Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  Bulutta uzaktan kod yürütme, uzaktan kod yürütme ve 2FA kodları.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth'um; o Paul Ducklin'dir.

[İRONİK] Paul, mutlu Uzaktan Kod Yürütme Günü sana dostum.

ÖRDEK.  Gün, hafta, ay, yıl öyle görünüyor Doug.

Zaten bu hafta oldukça fazla RCE hikayesi var.

DOUG.  Elbette…

Ama buna girmeden önce, kendi işimize bakalım. Teknoloji Geçmişi segmenti.

Bu hafta, 26 Nisan 1998'de bilgisayar dünyası, CIH virüsüSpaceFiller olarak da bilinir.

O Boşluk Doldurucu isim muhtemelen en uygunudur.

Yaklaşık 1KB hızında çalışan bu virüs, bir dosyanın sonuna fazladan kod yazmak yerine, ki bu da öldürücü bir aktivitenin göstergesidir, bunun yerine mevcut koddaki boşlukları doldurdu.

Virüs, sabit disk alanının ilk megabaytını sıfırlarla dolduran ve bölüm tablosunu etkili bir şekilde silen bir Windows yürütülebilir dosyasıydı.

Daha sonra ikinci bir yük, onu yok etmek için BIOS'a yazmaya çalışacaktır.

Kötü niyetli görünüyor Paul!

20 yıl önce bugün! CIH virüsünden neler öğrenebiliriz…

ÖRDEK.  Kesinlikle öyle.

Ve büyüleyici olan şey şu ki, 26 Nisan aslında virüsün * olmadığı* tek gündü; yılın geri kalanına yayıldı.

Ve aslında, sizin de söylediğiniz gibi, sabit diskinizin ilk parçasını silmeye çalışmakla kalmadı…

…muhtemelen veya muhtemelen kurtarabilirsiniz, ancak bu bölümleme tablonuzu ve genellikle dosya ayırma tablonuzun büyük bir kısmını ortadan kaldırdı, dolayısıyla bilgisayarınız kesinlikle ciddi bir yardım olmadan yeniden başlatılamaz hale geldi.

Ancak BIOS'unuzun üzerine yazmayı başardıysa, yazılımın hemen başlangıcına kasıtlı olarak çöp yazdı, böylece bilgisayarınızı bir sonraki açışınızda, açılışta yürütmeye çalıştığı ikinci makine kodu talimatı, bilgisayarın kapanmasına neden olacaktı. asmak.

Dolayısıyla, ürün yazılımını kurtarmak veya yeniden yüklemek için bilgisayarınızı hiçbir şekilde başlatamazsınız.

Ve bu, BIOS çiplerinin artık yuvalarda olmadığı, ne yaptığınızı biliyorsanız onları anakartınızdan çıkarabileceğiniz, yeniden çalıştırabileceğiniz ve geri takabileceğiniz dönemin başlangıcıydı.

Anakarta lehimlendiler.

İsterseniz “İçerde kullanıcı tarafından bakımı yapılabilecek parça yok.”

Yani darbe alan pek çok şanssız kişinin verileri silinmekle ve bilgisayarları fiziksel olarak yeniden başlatılamaz hale gelmekle kalmadı, aynı zamanda bunu düzeltemediler ve basitçe gidip yeni bir anakart satın almak zorunda kaldılar, Doug.

DOUG.  Peki bu virüs türü ne kadar gelişmişti?

Bu, belki de insanların daha önce görmediği ya da gerçekten aşırı olan birçok şeye benziyor.

ÖRDEK.  Boşluk doldurma fikri yeni değildi…

…çünkü insanlar belirli önemli sistem dosyalarının boyutlarını ezberlemeyi öğrendiler.

Yani, eğer bir DOS kullanıcısıysanız, boyutunu ezberleyebilirsiniz. COMMAND.COM, sadece artması durumunda.

Veya şunun boyutunu ezberleyebilirsiniz: NOTEPAD.EXE, ve sonra ara sıra geriye dönüp şöyle diyebilirsiniz: “Değişmedi; her şey yolunda olmalı.”

Çünkü, açıkçası, bir insan anti-virüs tarayıcısı olarak, dosyayı araştırmıyordunuz, sadece ona bakıyordunuz.

Yani bu numara oldukça iyi biliniyordu.

Daha önce görmediğimiz şey, yalnızca sabit diskinizin içeriğini silmek için değil (bu, o günlerde bir yan etki olarak şaşırtıcı ve ne yazık ki çok yaygındı), aynı zamanda tüm bilgisayarınızı zaplamak için yapılan bu kasıtlı, hesaplanmış girişimdi. ve bilgisayarın kendisini kullanılamaz hale getirin.

