On peut se demander à quel point Secure Boot est utile pour les utilisateurs finaux, mais il y a maintenant un autre problème avec Secure Boot, ou plus précisément, un trio de chargeurs de démarrage signés. Les chercheurs d'Eclypsium ont identifié des problèmes dans les chargeurs de démarrage Eurosoft, CryptoPro et New Horizon. Dans les deux premiers cas, un shell UEFI beaucoup trop flexible permet un accès à la mémoire brute. Un script de démarrage n'a pas besoin d'être signé et peut facilement manipuler le processus de démarrage à volonté. Le dernier problème concerne le produit New Horizon Datasys, qui désactive toute vérification de signature pour le reste du processus de démarrage, tout en signalant que le démarrage sécurisé est activé. Il n'est pas clair si cela nécessite une option de configuration ou s'il est tout simplement totalement cassé par défaut.
Le vrai problème est que si un logiciel malveillant ou un attaquant peut obtenir un accès en écriture à la partition EFI, l'un de ces chargeurs de démarrage signés peut être ajouté à la chaîne de démarrage, avec une charge utile désagréable, et le système d'exploitation qui finit par démarrer voit toujours le démarrage sécurisé activé. . C'est le véhicule parfait pour les infections vraiment furtives, comme CosmicStrand, le firmware malveillant que nous avons couvert il y a quelques semaines.
Jeux d'argent?
Jeu en ligne. Tout comme les jeux de hasard dans un casino, la maison gagne presque toujours, de par sa conception. Mais aussi comme dans un vrai casino, il existe des techniques astucieuses comme le comptage des cartes au Blackjack, c'est juste assez pour remettre les chances en votre faveur. Dans ce cas, vous gardez une trace du nombre de grandes et petites cartes jouées et ajustez votre mise en conséquence. NCC Group s'est penché sur un jeu de casino en ligne "Big Six" - celui-ci est un peu différent de la plupart des jeux de hasard en ligne, car il y a une vraie personne qui sert de croupier. Le croupier fait tourner la roue qui détermine le résultat des paris placés. Les humains ont quelque chose en commun avec les ordinateurs, en ce sens que nous sommes tous les deux intrinsèquement mauvais pour produire un bon hasard.
Ils ont commencé par collecter des données, puis les ont analysées pour des modèles notables. Plus de 7000 tours de jeu ont été répartis, et ce qui est ressorti était une corrélation entre la position de la roue juste avant la clôture des paris et le numéro gagnant. En termes simples, le croupier avait tendance à faire tourner la roue avec la même force à chaque fois. Un peu de vision par ordinateur et de paris scénarisés, et ils avaient une combinaison gagnante. Combien gagner ? Un peu plus de 20% de retour sur investissement après 1000 tours.
L'attaque des Titans
L'équipe de Quarkslab avoir une sorte de fascination pour le Titan M, la puce de sécurité de Google sur leurs téléphones Pixel. Parmi ses autres fonctions, le Titan fournit une enclave sécurisée pour les secrets. Il communique avec le processeur principal du téléphone via SPI et dispose de toutes les fonctionnalités de sécurité et atténuations attendues pour protéger les secrets. Eh bien, presque tous. La conception simple de ce processeur dédié signifie également qu'il ne dispose d'aucune des protections complexes contre la corruption de la mémoire qu'un processeur plus complexe pourrait avoir. C'est aussi assez simple pour que la disposition de la mémoire soit plutôt statique.
La première attaque de Quarkslab a été d'utiliser leur nosclients pour envoyer des messages arbitraires au Titan - fuzzing de boîte noire. Pensez à cela comme jeter des spaghettis de toutes tailles contre le mur virtuel pour voir si l'un d'eux colle, ou plutôt s'écrase. C'est certainement une technique intéressante, et parfois c'est tout ce qui est disponible, mais vous ne pouvez généralement pas atteindre les chemins de code les plus intéressants de cette façon. Ces gars-là connaissent vraiment leur chemin autour du Titan M, ils ont donc adopté une approche différente, émulant des parties du micrologiciel et fuzzant l'appareil émulé. C'est difficile à réaliser, et il y a des limites car votre émulation ne correspond généralement pas parfaitement au matériel réel, mais l'avantage est que vous pouvez accéder à des chemins de code sur lesquels il serait vraiment difficile d'atterrir au hasard avec le fuzzing seul.
