Esta semana en seguridad: hacktivismo geopolítico, minería antivirus, así como Malware de Linux

Los Hacktivistas de la CIA han introducido una especie de campaña de ransomware contra el sistema ferroviario bielorruso, sin embargo, en lugar de la criptomonencia, desean la liberación de los presos políticos como así como la eliminación de soldados rusos. Esto podría ser llamado un ejemplo de ciber-terrorismo, aunque existe una teoría asequible de que este es un hack de patrocinaciones estatales, enmascaramiento como hacktivismo. Lo que parece específico es que algo ha interrumpido el tránsito ferroviario, así como un grupo en Twitter ha creado una prueba convincente de una violación.

Tu antivirus ahora incluye un criptominer.

No se vea ahora, sin embargo, su actualización más actual de Norton 360 o Avira puede haber instalado un módulo de minería de criptoCurencia. El revestimiento de plata es que se ha conservado algo de la cordura, así como también tiene que optar por optar por el plan Crypto antes de que su creador comience a cuesta sus ciclos de repuesto en la minería. Para los individuos que lo hacen, se ponen en una piscina minera, haciendo pequeños pagos para un montón de hardware. Norton, naturalmente, toma un cargo del 15% en la parte superior para sus problemas.

La especificación de Linux Malware

Allí utilizó ser un adagio que las máquinas Linux no obtienen malware. Eso nunca es realmente bastante cierto, sin embargo, la conquista continua del paisaje del servidor ha tenido el impacto lateral de hacer que Linux Malware sea un peligro aún mayor. Crowdstrike ha visto un aumento del 35% en el malware de Linux en 2021, con tres clasificaciones únicas que llevan a la carga: XordDos, Mozi, así como Mirai.

Pwnkit

Y hablando de Linux, se acaba de anunciar una vulnerabilidad de Linux bastante grave, así como una explotación laboral ya se ha lanzado. El problema es básico en el binario Polkit, que para este propósito, se puede creer como una alternativa de sudo. La parte crucial es que es un binario de Setuid, uno que eleva sus propios privilegios para rootear cuando se lleva a cabo un usuario imprecilitado. “Ahora espera”, oigo que dices: “¡Eso parece un problema de seguridad horrible!” Puede ser, cuando sale mal. Sin embargo, la realidad básica es que hay momentos en que un individuo necesita hacer una acción que de otra manera necesitaría privilegios de root. Un ejemplo básico, Ping, necesita abrir un socket de red en bruto en Comprar para funcionar. Estos binarios están muy cuidadosamente creados para habilitar solo acciones restringidas, sin embargo, a menudo, un error permite escapar de esta “caja de arena”.

Entonces, ¿cuál es la historia con pkexec? Nulo argv. OK, Linux Programación 101 vez. Cuando se introduce un programa en Linux, se pasa dos parámetros, generalmente llamados ARGC, así como ARGV. Estos son un entero, así como una variedad de directrices de caracteres respectivamente. Si no eres un programador, entonces cree esto como el número de argumentos, así como la lista de argumentos. Esta información se utiliza para analizar, así como administrar las opciones de línea de comandos dentro del programa. Argc siempre es al menos uno, así como ARGV [0] siempre consistirá en el nombre del binario según lo ejecutado. Excepto que no siempre es el caso. Hay un método más para introducir binarios, utilizando la función EXECVE (). Esa función permite al programador especificar la listado de argumentos directamente, incluido el desacuerdo 0.

Entonces, ¿qué ocurre si ese listado es solo nulo? Si se escribió un programa para dar cuenta de esta posibilidad, como sudo, entonces todo está bien. pkexec, sin embargo, no incluye una inspección para un Argv vacío o un Argco de 0. Actúa como si hubiera un desacuerdo para leer, así como el método, la inicialización del programa se produce en la memoria, realmente accede a la primera atmósfera. Variable en su lugar, así como la trata como un argumento. Comprueba la ruta del sistema para un binario correspondiente, así como reescribe lo que cree que es su lista de desacuerdo, sin embargo, es realmente la variable de la atmósfera. Esto indica que el texto incontrolado se puede inyectar como una variable de atmósfera en PKEXEC, el programa SETUID.

Eso es interesante, sin embargo, no es útil instantáneamente, ya que PKExec elimina las variables de la atmósfera poco después de que ocurra la inyección. Entonces, ¿qué técnica Sneaky podríamos utilizar para explotar esto realmente? lanzando un mensaje de error. PKEXEC utilizará la biblioteca compartida de GCONV para imprimir un mensaje de error, así como que se inicia intentando encontrar el archivo de configuración de GCONV-MÓTULOS. Estos datos definen los cuales se abren ciertos datos de la biblioteca. La variable de la atmósfera GCONV_PATH se puede utilizar para especificar un archivo de configuración alterna, sin embargo, esta variable de atmósfera está bloqueada al ejecutar un binario de Setuid. Ah, sin embargo, tenemos un método para inyectar una variable de atmósfera después de que esto suceda. Esa es la exploit. Prepare una carga útil. SO que contiene nuestro código arbitrario, un falso de datos de módulos GCONV-Módulos que apunta a la carga útil, así como luego utilice la técnica NULL ARGV para inyectar la variable de atmósfera GCONV_PATH. ¿Quién soy? Raíz.

