Güvenlik dünyası, bu haftanın başlarında toplu nefeslerimizi tuttu. büyük OpenSSL güvenlik açığı duyurusu. Her ikisi de zayıf kod işleme ile ilgili iki ayrı sorun olduğu ve kritik yerine yüksek önem düzeyine indirildiği ortaya çıktı. Bu arada Punycode, alan adlarında ASCII olmayan Unicode karakterleri kullanmak için kullanılan sistemdir. İlk güvenlik açığı, CVE-2022-3602, yığına dört rasgele bayt yazan bir arabellek taşmasıdır. Özellikle, savunmasız kod yalnızca bir sertifika zinciri doğrulandıktan sonra çalıştırılır. Kötü amaçlı bir sertifikanın ya bir Sertifika Yetkilisi tarafından düzgün bir şekilde imzalanması ya da geçerli bir imza olmadan manuel olarak güvenilir olması gerekir.
A çift kaynaklar var detayları çözdüm bu güvenlik açığından. Bu, döngüde arabellek uzunluğunun, uzunluk değişkeninin artmasından daha önce kontrol edildiği bir döngüde bire bir hatadır. Mantık kayması nedeniyle, döngü potansiyel olarak çok fazla çalışabilir. Bu döngü, punycode dizesinin sonunda kodlanmış Unicode karakterlerini işler ve bunları uygun yere enjekte ederek, sonuç olarak dizenin geri kalanını bellekte bir bayt üzerinde kaydırır. Toplam çıktı uzunluğu 513 karakter ise, bu tek bir karakter taşmasıdır. Bir Unicode karakteri dört baytlık yer kaplar, bu nedenle dört baytlık taşmanız söz konusudur.
Şimdi, bu taşmanın ne kadar istismar edilebilir olacağı, bu dört baytta ne olduğuna bağlıdır. Datadog araştırmacıları güvenlik açığını Linux'ta test ettiğinde, esasen her derlenmiş ikili programın burada 4 baytlık bir boş bellek bölümüne sahip olduğunu ve bu bölümün yalnızca taşma işleminden sonra başlatıldığını buldular. Başka bir deyişle, bu ikili dosyalar üzerinde bu güvenlik açığı tamamen zararsızdır. Windows'ta, farklı optimizasyonlar nedeniyle belleğin bu bölümü derleyici tarafından farklı şekilde işlendi. Burada, bir içerir yığın kanarya. Bu, yığındaki son arabellek ile işaretçi ve dönüş değerleri arasında bulunan özel bir değerdir. Yığın kanarya kullanan bir işlevin sonunda, üst işleve dönmeden önce değer doğrulanır ve kurcalanmışsa işlemler çöker. Buradaki fikir, dönüş adresinin üzerine yazan bir arabellek taşmasının, kanarya değerini tahmin edemeyeceği ve kanaryaların, istismarı daha da zorlaştırmak için kasıtlı olarak 0x00 gibi sonlandırıcı baytları dahil etme eğiliminde olmasıdır. Linux ikili dosyalarının ayrıca istismarı önleyecek yığın kanaryaları kullandığını unutmayın, ancak bellek düzeni ve sınırlı taşma uzunluğu nedeniyle bunlar hiçbir zaman değiştirilmez.
Düzeltilen ikinci sorun CVE-2022-3786 idi ve Checkpoint Security bunu açıklamak için bir şans verdi. Punycode ve ardından bir nokta olması durumunda, bu nokta, potansiyel olarak arabelleğin sonunu geçerek çıktı dizesinin sonuna eklenir. Bu, önceki güvenlik açığının tersidir. Burada taşma uzunluğu neredeyse isteğe bağlıdır, ancak değer yalnızca nokta sembolüne kilitlenir. Sonuç olarak, bu kesinlikle bir Hizmet Reddi sorunudur.
Neyse ki gökyüzü bu güvenlik açıklarıyla düşmüyor, ancak OpenSSL'nin yığın kanaryalarla derlenmediği veya çökmenin daha karmaşık bir istismar zincirinin parçası olarak kullanılabileceği beklenmeyen durumlar olabilir, bu nedenle yine de kapmak için emin olun. güvenlik açığı bulunan kitaplığı çalıştırıyorsanız güncellenmiş veya desteklenen yama, sürüm 3.0.0-3.0.6.
Güvenlik Araştırmacıları Karanlık Tarafa mı Dönüyor?
Betteridge'in manşet yasası kesinlikle burada devreye giriyor. Birisi bir fidye yazılımı saldırısı başlattığından, bu aynı zamanda protesto yazılımı olan ve aynı zamanda bazı önemli güvenlik araştırmacılarının eseri olduğunu iddia ettiği için bu hikaye sadece garip. Peki, Batı'dan Ukrayna'ya destek eksikliğini de protesto eden bu fidye yazılımı kampanyasının arkasında gerçekten Bleeping Bilgisayar mı var? Oof, burada açılacak çok şey var.
İlk olarak, bir şifre çözme anahtarı satın almanın bir yolu olmadığı için fidye yazılımı bile değil gibi görünüyor. Yani daha doğru bir şekilde bir silecek. Silici notta kullanılan isim, Ukrayna'da tuhaf bir neo-Nazi geçmişine sahip bir özel kuvvetler alayı olan “Azov”dur ve bu, oradaki savaşları hakkında Rus söyleminde rol oynar. O zaman notun hasherezade, ve birkaç güvenlik araştırmacısı Twitter tanıtıcısını listeler. Ardından Kırım'dan bahseder ve Ukrayna için yeterli yardım olmadığından şikayet eder. jABD halkına, Başkan Biden'a seslenen, devrim çağrısı yapan ve ardından “Amerika'yı Büyük Tut” sloganını bırakan özel bir mesaj var. Ardından Almanya'ya, Google Çeviri aracılığıyla faydalı bir şekilde yürütülen bir mesaj bize şunu veriyor: “Siz! Almanya'dan bir adam, hadi, dışarı çıkın!