Kurtarılamaz.

Ve seni hırdavatçıya gidip parçalardan birini değiştirmeye zorlamak için.

DOUG.  Eğlenceli değil.

Hiç eğlenceli değil!

O halde biraz daha mutlu bir şeyden bahsedelim.

Google Authenticator'ımı yedeklemek istiyorum 2FA kod dizileri Google'ın Bulut'una…

…ve benim endişelenecek bir şeyim yok çünkü bunlar aktarım sırasında şifrelenmiş durumda, değil mi Paul?

Google 2FA sırlarını sızdırıyor - araştırmacılar şimdilik yeni "hesap senkronizasyonu" özelliğine karşı tavsiyede bulunuyor

ÖRDEK.  Bu büyüleyici bir hikaye çünkü Google Authenticator çok yaygın olarak kullanılıyor.

Hiçbir zaman sahip olmadığı tek özellik, 2FA hesaplarınızı ve bunların sözde başlangıç ​​tohumlarını (altı basamaklı kodları oluşturmanıza yardımcı olan şeyler) buluta yedekleme yeteneğidir; böylece telefonunuzu kaybederseniz veya yeni bir telefon satın alırsanız. telefonunuz varsa, her şeyi yeniden ayarlamanıza gerek kalmadan bunları yeni cihazla senkronize edebilirsiniz.

Ve Google yakın zamanda şunu duyurdu: "Sonunda bu özelliği sağlayacağız."

İnternette başlığın olduğu bir hikaye gördüm Google Authenticator, 13 yıl aradan sonra uzun zamandır beklenen kritik bir özelliği ekliyor.

Yani herkes bu konuda çok heyecanlıydı!

[GÜLÜYOR]

Ve oldukça kullanışlıdır.

İnsanların yaptığı şey…

…bilirsiniz, bir hesap için ilk etapta tohum oluşturmanıza olanak tanıyan QR kodları?

DOUG.  [GÜLÜYOR] Elbette her zaman kendi fotoğraflarımı çekiyorum.

ÖRDEK.  [İNİLİYOR] Evet, kameranızı ona doğrultursunuz, tarar ve sonra şöyle düşünürsünüz, "Ya tekrar ihtiyacım olursa? O ekrandan ayrılmadan önce fotoğrafını çekeceğim ve ardından bir yedeğim olacak.”

Peki, yapma bunu!

Çünkü bu, e-postalarınızın, fotoğraflarınızın, bulut hesabınızın bir yerinde o tohumun şifrelenmemiş bir kopyasının olduğu anlamına gelir.

Ve bu, hesabınızın mutlak anahtarıdır.

Yani bu, şifrenizi bir parça kağıda yazıp fotoğrafını çekmek gibi bir şey olacaktır; muhtemelen pek de iyi bir fikir değildir.

Google'ın bu özelliği (güvenli bir şekilde umarız) Authenticator programına eklemesi, sonunda birçok kişi tarafından bir zafer olarak görüldü.

[DRAMATİK DURAKLAMA]

@mysk_co'ya girin (daha önce podcast'te birkaç kez hakkında konuştuğumuz iyi arkadaşımız Tommy Mysk).

Şöyle düşündüler, "Elbette parola gibi size özel bir tür şifreleme vardır... ancak senkronizasyonu yaptığımda uygulama benden parola istemedi; Chrome tarayıcısının şifreler ve hesap ayrıntıları gibi şeyleri senkronize ettiğinizde yaptığı gibi bana bir şifre koyma seçeneği sunmadı.”

Ve işte, @mysk_co, uygulamanın TLS trafiğini alıp şifresini çözdüklerinde, tıpkı Google'a ulaştığında olduğu gibi...

…içinde tohumlar vardı!

Google'ın şu özelliği geliştirmemiş olması benim için şaşırtıcı: "Bunu kendi seçtiğiniz bir şifreyle şifrelemek ve böylece tohumlarınıza ulaşamamamızı ister misiniz?"

Çünkü aksi takdirde, bu tohumlar sızdırılırsa, çalınırsa ya da yasal bir arama emri kapsamında ele geçirilirse, bulutunuzdan verileri alan kişi, tüm hesaplarınızın başlangıç ​​tohumlarına sahip olabilecektir.

Ve normalde işler bu şekilde yürümez.

Şifreleriniz ve 2FA tohumlarınız gibi şeyleri herkesten gizli tutmak için kanun tanımayan bir alçak olmanıza gerek yok.

Yani onların tavsiyesi, @mysk_co'nun tavsiyesi (ve ben de buna katılıyorum) şu: "Google, isterseniz ekleyebileceğiniz bir parolayla partiye gelene kadar bu özelliği kullanmayın."