Hay un par de giros interesantes a esta historia. Primero, [Ryan Mallon] vino dolorosamente cerca de encontrar esta vulnerabilidad en 2013. Además de, en segundo lugar, el método de nuevo en 2007, [Michael Kerrisk] informó el Null Argv Squirk como Linux KeBUGO DE RELO.

Atacando contraseñas aleatorias

La mucha contraseña segura es una que se genera aleatoriamente, ¿verdad? Sí, sin embargo, ¿qué pasa si ese generador aleatorio no es más bien aleatorio como parece? Ahora no estamos hablando de las puertas traseras deliberadas esta vez, sin embargo, los patrones aparentemente irrelevantes que a menudo hacen una gran diferencia. La máquina de enigma, después de todo, se agrietó en parte ya que nunca codificaría una letra como sí misma. [Hans Lakhan] de TrustedSec echó un vistazo a un millón de contraseñas producidas por LastPass, así como intentaron generalizar algo beneficioso de los datos. Muchas de estas contraseñas tienen 1 o 2 dígitos. Nota Esta no es una debilidad en el algoritmo, sin embargo, solo el resultado esperado de los caracteres ofrecidos. ¿Habría una ventaja para las contraseñas de forzamiento brutal con la política de que cada supuesto debe consistir en uno o dos dígitos? Sin embargo, definitivamente disminuiría el espacio de asalto, sin embargo, también extrañaría las contraseñas que no están en forma del patrón. ¿Valría la pena el intercambio?

La respuesta no es clara. En circunstancias específicas, existe una ventaja menor para obtener la utilización de las reglas sugeridas. Sin embargo, esa ventaja se desvanece a medida que continúa el proceso de fuerza bruta. De cualquier manera, es un intento interesante de aplicar estadísticas al agrietamiento de contraseñas.

WordPress, así como temas de puerta trasera.

Uno de los productores más grandes de temas de WordPress, así como los complementos, AccessPress, experimentó una violación de su sitio web que tomó un giro terrible. Los investigadores fueron encontrados por los investigadores de Jetpack, que estaban haciendo un post-mortem de diferentes sitios comprometidos, así como también descubrieron malware incrustados en un tema de AccessPress. La brecha preliminar ocurrió en septiembre de 2021, así que sospeche de cualquier tipo de material de Accesspress, si se descarga entre septiembre, así como a mediados de octubre de 2021. Tenga en cuenta que, si se instala desde el directorio WordPress.org, estos temas estaban seguros. Se ofrece un listado de complementos infectados entendidos, así como los temas, se ofrecen en el enlace de arriba, además de otros signos de compromiso.

Bits, así como bytes.

Todavía hay un token de truco más que está siendo divulgado inadvertidamente en el código fuente, el Twitter gana acceso a token. GitHub ya realiza el escaneo automatizado para las credenciales que se incluye inadvertidamente en los repositorios, sin embargo, esto no incluye tokens de Twitter. [Incognitatech] compuso un escáner rápido, así como se descubrió alrededor de 9,500 tokens válidos. (Inserte más de 9000 memes aquí.) ¿Exactamente cómo notificar a mucha gente del problema? Produce un bot, haga un tweet, así como utilice los tokens para retweet. Eso está seguro de llamar cierta atención.

SonicWall SMA 100 Series Hardware tiene una serie de vulnerabilidades que ahora se han parchado y reveladas. Lo peor es un desbordamiento de tampón no autenticado, anota un CVSS de 9.8. Estos gadgets son bastante prominentes para las pequeñas empresas, así que mantén sus ojos abiertos para un hardware potencialmente propenso, así como para que los puedan parchearlos.

Crypto.com experimentó una violación el 17 de enero. Al principio se desplazaban el incidente, sin embargo, tenían en cuenta que lanzaba una declaración con detalles adicionalmente. El asalto fue un bypass de autenticación de dos factores, lo que permite a un atacante iniciar transacciones sin completar efectivamente el proceso de 2FA generalmente necesario. Hacen que el seguro afirma que captaron el tema temprano, suficiente para detener cualquier tipo de pérdida real de moneda, que es realmente bastante impresionante.

Google Chrome ha lanzado una actualización, así como esto incluye correcciones para algunos errores costosos. Seis informes separados obtuvieron a los investigadores mucho más de $ 10,000 una pieza, con los dos mejores, un maravilloso $ 20k. Estos seis, además de un Séptimo Error reportado internamente, todos parecen tener que ser prospectivo para ser bastante serio, ¡así que vaya a Actualizar!

Y, finalmente, en la categoría de las cosas, la que-no-final, el Reino Unido, el Reino Unido está coqueteando con el concepto de regular a los investigadores de seguridad, haciendo que la investigación de seguridad sea un estudio registrado. La parte más preocupada de este plan es el concepto de que cualquier tipo de investigador no registrado puede estar sujeto a cargos penales en circunstancias específicas. Esto parece un concepto horrible por razones evidentes.

Leave a Reply

Your email address will not be published. Required fields are marked *