Zephyrnet-logo

Deze week in beveiliging: Follina, Open Redirect RCE en Annoyware

Datum:

beeld

Afhankelijk van wie je het vraagt, zijn er ofwel 2 kwetsbaarheden in Follina, slechts één, of volgens Microsoft een week geleden geen enkel beveiligingsprobleem. Op de 27e van vorige maand, a .docx bestand is geüpload naar VirusTotal, en de meeste tools daar dachten dat het volkomen normaal was. Dat leek niet juist voor [@nao_sec], die alarm sloeg op Twitter. Het lijkt erop dat dit verdachte bestand ergens in Wit-Rusland is ontstaan ​​en het gebruikt een reeks trucs om een ​​kwaadaardig PowerShell-script uit te voeren.

Het vreemde document werd vervolgens opgemerkt door [Kevin Beaumont], die de naam Follina koos voor de kwetsbaarheid, en geeft wat aanvullende analyse. Een Word-document kan linken naar een extern sjabloonbestand en dat sjabloonbestand kan de ms-msdt: URI om te starten msdt.exe, een diagnostisch hulpmiddel. Een argumentvlag die naar die tool wordt verzonden, kan willekeurige opdrachten bevatten. Samengevat betekent dit dat bij het bekijken van een Office-bestand willekeurige code wordt uitgevoerd. Het is nog erger, omdat de kwetsbaarheidsketen kan worden geactiveerd vanuit een Explorer-preview. De beveiligde modus zal je hier niet helpen.

Toen onderzoekers eenmaal wisten waar ze op moesten letten, blijkt dit al meer dan een maand als een 0-dag rond te zwerven. Het is gemeld aan Microsoft en gesloten als geen beveiligingsprobleem. Gelukkig heeft Microsoft de memo ontvangen, CVE-2022-30190 uitgegeven en een oplossing aanbevolen: reg delete HKEY_CLASSES_ROOTms-msdt /f En als 0patch jouw ding is, is er een gratis patch beschikbaar, evenals een diepere kijk op waarom het geïnjecteerde commando wordt uitgevoerd op hun blogpost.

Per ongeluk bugs oplossen

Uw code review-tooling geeft soms valse positieven. De standaardreactie is om dat valse positieve een tijdje te negeren, en dan uiteindelijk toe te geven en de wijziging aan te brengen, zodat de code duidelijk en expliciet veilig is. Maar het was zeker een vals positief, toch? [Paulino Calderon] heeft hier een verhaal over. Spoiler: het was geen vals positief. CVE-2022-21404 was een deserialisatie-bug in Oracle's Helidon, per ongeluk verholpen door een technicus die gewoon wilde dat zijn analysetool stopte.

[Ingesloten inhoud]

Een gecontroleerd verzoek en een open omleiding

[Anton] brengt ons naarhet verhaal van het ontdekken van een fout in Seedr, een videoadvertentieservice die werd gekocht door Mail.Ru. Er is daar een handige tip om te letten op bedrijven met goede bug bounties om acquisities te doen. Plots kwam een ​​codebasis die niet door andere onderzoekers is gehackt, binnen het bereik van premies. Seedr was precies zo'n situatie en hij vond al snel een API-eindpunt dat een videostring als argument nam. De site zou dan de video-URL laden en de metadata ontleden. Dit was niet wijd open, er werden slechts een handvol videosites ondersteund, zoals Youtube, Coub of Vimeo. De videostring kan worden gemanipuleerd met padtraversal en dergelijke. Het leek deserialisatie van de resultaten uit te voeren, dus als je een van die sites willekeurige resultaten zou kunnen laten retourneren, zou je een deserialisatie-bug kunnen activeren.

Dat idee prikkelde het geheugen van [Anton], aangezien er een paar jaar geleden een open omleiding werd gevonden in Vimeo. Dat gaf hem controle over de deserialisatieroutine en de mogelijkheid om een ​​niet-openbaar bestand van de server uit te lezen. Dit was vooruitgang. De laatste sleutel was een slimme truc, het schrijven van wat PHP-code naar het logbestand van de dag en vervolgens de deserialisatie-bug gebruiken om de uitvoering van die code te activeren. Het was een hele reis, maar een behoorlijk indrukwekkende keten.

GitHub-inbreukupdate

U herinnert zich misschien eerder dit jaar dat OAuth-tokens werden gestolen van Heroku en Travis CI. Het Github-beveiligingsteam is blijven onderzoeken, en hebben aangekondigd dat die tokens werden gebruikt om wat gegevens van NPM te halen, inclusief een back-up van de gebruikersdatabase uit 2015. Dat omvatte gebruikersnamen, gehashte wachtwoorden en e-mailadressen voor ongeveer 100,000 gebruikers. Er waren ook enkele gegevens over privépakketten, waaronder wat lijkt op een gerichte beroving van die privépakketten van een paar organisaties. De aanvalsketen was om het OAuth-token te gebruiken om toegang te krijgen tot een privé GitHub-repo, die een AWS-sleutel bevatte. De AWS-buckets waren de bron van de gelekte gegevens. Er zijn meldingen verzonden en de betreffende wachtwoorden zijn opnieuw ingesteld.

Gebruik geen staarten (nu)!

Think het laatste nieuwsbericht van de Tails-browser, moet u het niet gebruiken als u voor iets belangrijks op Tails+Tor vertrouwt. Als je er niet bekend mee bent, is Tails een Linux-distro die een vork van Firefox en het Tor-netwerk in de Tor-browser bundelt. Het wordt meestal op een flashstation geïnstalleerd en alleen-lezen opgestart voor een gegarandeerd anonieme en veilige browse-ervaring. Een paar bugs in Firefox hebben die zekerheid ondermijnd. Door de kwetsbaarheden kan JavaScript-code van één tabblad ontsnappen uit de site-sandbox en in de hele browser worden uitgevoerd, waarbij toetsaanslagen en gegevens van elke bezochte site achteraf worden vastgelegd.

Aangezien Tails niets op de schijf opslaat, zou een herstart alle kwaadwillende moeten verwijderen. Hoewel een voldoende capabele aanvaller waarschijnlijk meerdere kwetsbaarheden aan elkaar kan koppelen en root-toegang tot het Tails-besturingssysteem kan krijgen. Het mounten van een fysieke schijf en het aanbrengen van kwaadaardige wijzigingen is redelijk aannemelijk. De update naar Tails 5.1 wordt nu elke dag verwacht en zal de fout verhelpen.

Ergernis

Het is niet het meest gepolijste of technische, maar voor zover het Escalation of Privilege-aanvallen betreft, is de gebruiker eindeloos irriteren totdat hij toegeeft waarschijnlijk redelijk effectief. Dat is het idee achter ForceAdmin. Het is een beetje erger dan dat, omdat het een werkelijk eindeloze stroom UAC-pop-ups is, die voorkomt dat het proces dat de pop-ups veroorzaakt, wordt gedood. Dit is echt slecht, en het is ook een beetje mooi op zijn eigen manier. Genieten van!

spot_img

Laatste intelligentie

spot_img