Er is een probleem in de unrar nut, en daardoor de Zimbra-mailserver was kwetsbaar voor uitvoering van externe code door simpelweg een e-mail te sturen. Dus eerst, unrar is een bron-beschikbare opdrachtregeltoepassing gemaakt door RarLab, dezelfde mensen achter WinRAR. CVE-2022-30333 is de kwetsbaarheid daar, en het is een klassiek pad bij het uitpakken van archieven. Een van de manieren waarop deze aanval normaal gesproken wordt uitgevoerd, is door een symbolische link naar de beoogde bestemming te extraheren, die vervolgens verwijst naar een locatie die moet worden beperkt. unrar heeft codeverharding tegen deze aanval, maar wordt gesaboteerd door zijn platformonafhankelijke ondersteuning. Op een Unix-machine wordt het archief gecontroleerd op symbolische links die de . bevatten ../ patroon. Nadat deze controle is voltooid, wordt een functie uitgevoerd om alle Windows-paden naar Unix-notatie te converteren. Als zodanig is de eenvoudige bypass om symlinks op te nemen met behulp van .. traversal, die niet worden gepakt door de cheque, en vervolgens worden geconverteerd naar werkmappen.
Dat was al erg genoeg, maar Zimbra maakte het erger door automatisch te extraheren .rar bijlagen bij inkomende e-mails, om een virus- en spamcontrole uit te voeren. Die extractie is niet gesandboxed, dus de bestanden van een aanvaller worden overal op het bestandssysteem geschreven zimbra gebruiker kan schrijven. Het is niet moeilijk voor te stellen hoe dit heel snel in een volwaardige RCE verandert. Als je een unrar binair gebaseerd op RarLab-code, controleer op versie 6.1.7 of 6.12 van hun binaire release. Hoewel Zimbra de applicatie was die specifiek werd genoemd, zijn er waarschijnlijk andere gevallen waarin dit voor uitbuiting zou kunnen worden gebruikt.
Router-malware
Er is een wijdverbreide malwarecampagne ontdekt op een wat vreemde plaats: draait op de firmware van Small Office/Home Office (SOHO) netwerkapparaten. Het verrassende is hoeveel verschillende apparaten door de campagne worden ondersteund, waaronder Cisco, Netgear, ASUS, enz. De sleutel is dat de malware een beetje binair is gecompileerd voor de MIPS-architectuur, die door veel routers en toegangspunten wordt gebruikt.
Eenmaal op zijn plaats lanceert de malware vervolgens Man-in-the-Middle-aanvallen tegen DNS- en HTTP-verbindingen, allemaal met als doel de Windows-machines die hun verbinding via het aangetaste apparaat uitvoeren, in gevaar te brengen. Er zijn in het verleden massale exploit-campagnes geweest, waarbij de DNS-resolver werd aangepast op kwetsbare routers, maar dit lijkt een stuk geavanceerder te zijn, waardoor de onderzoekers vermoeden dat dit een door de staat gesponsorde campagne kan zijn. Er zit een vreemde noot in het bronrapport, dat het initiële exploitscript een oproep doet naar /cgi-bin/luci, de webinterface voor OpenWRT-routers. We hebben contact opgenomen voor meer informatie van Lumen, dus houd ons in de gaten voor de details. Het kan heel goed zijn dat deze malwarecampagne zich specifiek richt op de schat aan zeer oude, kwetsbare op OpenWRT gebaseerde routers die er zijn. Er kan een nadeel zijn aan meerdere bedrijven die oude versies van het Open Source-project als hun SDK gebruiken.
WebAssembly en oude trucs
Een van de meest interessante concepten die recentelijk in de browserruimte zijn gebeurd, is WebAssembly. U heeft een bibliotheek die is geschreven in C en u wilt deze met JavaScript in een browser gebruiken? Compileer het naar WebAssembly en je hebt een oplossing die sneller is dan JavaScript, en gemakkelijker te gebruiken dan een traditioneel gecompileerd binair bestand. Het is een zeer slimme oplossing en zorgt voor een aantal gekke prestaties, zoals Google Earth in de browser. Kan er een keerzijde zijn aan het uitvoeren van C in de browser? De goede mensen van Grav hebben een voorbeeld van het soort dingen dat fout kan gaan: goede oude buffer loopt over.
Nu is het een beetje anders dan hoe een standaard overflow-exploit werkt. Eén reden is dat Wasm geen randomisatie van adreslay-outs of Preventie van gegevensuitvoering heeft. Aan de andere kant bevinden webassembly-functies zich niet op een geheugenadres, maar gewoon op een functie-index. De RET instructie-equivalent kan niet naar willekeurige locaties springen, maar alleen naar functie-indexen. Het is echter nog steeds een stapel en het overlopen van een buffer kan ertoe leiden dat belangrijke gegevens worden overschreven, zoals de retouraanwijzer. De tijd zal leren of de exploits van WebAssembly een groot probleem zullen worden, of voor altijd een noviteit zullen blijven.