Et trouver un bogue qu'ils ont fait. En envoyant un ImportKeyRequestun 0x01 peut être écrit dans un emplacement hors limites non entièrement arbitraire. En incluant plusieurs balises dans la requête, cela peut être fait plusieurs fois d'un coup. Ce fut un début très limité, mais solide. La clé consistait à écraser un pointeur utilisé par une routine différente, le gestionnaire de requêtes Keymaster. Le pointeur était vers où les requêtes entrantes seraient copiées, et ainsi l'attaque commence à prendre forme. Utilisez la primitive d'un octet pour empoisonner le keymaster, puis envoyez une requête qui est écrite à ce nouvel emplacement. Grâce à l'expérimentation, ils ont découvert qu'ils pouvaient envoyer 556 octets arbitraires, suivis d'une adresse mémoire, et l'exécution sauterait à cette adresse. Cela a pris un peu de temps, mais avec une certaine programmation orientée retour, c'était suffisant pour lire la mémoire de n'importe où sur la puce et la renvoyer sur le bus SPI à leur client. Le tour d'horizon de la sécurité de juin de Google inclut le correctif de cette vulnérabilité très intelligente.
Contournement KASLR sur MacOS
L'une des atténuations manquantes dans le Titan M est Kernel Randomisation de la disposition de l'espace d'adressage, mais KASLR est assez présent dans MacOS, ce qui rend les exploits au niveau du noyau beaucoup plus difficiles à réaliser. Ou il devrait, sauf qu'il y a un assez grand trou dans le MacOS KASLR par conception. Cette fonctionnalité est l'hibernation, ou plus précisément, le réveil de l'hibernation. Il y a un __HIB segment du noyau qui est toujours mappé à la même adresse et qui est appelé dans le cadre du réveil. Une partie de ce segment est la dblmap bloc de mémoire, qui est en fait mappé deux fois sur l'espace de mémoire virtuelle. Il est utilisé, entre autres, dans le changement de contexte userspace/kernelspace. En raison de sa disponibilité en mode utilisateur, il est vulnérable à la lecture via une attaque Meltdown, et les pointeurs y donnent la valeur "slide" - l'adresse de base KASLR. Même sur un processeur à l'épreuve des fusions, le __HIB secteur a d'autres usages. Il y a beaucoup plus dans le post, et il est peu probable qu'il soit corrigé de sitôt, alors si l'exploitation de MacOS est votre truc, amusez-vous !
Qui est? WTFIS ? !
Si le piratage XNU est au-dessus de votre niveau de rémunération, comme c'est le cas pour moi, alors cet outil pourrait être plus rapide. wftis est un nouvel outil qui tire de plusieurs sources, et agit comme une itération accélérée of whois. Il extrait les informations de Virustotal, Passivetotal et IPWhois pour obtenir des données sur le nom de domaine donné. Si un domaine étrange apparaît dans vos journaux, wtfis pourrait être l'outil vers lequel vous tourner. Il nécessite des clés API pour les deux premiers services, mais devrait fonctionner correctement sur leur niveau gratuit.
Attaque sonique
Et enfin, la partie la plus étrange de la tradition Internet que j'ai rencontrée récemment. Un grand merci à [mtxyz] sur Discord pour avoir signalé CVE-2022-38392, un vieux problème qui vient juste d'être mis en lumière. Un équipementier d'ordinateurs portables a découvert que le clip vidéo de Rhythm Nation provoquerait de manière fiable le blocage de ses ordinateurs portables. Encore plus étrange, jouer la chanson sur un ordinateur portable ferait également planter un ordinateur portable à proximité. Il a finalement été découvert que le disque dur de 5400 tr/min livré dans ces ordinateurs portables avait une fréquence de résonance qui était alimentée par la chanson, entraînant une panne temporaire. La solution était un filtre de fréquence codé en dur pour extraire cette fréquence. Cela ressemble un peu à crier sur les disques durs du centre de données. Prendre plaisir:
