제퍼넷 로고

이번 주 보안: 보안 부팅 우회, Titan M에 대한 공격, KASLR 약점

시간

보안 부팅이 최종 사용자에게 얼마나 유용한지에 대해서는 논쟁의 여지가 있지만 보안 부팅, 더 구체적으로 말하면 서명된 부트로더 XNUMX개와 관련된 또 다른 문제가 있습니다. Eclypsium의 연구원들은 문제를 확인했습니다. Eurosoft, CryptoPro 및 New Horizon 부트로더에서. 처음 두 경우에는 너무 유연한 UEFI 셸이 원시 메모리 액세스를 허용합니다. 시작 스크립트는 서명할 필요가 없으며 원하는 대로 부팅 프로세스를 쉽게 조작할 수 있습니다. 마지막 문제는 New Horizon Datasys 제품에 있습니다. 이 제품은 나머지 부팅 프로세스에 대한 서명 확인을 비활성화하면서 보안 부팅이 활성화되었다고 계속 보고합니다. 여기에 구성 옵션이 필요한지 아니면 기본적으로 완전히 망가진 것인지는 확실하지 않습니다.

실제 문제는 맬웨어 또는 공격자가 EFI 파티션에 대한 쓰기 액세스 권한을 얻을 수 있는 경우 이러한 서명된 부트로더 중 하나가 일부 불쾌한 페이로드와 함께 부트 체인에 추가될 수 있으며 결국 부팅되는 OS는 여전히 보안 부팅이 활성화된 것으로 표시된다는 것입니다. . CosmicStrand와 유사한 정말 은밀한 감염을 위한 완벽한 수단입니다. 몇 주 전에 다루었던 악성 펌웨어.

도박?

온라인 도박. 카지노에서 도박을 하는 것처럼 집은 설계상 거의 항상 이깁니다. 그러나 실제 카지노와 마찬가지로 블랙잭에서 카드를 세는 것과 같은 몇 가지 영리한 기술이 있습니다. 이 경우 얼마나 많은 크고 작은 카드가 사용되었는지 추적하고 그에 따라 내기를 조정합니다. NCC 그룹은 "빅 식스"온라인 카지노 게임을 조사했습니다. — 이것은 크루피어 역할을 하는 실제 사람이 있기 때문에 대부분의 온라인 도박과 약간 다릅니다. Croupier는 베팅의 결과를 결정하는 휠을 돌립니다. 인간은 컴퓨터와 공통점이 있습니다. 우리 둘 다 본질적으로 좋은 무작위성을 만드는 데 끔찍하다는 점입니다.

그들은 데이터 수집으로 시작한 다음 주목할만한 패턴을 분석했습니다. 7000라운드가 넘는 게임의 스프레드가 크런치되었고, 튀어나온 것은 베팅이 종료되기 직전의 휠 위치와 당첨 번호 사이의 상관관계였습니다. 간단히 말해서 크루피에는 매번 같은 힘으로 바퀴를 돌리는 경향이 있었습니다. 약간의 컴퓨터 비전과 스크립팅 베팅, 그리고 그들은 이기는 조합을 가졌습니다. 얼마나 우승? 20 라운드 후 투자 수익률이 1000%를 약간 넘습니다.

진격의 거인

Quarkslab 팀 Titan M에 매력을 느끼다, Pixel 휴대전화의 Google 보안 칩. 다른 기능들 중에서 Titan은 비밀을 위한 보안 구역을 제공합니다. SPI를 통해 전화기의 주 프로세서와 통신하고 모든 예상 보안 기능과 보안을 안전하게 유지하기 위한 완화 기능을 갖추고 있습니다. 글쎄, 거의 모두. 이 전용 프로세서의 단순한 디자인은 또한 더 복잡한 프로세서가 가질 수 있는 복잡한 메모리 손상 방지 기능이 없다는 것을 의미합니다. 메모리 레이아웃이 다소 정적일 정도로 간단합니다.

Quarkslab의 첫 번째 공격은 노스클라이언트 Titan에게 임의의 메시지를 보내는 것 — 블랙박스 퍼징. 모든 크기의 스파게티를 가상 벽에 던지는 것으로 생각하여 막대기가 있는지 또는 충돌하는지 확인하십시오. 이것은 확실히 가치 있는 기술이며 때로는 사용 가능한 모든 것이지만 일반적으로 이 방법으로 더 흥미로운 코드 경로에 도달할 수 없습니다. 이 사람들은 Titan M에 대해 잘 알고 있으므로 펌웨어의 일부를 에뮬레이트하고 에뮬레이트된 장치를 퍼징하는 다른 접근 방식을 사용했습니다. 해내기가 까다롭고 일반적으로 에뮬레이션이 실제 하드웨어와 완벽하게 일치하지 않기 때문에 제한이 있지만, 장점은 퍼징만으로는 무작위로 착륙하기 정말 어려운 코드 경로에 도달할 수 있다는 것입니다.