Intune Beheer op afstand
In onze nieuwe, dappere toekomst lijkt werken op afstand de nieuwe standaard te zijn, en dit brengt een aantal nieuwe veiligheidsoverwegingen met zich mee. Voorbeeld: Microsoft's Intune-suite voor beheer op afstand. Het zou een gemakkelijke manier moeten zijn om laptops en desktops op afstand te implementeren, beheren en bewaken. In theorie zou een robuuste externe beheersuite in combinatie met Bitlocker een effectieve bescherming tegen sabotage moeten bieden. Waarom Bitlocker? Hoewel het voorkomt dat een aanvaller gegevens van de schijf kan lezen, wordt er ook mee geknoeid. Er is bijvoorbeeld een heel oude truc, waarbij je de . kopieert cmd.exe binair boven de plaktoetsen, of binair voor toegankelijkheid. Deze kunnen worden gestart vanaf de inlogpagina en resulteren in een supereenvoudige rootshell. Bitlocker voorkomt dit.
Het klinkt geweldig, maar er is een probleem. Intune kan op twee manieren worden geïmplementeerd. De "gebruikergestuurde" stroom resulteert in een systeem met meer beheermogelijkheden die aan de eindgebruiker worden toevertrouwd, inclusief toegang tot de BitLocker-herstelsleutel. De enige manier om dit te omzeilen is door de installatie uit te voeren en vervolgens de primaire gebruiker te verwijderen en de Bitlocker-sleutels te draaien. Dan is er de probleemoplossingsmodus, waarbij Shift+F10 ingedrukt wordt gehouden tijdens de eerste installatie, waardoor de eindgebruiker toegang krijgt tot SYSTEM. Jakkes. En tot slot, dat laatste punt om op te merken is dat een wissen op afstand gebruikersgegevens verwijdert en extra binaire bestanden verwijdert van sommige belangrijke plaatsen, maar geen enkele vorm van bestandsverificatie uitvoert, dus onze eenvoudige hack met plakkerige sleutels zou overleven. Oef.
Bits en bytes
[Jack Dates] nam deel aan Pwn2021Own 2, en een Apple Safari-exploit samenstellen die de Intel grafische kernelextensies gebruikt voor de ontsnapping. Het is een *zeer* diepe duik in OSX-exploitatie. De voet aan de grond is een fout in een lengtecontrole, waarmee in totaal vier bytes aan willekeurige gegevens kunnen worden geschreven. De sleutel om hier iets nuttigs van te maken, was om wat lijken rond het geheugen te strooien - gevorkte, dode processen. Corrupt de grootte van het lijk, en je kunt het gebruiken om ander geheugen vrij te maken dat nog in gebruik is. Gebruik daarna gratis voor de overwinning!
De OpenSSL-bug waar we vorige week over spraken wordt nog steeds onderzocht, met [Guido Vranken] aan het hoofd van de aanval. Hij vond in mei een afzonderlijke bug die specifiek geen beveiligingsprobleem is, en het is de oplossing voor die bug die het AVX512-probleem introduceerde waarin we geïnteresseerd zijn. Er lijkt hier nog steeds een potentieel voor RCE te zijn, maar het is in ieder geval blijkt niet triviaal te zijn om zo'n aanval samen te stellen.
Er is een nieuwe malwarecampagne, ytstealer, dat expliciet gericht is op YouTube-accountgegevens. De malware wordt verspreid als nep-installatieprogramma's voor populaire tools, zoals OBS Studio, Auto-Tune, en zelfs cheats en cracks voor andere software. Wanneer het wordt uitgevoerd, zoekt YTStealer naar een authenticatiecookie, logt in bij YouTube Studio en haalt alle beschikbare gegevens uit het bijgevoegde account. Deze informatie en cookie worden versleuteld en doorgestuurd naar een C&C-server. Het is onduidelijk waarom YouTube-accounts zo interessant zijn voor een aanvaller, maar misschien kunnen we allemaal uitkijken naar het uploaden van spamvideo's naar onze favoriete kanalen.
En tot slot, omdat beveiliging meer is dan alleen computers, een heerlijke puzzeloplossing van LockPickingLawyer. Loki is een puzzelslot gemaakt van een echt hangslot, en het trok de aandacht van onze favoriete lock-picker, die een poging doet om het te openen. We zullen geen van de resultaten bederven, maar als puzzels of sloten je probleem zijn, is het het bekijken waard.
