.

Si vous recevez une clé USB par courrier…

Pour l’amour de Dieu, ne le branchez pas ! Il semble que quelques entreprises n’aient pas reçu cette note, car il y a eu une campagne de ransomware réussie par FIN7 en utilisant uniquement cette approche. L’astuce est qu’ils incluent une lettre d’apparence officielle, et peut-être une carte-cadeau, incitant le destinataire à brancher la clé USB pour réclamer sa récompense de fidélité. Une campagne 2020 du même groupe a usurpé l’identité de Best Buy, où celui-ci prétend provenir d’Amazon ou de HHS.

Vous avez peut-être compris que ces lecteurs flash sont plus qu’un simple stockage flash. En fait, ils semblent être des périphériques BadUSB – de petites puces qui s’enregistrent en tant que périphériques HID et envoient des frappes à l’ordinateur. Une fois branchés, ils ouvrent Powershell et exécutent un script malveillant, donnant un accès à distance aux attaquants. Si vous recevez l’un de ceux-ci, ou une attaque similaire, appelez le FBI ou votre équivalent local. Les rapports des entreprises et des particuliers sont ce qui conduit à des avertissements comme celui-ci.

Mises à jour notables

La première série de mises à jour Android pour cette année est sortie, et il y a un problème majeur, affectant une pléthore d’appareils équipés du Qualcomm Snapdragon. CVE-2021-30285 est une vulnérabilité classée critique dans le logiciel à source fermée de Qualcomm. Cela s’appelle une « validation d’entrée incorrecte dans le noyau », mais semble être un problème de gestion de la mémoire dans l’hyperviseur Qualcomm. Il est noté 9,3 sur l’échelle CVSS, mais aucun autre détail n’est disponible pour le moment.

Les produits de virtualisation de VMWare ont été corrigés contre CVE-2021-22045, une vulnérabilité de débordement de tas dans leur code de périphérique de CD-ROM virtuel. L’exploitation pourrait entraîner un échappement de VM et l’exécution de code arbitraire sur l’hyperviseur de la machine, un scénario du pire des cas pour les opérateurs de VM. Le défaut est évalué à 7,7 et, heureusement, une image de CD doit être activement attachée à la machine. La solution de contournement est donc assez simple: il suffit de retirer le lecteur de CD ou l’image.