Ama bu Biden'ın onlara getirdiği bir felaket. Merkel oradayken ne kadar güzeldi?” Ve daha da tuhafı, not, ÇKP'nin Tayvan çevresindeki retoriğin bir sloganı gibi görünen “#TaiwanIsChina” hashtag'iyle bitiyor.
Bu kampanyanın tam olarak ne olduğunu anlamak zor. Belli ki iddia ettiği gibi değil. Rusya yanlısı mı yoksa Rusya karşıtı bir hacker mı destek sağlamaya çalışıyor? Jeopolitik'i siper olarak kullanmak tamamen başka bir şey mi? Enfeksiyonların tümü, hizmet olarak kötü amaçlı yazılım botnetlerinden biri olan SmokeLoader'ın sonucu gibi görünüyor. Biraz para ödeyin, yükünüzü botnetteki makinelere aktarın. Sadece bir hatırlatma, siz veya tanıdığınız biri bu kampanyalardan birine maruz kalırsa, kolluk kuvvetleri bunun kaydını almak ister. Bu işletmelerin arkasındaki suçluları tespit etmek ve kovuşturmak için öncelikle bazı somut davalara ihtiyaçları var. Ve fidye yazılımı suçluları asla yakalanmayacak gibi görünse de, teşhis edilip yakalanırlar.
Sıfır Projesi, XML4Shell Olarak Adlandırılmaya Direniyor
[Felix Wilhelm] bir Java sorunu buldu, ve ortak zevkimize göre, bunun için bir “4shell” lakabı icat etme ihtiyacı hissetmedi. Bu hikaye, web'in çoklu oturum açma desteğinin çoğuna güç veren XML tabanlı protokol olan Güvenlik Onayı İşaretleme Dili SAML ile başlar. Bir Hizmet Sağlayıcı (SP) olan X web sitesini ziyaret etmek ve Kimlik Sağlayıcınız (IdP) olan Y web sitesindeki hesabınızı kullanmak istiyorsunuz. SP, XML belgesi biçiminde bir SAML isteği oluşturur ve tarayıcınız bu belgeyi IdP'ye gönderir. IDP, orada bir hesabınız olduğunu onaylar ve tarayıcı aracılığıyla bir XML imzası gönderir. Kullanıcının tarayıcısının oturum açma verilerini işleyen olması bariz bir potansiyel sorun olduğundan, verilerin kendisi imzanın bir parçası olarak doğrulanır. Tüm süreç karmaşıktır ve karmaşıklıklardan biri, bir imzanın diğer imzalara referanslar içerebilmesidir. İmza tamamen doğrulanmadan önce, imzalı XML belgesinin birkaç dönüştürücü adımdan geçmesi gerekebilir ve Genişletilebilir Stil Sayfası Dil Dönüşümleri (XSLT) dili desteklenir. Evet, SAML nesnelerinizde tam bir turlama dilidir. Ve doğrulamayı yapan kod açılmadıysa secureValidation, performans artışı için kod Java kodunda derlenir.
Bu derleme işleminin bir kısmı, XSLT girişindeki değerleri Java sabit havuzuna dönüştürmektir. Bu havuzun sınırlı bir boyutu vardır ve derleme işlemi doğru bir şekilde sınır denetimi yapmaz. Havuzun sonunu yazarsanız ne olur? Bu veriler sınıf alanları olarak anlaşılır - yöntem tanımları gibi alanlar. Bu taşmanın tıkayacağı üç alan için geçerli değerler oluşturmak için çalışmayı yapın ve isteğe bağlı bayt kodu çalıştırma olanağına sahipsiniz. Bu, teorik olarak, XML imzalarını işleyen herhangi bir Java uygulaması için işe yarar. Büyük uyarı şu ki secureValidation tüm XSLT dönüşümlerini devre dışı bırakır, ancak bu yalnızca JDK 17'de varsayılan olarak açılmıştır.
urlscan.io Sırları Tutar
Tarafından sağlanan hizmet urlscan.io aslında oldukça kullanışlıdır. Bir web bağlantısı besleyin ve onu yükleyecek, sayfayı sizin için önizleyecek ve bununla ilgili bazı istatistikleri tükürecektir. Birisi garip bir bağlantı gönderdi ve onu makinenizde açmak istemiyor musunuz? İşte çözümün. Akılda tutulması gereken tek şey, taramayı açıkça özel olarak işaretlemediğiniz sürece bağlantının ve sonuçların herkes tarafından görüntülenebileceğidir. Github geçen yıl bu konuda biraz etkilendi ve yanlışlıkla özel depo adlarını hizmete sızdırdı. Bu [FABIAN BRÄUNLEIN] merak uyandırdı, başka servisler de benzer bir hata yaptı mı? Evet. Özel Google belgelerine, API anahtarlarına, Sharepoint ve Zoom davetlerine ve daha fazlasına bağlantılar vardır. Görünüşe göre birkaç otomatik güvenlik hizmeti, herhangi bir kullanıcı etkileşimi olmadan hizmete bağlantılar gönderiyor ve API'yi düzgün kullanmıyor. Hay aksi.