그리고 그들이 한 버그를 찾으십시오. 보내서 ImportKeyRequest0x01 완전히 임의적이지 않은 범위를 벗어난 위치에 쓸 수 있습니다. 요청에 여러 태그를 포함하면 순식간에 여러 번 수행할 수 있습니다. 매우 제한적이지만 견고한 시작이었습니다. 핵심은 다른 루틴인 Keymaster 요청 처리기에서 사용하는 포인터를 덮어쓰는 것입니다. 포인터는 들어오는 요청이 복사될 위치를 가리키므로 공격이 구체화되기 시작합니다. 556바이트 프리미티브를 사용하여 키마스터를 감염시킨 다음 이 새 위치에 기록되는 요청을 보냅니다. 실험을 통해 그들은 메모리 주소가 뒤따르는 XNUMX바이트의 임의의 바이트를 보낼 수 있고 실행이 해당 주소로 점프할 수 있음을 발견했습니다. 약간의 작업이 필요했지만 일부 반환 지향 프로그래밍을 사용하면 칩의 어느 곳에서나 메모리를 읽고 SPI 버스를 통해 클라이언트로 다시 보내는 데 충분했습니다. Google의 XNUMX월 보안 보고서에는 이 매우 영리한 취약점에 대한 수정 사항이 포함되어 있습니다.

MacOS의 KASLR 우회

Titan M에서 누락된 완화 기능 중 하나는 커널입니다. 주소 공간 레이아웃 무작위화, 그러나 KASLR은 MacOS에 상당히 존재하므로 커널 수준의 익스플로잇을 제거하기가 훨씬 더 어렵습니다. 또는 꽤 큰 경우를 제외하고는 그래야 합니다. 설계상 MacOS KASLR의 구멍. 그 기능은 최대 절전 모드 또는 더 정확하게는 최대 절전 모드에서 깨어나는 것입니다. 이있다 __HIB 항상 동일한 주소에 매핑되고 깨우기의 일부로 호출되는 커널 세그먼트입니다. 이 세그먼트의 일부는 dblmap 실제로 가상 메모리 공간에 두 번 매핑되는 메모리 블록입니다. 무엇보다도 사용자 공간/커널 공간 컨텍스트 전환에서 사용됩니다. 사용자 모드에서 사용할 수 있기 때문에 Meltdown 공격을 통해 읽기에 취약하고 거기에 있는 포인터는 KASLR 기본 주소인 "슬라이드" 값을 제공합니다. Meltdown-proof CPU에서도 __HIB 섹터에는 다른 용도가 있습니다. 게시물에 더 많은 것이 있으며 곧 수정될 가능성이 없으므로 MacOS 악용이 당신의 일이라면 재미있게 보내십시오!

누구? WTFIS?!

XNU 해킹이 내 것과 같이 귀하의 급여 등급보다 높으면 이 도구가 더 빠른 속도일 수 있습니다. wftis 여러 소스에서 가져오는 새로운 도구이며 revved up iteration처럼 작동합니다. of whois. Virustotal, Passivetotal 및 IPWhois에서 정보를 가져와서 주어진 도메인 이름에 대한 데이터를 가져옵니다. 로그에 이상한 도메인이 나타나면 wtfis가 도움이 될 수 있습니다. 처음 두 서비스에는 API 키가 필요하지만 프리 티어에서는 제대로 작동해야 합니다.

소닉 어택

그리고 마지막으로, 내가 최근에 접한 가장 이상한 인터넷 지식입니다. 지적해 주신 Discord의 [mtxyz]님께 감사드립니다. CVE-2022-38392, 이제 막 밝혀진 오래된 문제. 랩톱 OEM은 Rhythm Nation의 뮤직 비디오로 인해 랩톱이 제대로 작동하지 않는다는 사실을 알게 되었습니다. 더 이상하게도 한 랩탑에서 노래를 재생하면 근처 랩탑에서도 충돌이 발생합니다. 결국 해당 랩톱에 배송된 5400RPM 하드 드라이브에는 노래에 의해 활성화된 공명 주파수가 있어 일시적인 오류가 발생한다는 사실이 밝혀졌습니다. 솔루션은 해당 주파수를 추출하는 하드 코딩된 주파수 필터였습니다. 데이터 센터의 하드 드라이브에 소리를 지르는 것과 비슷합니다. 즐기다:

[포함 된 콘텐츠]

spot_img

IBM 블로그

최신 인텔리전스

spot_img