누구에게 물어보느냐에 따라 Follina에는 2개의 취약점이 있고 하나만 있거나 27주일 전 Microsoft에 따르면 보안 문제는 전혀 없습니다. 지난달 XNUMX일, .docx 파일이 VirusTotal에 업로드되었고 거기에 있는 대부분의 도구는 그것이 완벽하게 정상적이라고 생각했습니다. 트위터에 경고를 보낸 [@nao_sec]에게는 옳지 않은 것 같습니다. 이 의심스러운 파일은 벨로루시 어딘가에서 시작된 것으로 보이며 일련의 트릭을 사용하여 악성 PowerShell 스크립트를 실행합니다.
벨로루시에서 흥미로운 maldoc이 제출되었습니다. Word의 외부 링크를 사용하여 HTML을 로드한 다음 "ms-msdt" 체계를 사용하여 PowerShell 코드를 실행합니다.https://t.co/hTdAfHOUx3 pic.twitter.com/rVb02ZTwt
- nao_sec(@nao_sec) 2022 년 5 월 27 일
이상한 문서는 취약점에 대해 Follina라는 이름을 선택한 [Kevin Beaumont]가 알아차렸고 다음을 제공했습니다. 몇 가지 추가 분석. Word 문서는 원격 템플릿 파일에 연결할 수 있으며 해당 템플릿 파일은 ms-msdt: 시작할 URI msdt.exe, 진단 도구. 해당 도구에 전송된 인수 플래그에는 임의의 명령이 포함될 수 있습니다. 종합하면 Office 파일을 보면 임의의 코드가 실행된다는 의미입니다. 취약점 체인이 Explorer 미리 보기에서 트리거될 수 있기 때문에 더 나쁩니다. 보호 모드는 여기에서 도움이 되지 않습니다.
연구자들이 무엇을 찾아야 하는지 알게 되자 이것이 한 달 넘게 0일로 떠돌아다니던 것으로 나타났습니다. Microsoft에 보고되었으며 보안 문제가 아닌 것으로 종료되었습니다. 고맙게도 Microsoft는 메모를 받고 CVE-2022-30190을 발행했으며 완화를 권장했습니다. reg delete HKEY_CLASSES_ROOTms-msdt /f 그리고 0patch가 당신의 일이라면 사용 가능한 무료 패치가 있으며 주입된 명령이 실행되는 이유에 대해 자세히 살펴봅니다. 그들의 블로그 포스트에서.
실수로 버그 수정
코드 검토 도구는 때때로 가양성을 제공합니다. 표준 응답은 잠시 동안 그 거짓 긍정을 무시하고 마지막으로 포기하고 코드가 명백하고 명시적으로 안전하도록 변경하는 것입니다. 하지만 확실히 가양성이었습니다. 그렇죠? [Paulino Calderon]에 대한 이야기가 있습니다.. 스포일러: 오탐이 아닙니다. CVE-2022-21404는 분석 도구가 종료되기를 원하는 엔지니어가 실수로 수정한 Oracle Helidon의 역직렬화 버그였습니다.
제어된 요청 및 공개 리디렉션
[안톤]은 우리에게 t를 가져다줍니다.그는 Seedr의 결함을 발견하는 이야기, Mail.Ru에서 구매한 동영상 광고 서비스입니다. 거기에는 좋은 버그 포상금이 있는 회사가 인수를 하는 것을 관찰하는 유용한 팁이 있습니다. 갑자기 다른 연구원이 해킹하지 않은 코드 기반이 현상금 범위 내에 있게 되었습니다. Seedr이 바로 그런 상황이었고 비디오 문자열을 인수로 사용하는 API 엔드포인트를 빠르게 찾았습니다. 그러면 사이트에서 비디오 URL을 로드하고 해당 메타데이터를 구문 분석합니다. 이것은 널리 공개되지 않았으며 Youtube, Coub 또는 Vimeo와 같은 소수의 비디오 사이트가 지원되었습니다. 비디오 문자열은 경로 순회 등으로 조작할 수 있습니다. 결과의 역직렬화를 수행하는 것처럼 보이므로 해당 사이트 중 하나에서 임의의 결과를 반환할 수 있다면 역직렬화 버그를 유발할 수 있습니다.