Bu, içeriğin Google'a gönderilmek üzere HTTPS bağlantısına koyulmak üzere *önce* sizin tarafınızdan şifrelendiği anlamına gelir.

Bu da Google'ın istese bile başlangıç ​​tohumlarınızı okuyamayacağı anlamına gelir.

DOUG.  Pekala, bu podcast'te söylemeyi en sevdiğim şey: buna dikkat edeceğiz.

Bir sonraki hikayemiz PaperCut adında bir şirketle ilgili.

Bu aynı zamanda bir uzaktan kod yürütülmesi.

Ancak bu şirketin bu kadar şeffaf olması aslında daha çok bir ipucu niteliğinde.

Bu hikayede çok şey oluyor. Paul… haydi araştıralım ve ne bulabileceğimize bakalım.

PaperCut güvenlik açıkları aktif saldırı altında – satıcı müşterileri yama yapmaya çağırıyor

ÖRDEK.  bir şey yapayım Mea Culpa PaperCut-the-şirketine.

PaperCut kelimelerini gördüğümde ve ardından insanların şöyle konuştuğunu gördüm: “Ooohh, kırılganlık; uzaktan kod yürütme; saldırılar; siberdrama”…

DOUG.  [GÜLÜYOR] Bunun nereye varacağını biliyorum!

ÖRDEK.  … PaperCut'un bir BWAIN, Etkileyici Adı Olan Bir Hata olduğunu sanıyordum.

Şöyle düşündüm: “Bu harika bir isim; Eminim bunun yazıcılarla bir ilgisi vardır ve bu bir Heartbleed, bir LogJam, bir ShellShock veya bir PrintNightmare gibi olacaktır; bu bir PaperCut!”

Aslında bu sadece şirketin adıdır.

Bence amaç, ağınızda yazıcı yönetimi sağlayarak israfı, gereksiz harcamaları ve kağıt kullanımınızdaki yeşilsizliği azaltmanıza yardımcı olmak.

"Kesinti", masraflarınızı kısmanız anlamına gelir.

Ne yazık ki bu durumda, sunucularındaki yönetici araçlarında yakın zamanda keşfedilen bir çift güvenlik açığı nedeniyle saldırganların ağa sızabilecekleri anlamına geliyordu.

Ve bu hatalardan biri (eğer takip etmek istiyorsanız, CVE-2023-27350'dir) uzaktan kod yürütülmesine izin veriyor:

Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın Papercut uygulama sunucusunda uzaktan kod yürütmesine olanak tanıyabilir. Bu uzaktan ve oturum açmaya gerek kalmadan yapılabilir.

Temel olarak, ona çalıştırmak istediğiniz komutu söyleyin, o da sizin için çalıştıracaktır.

İyi haber: Bu süper tehlikeli olan da dahil olmak üzere bu iki hatayı da yamaladılar.

Uzaktan kod yürütme hatası… Mart 2023'ün sonunda yama yaptılar.

Elbette herkes yamaları uygulamadı.

Ve bakın, yaklaşık 2023 Nisan ayının ortasında, birisinin bu konuyu araştırdığına dair raporlar aldılar.

Dolandırıcıların yamalara baktığını, neyin değiştiğini anladığını ve "Oooh, bundan yararlanmak düşündüğümüzden daha kolay, hadi kullanalım!" diye düşündüğünü varsayıyorum. Ne kadar rahat bir giriş yolu!”

Ve saldırılar başladı.

Şu ana kadar buldukları en erken tarihin 14 Nisan 2023 olduğunu düşünüyorum.

Ve böylece şirket yolunun dışına çıktı ve hatta web sitesinin üstüne "Müşterilerimiz için acil mesaj: lütfen yamayı uygulayın" yazan bir pankart bile koydu.

Dolandırıcılar zaten bu konuya girdiler ve işler pek iyi gitmiyor.

Sophos X-Ops ekibindeki tehdit araştırmacılarına göre, halihazırda farklı dolandırıcı çetelerinin bunu kullandığına dair kanıtlarımız var.

Dolayısıyla, Clop fidye yazılımı ekibi tarafından yapılmış gibi görünen bir saldırının farkında olduğumuza inanıyorum; LockBit fidye yazılımı çetesinin işi olduğuna inandığım bir diğeri; ve bu istismarın dolandırıcılar tarafından kripto hırsızlığı amacıyla suistimal edildiği üçüncü bir saldırı; elektriğinizi yakıyorlar ama kripto paraları alıyorlar.