몇 년 전 Vimeo에서 열린 리디렉션이 발견되었기 때문에 그 아이디어는 [Anton]의 기억을 자극했습니다. 그 덕분에 그는 역직렬화 루틴을 제어할 수 있었고 서버에서 비공개 파일을 읽을 수 있었습니다. 이것은 진전이었다. 마지막 키는 그날의 로그 파일에 일부 PHP 코드를 작성한 다음 역직렬화 버그를 사용하여 해당 코드의 실행을 트리거하는 영리한 트릭이었습니다. 꽤 긴 여정이었지만 꽤 인상적인 사슬이었습니다.
GitHub 위반 업데이트
올해 초 Heroku 및 Travis CI에서 OAuth 토큰을 가져왔다는 것을 기억할 수 있습니다. Github 보안팀은 계속해서 조사했고, NPM에서 일부 데이터를 가져오는 데 해당 토큰이 사용되었다고 발표했습니다., 2015년의 사용자 데이터베이스 백업을 포함합니다. 여기에는 약 100,000명의 사용자에 대한 사용자 이름, 해시된 암호 및 이메일 주소가 포함되었습니다. 또한 몇 조직에서 개인 패키지를 목표로 잡는 것처럼 보이는 것을 포함하여 개인 패키지에 관한 일부 데이터가 있었습니다. 공격 체인은 OAuth 토큰을 사용하여 AWS 키가 포함된 비공개 GitHub 리포지토리에 액세스하는 것이었습니다. AWS 버킷은 유출된 데이터의 소스였습니다. 알림이 전송되었으며 영향을 받는 암호가 재설정되었습니다.
꼬리를 사용하지 마십시오(지금 당장)!
에 따르면 Tails 브라우저의 최신 뉴스 릴리스, 중요한 일에 Tails+Tor에 의존하는 경우 사용해서는 안 됩니다. 익숙하지 않다면 Tails는 Firefox 포크와 Tor 네트워크를 Tor 브라우저에 번들로 제공하는 Linux 배포판입니다. 일반적으로 플래시 드라이브에 설치되며 익명의 안전한 검색 경험을 보장하기 위해 읽기 전용으로 부팅됩니다. Firefox의 한 쌍의 버그 그 확신을 훼손했습니다. 이 취약점으로 인해 한 탭의 JavaScript 코드가 사이트 샌드박스를 탈출하고 전체 브라우저에서 실행되어 방문한 모든 사이트에서 키 입력과 데이터를 캡처할 수 있습니다.
Tails는 드라이브에 아무 것도 저장하지 않으므로 재부팅하면 모든 악성 항목이 지워집니다. 충분히 유능한 공격자는 여러 취약점을 함께 연결하고 Tail OS에 대한 루트 액세스를 달성할 수 있습니다. 물리적 디스크를 탑재하고 악의적으로 수정하는 것은 매우 그럴듯합니다. Tails 5.1에 대한 업데이트는 지금 당장 예상되며 결함을 수정할 것입니다.
성가신
가장 세련되거나 기술적인 것은 아니지만 Escalation of Privilege 공격이 진행되는 한 사용자를 끊임없이 괴롭히고 포기할 때까지 상당히 효과적일 것입니다. 이것이 ForceAdmin의 이면에 있는 아이디어입니다.. UAC 팝업의 진정한 끝없는 스트림이므로 팝업을 유발하는 프로세스를 종료하는 것을 방지하기 때문에 그보다 조금 더 나쁩니다. 이것은 참으로 사악하고, 나름대로의 방식으로도 아름답습니다. 즐기다!