Ve daha da kötüsü, tehdit araştırmacılarımızdan birinden bu sabah [2023-04-26] birisinin, Allah razı olsun, "savunma amaçlı ve akademik araştırma için" hepimizin bunu yapmasının gerçekten önemli olduğuna karar verdiğine dair bir bildirim aldım. 97 satırlık bir Python betiğine erişim…

…bu, bunu istediğiniz zaman kullanmanıza olanak tanır, [IRONIC] sırf nasıl çalıştığını anlayabilmeniz için.

DOUG.  [GROAN] Aaaaargh.

ÖRDEK.  Yani eğer yama yapmadıysanız…

DOUG.  Lütfen çabuk ol!

Kulağa kötü geliyor!

ÖRDEK.  “Lütfen acele et”… Sanırım bunu ifade etmenin en sakin yolu bu, Doug.

DOUG.  Uzaktan kod yürütme treninde kalacağız ve bir sonraki durak Chromium Junction.

A çift ​​sıfır gün, biri görselleri içeriyor, diğeri ise JavaScript'i içeriyor, Paul.

Chrome ve Edge'de çift sıfır gün - sürümlerinizi şimdi kontrol edin!

ÖRDEK.  Gerçekten, Doug.

İzini sürmek istersen diye bunları okuyacağım.

Elimizde CVE-2023-2033ve bu, jargonda, Google Chrome'da V8'de kafa karışıklığı yazın.

Ve biz var CVE-2023-2136, Google Chrome'daki Skia'da tamsayı taşması.

Açıklamak gerekirse, V8, Chromium tarayıcısının çekirdeğinde bulunan açık kaynaklı JavaScript "motorunun" adıdır ve Skia, Chromium projesi tarafından HTML ve grafik içeriğini oluşturmak için kullanılan bir grafik işleme kitaplığıdır.

Sorunun, tarayıcınızın grafik oluşturma bölümünde veya JavaScript işleme bölümünde tetiklenebilir hatalarla ilgili olduğunu hayal edebilirsiniz.

…bunlar, *güvenilmeyen web sitelerinden* uzaktan gelen* şeyleri, yalnızca onlara baktığınızda bile tüketmek, işlemek ve sunmak için tasarlanmış parçalardır.

Ve böylece, yalnızca tarayıcının onu görmeniz için hazırlamasıyla, bu hataların birini değil ikisini de gıdıklayabilirsiniz.

Anladığım kadarıyla bunlardan biri, JavaScript olanı, aslında uzaktan kod yürütme olanağı sağlıyor; burada tarayıcının, olmaması gereken kodu çalıştırmasını sağlayabilirsiniz.

Diğeri ise genel olarak korumalı alandan kaçış olarak bilinen şeye izin veriyor.

Yani kodunuzu çalıştırırsınız ve ardından tarayıcının içinde çalışan kodu kısıtlaması gereken kısıtlamaların dışına atlarsınız.

Bu hatalar ayrı ayrı keşfedilmiş ve sırasıyla 14 Nisan 2023 ve 18 Nisan 2023 tarihlerinde ayrı ayrı yamalanmış olsa da, bunların gerçekten birileri tarafından kombinasyon halinde kullanılıp kullanılmadığını merak etmeden duramazsınız (çünkü sıfır günlerdir).

Çünkü hayal edebilirsiniz: biri tarayıcıya *girmenizi* sağlar, diğeri ise tarayıcıdan *girmenizi* sağlar.

Yani, yakın zamanda bunlar hakkında konuştuğumuz zamankiyle aynı durumdasınız. Apple sıfır günleri, tarayıcı oluşturucu WebKit'teydi, bu da siz bir sayfaya bakarken tarayıcınızın ele geçirilebileceği anlamına geliyordu…

…ve diğeri, tarayıcıdaki kodun aniden tarayıcıdan dışarı fırlayıp sistemin ana kontrol kısmına gömülebildiği çekirdekteydi.

Apple sıfır günlük casus yazılım yamaları, eski Mac'leri, iPhone'ları ve iPad'leri kapsayacak şekilde genişletildi

Şimdi, Chrome ve Edge hata vakalarında bunların birlikte kullanılıp kullanılmadığını bilmiyoruz, ancak bu kesinlikle otomatik güncellemelerinizin gerçekten geçip geçmediğini kontrol etmenin çok çok iyi olduğu anlamına geliyor!

DOUG.  Evet, Microsoft Edge'imi kontrol ettiğimi ve otomatik olarak güncellendiğini belirtmek isterim.

Ancak, varsayılan olarak kapalı olan bir güncelleme düğmesi olabilir (eğer ölçülü bağlantılarınız varsa, yani İSS'nizin bir sınırı varsa veya bir mobil ağ kullanıyorsanız), aksi takdirde güncellemeleri otomatik olarak alamayacaksınız. proaktif olarak bunu açarsınız.

Ve tarayıcınızı yeniden başlatana kadar geçiş etkili olmaz.

Yani, tarayıcınızı sürekli açık tutan ve hiçbir zaman kapatmayan veya yeniden başlatmayan insanlardan biriyseniz, o zaman…

…evet, kontrol etmeye değer!

Bu tarayıcılar otomatik güncellemelerle iyi iş çıkarıyorlar, ancak bu kesin değil.

ÖRDEK.  Bu çok iyi bir nokta, Doug.

Bunu düşünmemiştim.

Ölçülü bağlantılar ayarını kapattıysanız güncellemeleri alamayabilirsiniz.

DOUG.  Tamam, Google'ın CVE'leri çoğu zaman herhangi bir şirkete ait olduğu için biraz belirsiz.

Phil (okuyucularımızdan biri) şunu sordu… CVE'nin bir kısmının bir şeylerin gelebileceğini söylediğini söylüyor “hazırlanmış bir HTML sayfası aracılığıyla.”

Bunun hala çok belirsiz olduğunu söylüyor.

Yani kısmen şöyle diyor:

Sanırım zayıflığın yattığı yer V8 olduğundan, yalnızca kendi başına bozuk HTML değil, JavaScript artı HTML'nin de CPU talimat işaretçisini yakalayabildiğini varsaymalıyım. Doğru ya da yanlış?

Ve sonra CVE'lerin şöyle olduğunu söylemeye devam ediyor: "Şu ana kadar bu konuda bir ipucu elde etmenin bana faydası yok."

Yani Phil'in kafası biraz karışık, tıpkı buradaki çoğumuzun da muhtemelen olduğu gibi.

Paul mu?

ÖRDEK.  Evet, bence bu harika bir soru.

Bu durumda Google'ın neden hatalar hakkında çok fazla şey söylemek istemediğini anlıyorum.

Vahşi doğadalar; bunlar sıfır gündür; dolandırıcılar onları zaten biliyor; bir süre şapkamızın altında tutmaya çalışalım.

Şimdi, "hazırlanmış bir HTML sayfası" demelerinin nedeninin, yalnızca HTML'nin (isterseniz saf oyun "açılı ayraç/etiket/açılı ayraç" HTML kodu) hatayı tetikleyebileceğini önermek olmadığını varsayıyorum.

Sanırım Google'ın sizi uyarmaya çalıştığı şey, sadece bakmanın (salt okunur) gezinmenin yine de başınızı belaya sokabileceğidir.

Bunun gibi bir hatanın fikri, uzaktan kod çalıştırma olduğu için şudur: bakarsınız; tarayıcı bir şeyi kontrollü bir şekilde sunmaya çalışır; %100 güvenli olmalıdır.

Ancak bu durumda %100 *tehlikeli* olabilir.

Ve sanırım söylemeye çalıştıkları şey de bu.

Ve ne yazık ki, "CVE'lerin" benim için işe yaramaz olduğu" fikrinin ne yazık ki çoğu zaman böyle olduğunu görüyorum.

DOUG.  [GÜLÜYOR] Yalnız değilsin Phil!

ÖRDEK.  Bunlar sadece siber güvenlikle ilgili gevezelik ve jargondan oluşan birkaç cümle.

Demek istediğim, bazen CVE'lerde sayfaya gidersiniz ve sadece "Bu hata tanımlayıcı rezerve edildi ve ayrıntılar daha sonra gelecek" der ki bu neredeyse işe yaramazdan da kötüdür. [kahkahalar]

Yani bunun size jargonistik bir şekilde anlatmaya çalıştığı şey, *basitçe bakmak*, sadece güvenli olması gereken bir web sayfasını görüntülemektir (hiçbir şey indirmeyi seçmediniz; herhangi bir şey indirmeyi seçmediniz). herhangi bir şey yürütün; tarayıcıya bir dosyayı kaydetmesi için yetki vermediniz)… sayfayı görmeden önce hazırlama işlemi bile sizi tehlikeye atmaya yetebilir.

Sanırım "hazırlanmış HTML içeriği" derken kastettikleri şey bu.

DOUG.  Pekala, bunu açıklığa kavuşturduğun için çok teşekkür ederim Paul.

Ve bunu gönderdiğin için çok teşekkür ederim Phil.

İletmek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumayı çok isteriz.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @nakedsecurity.

Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size hatırlatıyorum…

HER İKİSİ DE.  Güvende kalın!

[MÜZİKAL MODEM]