Objęliśmy sporo historii o złośliwym oprogramowaniu skradanie się do NPN i innych repozytoriach JavaScript. Jest to trochę inaczej. Tym razem programista JS zdarzył własne pakiety. To nie jest nawet złośliwe oprogramowanie, być może powinniśmy nazwać to protestami? Dwa pakiety, kolory i faker są popularni, z połączonym tygodniowym pobraniem prawie 23 milionów. Ich autor, [Marak] dodał przełomową aktualizację do każdego z nich. Te biblioteki drukują teraz nagłówek Liberty Liberty Liberty, a następnie losowe postacie lub bardzo słaba sztuka ASCII. Potwierdzono, że nie był to atakujący zewnętrzny, ale [Marak] w celach celowych. Czemu?
Wygląda na to, że ta historia zaczyna się pod koniec 2020 r., Kiedy [Marak] stracił trochę w ogniu i musiał poprosić o pieniądze na Twitterze. Edytuj: Dzięki komentatorowi [Jack Dansen] za wskazanie ważnego szczegółowego szczegółów. Marak został oskarżony o lekkomyślny zagrożenie i podejrzewano o możliwe aspiracje terroryzmu, ponieważ w jego wypalonym mieszkaniu znaleziono materiały bombowe. Dwa tygodnie później twierdził, że miliardy zostały wyłączone w pracy open source DEVS, powołując się do wycieku Faang. Faang jest odniesieniem do dużych pięciu amerykańskich firm: Facebook, Apple, Amazon, Netflix i Google. Tego samego dnia otworzył problem na Github dla Faker.js, rzucając Ultimatum: “Weź to możliwość wysłania Mnie sześcioro rocznie kontrakt lub rozwidlenia projektu i masz kogoś innego.”
Jeśli uważasz się za przykro mi [Marak], jest zmarszczka do obrócenia. Nie popełnił kodu dla kolorów Wszystko powiedział, to bałagan. Oba projekty na NPM zostały powrócone do ich nieznanych wydań i prawdopodobnie będą obracane do oficjalnych widelców projektów.
Symulowane ponowne uruchomienie
Wspólna mądrość jest taka, że podczas gdy istnieje wiele zestawów Malware IOS, wyprodukowany przez upodobania grupy NSO, że złośliwe oprogramowanie nie może faktycznie pokonać bezpiecznego bagażnika Apple, więc ponowne uruchomienie telefonu wystarczy “odinstalować”. Problem z tym jest oczywisty, gdy go usłyszysz: zaufasz kompromisowym urządzeniem, aby wykonać czysty ponowne uruchomienie. Naukowcy z UCOPS wykazali zdolność do przerwania procesu ponownego uruchomienia w tym, co nazywają Noreboot. Ich haczyki kodu do funkcji wyłączenia, a zamiast tego zabijają interfejs użytkownika. Po ponownym naciśnięciu przycisku zasilania, animacja rozruchowa jest wyświetlana, a wreszcie poręczne polecenie systemowe ponowne uruchomienie użytkownika. Obserwuj poniższy demo.
Nie ma problemu, prawda? Wystarczy użyć funkcji ponownego uruchomienia sprzętu. Głośność, głośność, a następnie przytrzymaj przycisk zasilania, aż otrzymasz logo Apple. Jak długo to trzymasz? Dopóki logo się pojawi się – prawda, jest trywialna do sfałszowania wymuszonego ponownego uruchomienia, zanim się dzieje. OK, więc wiedzieć, że otrzymasz prawdziwego ponownego uruchomienia, po prostu pociągasz baterię … Och.
przez rekord.
MacOS Microsoft Hacks MacOS.
MacO ma funkcję o nazwie przezroczystość, zgoda i sterowanie (TCC), która obsługuje uprawnienia do indywidualnych aplikacji. System ten uniemożliwia instancji aplikacji Kalkulatorów dostęp do kamery internetowej systemu. Ustawienia są przechowywane w bazie danych przechowywanej w katalogu domowym, a ścisłe elementy sterujące zapobiegającym aplikacji bezpośrednio. Microsoft ogłosił podatność Powerdira, która łączy para dziwactwa, aby przezwyciężyć ochronę. Exploit jest prosty: Utwórz fałszywą bazę danych TCC, a następnie zmienić katalog domowy użytkownika, dzięki czemu fałszywa baza danych jest teraz aktywna. Jest trochę bardziej skomplikowany, ponieważ losowa aplikacja naprawdę nie powinna być w stanie usunąć katalogu domowego.
Znaleźli dwie techniki, aby wykonać pracę Remap. Pierwszy jest binaria, DSexport i Dsimport. Podczas zmiany katalogu domowego bezpośrednio wymaga dostępu do korzenia, ten taniec eksportowy / importowy można wykonać jako nieuprzywilejowany użytkownik. Druga technika jest zapewnienie złośliwego wiązki binarnej CONFIGD, która wykonuje atak wtrysku kodu. Ciekawe jest, aby zobaczyć Microsoft kontynuować, czy badanie bezpieczeństwa kierujące MacOS. Ich motywacja może być mniejsza niż szlachetna, ale naprawdę pomaga utrzymać wszystkie nasze urządzenia.
Qnap i upnp.
Objęliśmy sporo Ludów Nas na przestrzeni lat i zauważyłem kilka razy, że naprawdę nie jest mądry, aby odsłonić takie urządzenia do Internetu. Jednym z sugerowanych wyjaśnień było UPNP, a dziś mamy jakieś oficjalne potwierdzenie, że jest to rzeczywiście częścią problemu. W nowym doradztwie QNAP oficjalnie zaleca wyłączenie UPnP w urządzeniach QNAP. Wygląda na to, że powinno być zalecane zupełnie trochę z powrotem lub jeszcze lepiej, urządzenia te wysyłane przez UPnP domyślnie wyłączone. Pójdę dalej krokiem i sugerowałem również włączanie funkcji w routerze, chyba że wiesz, że rzeczywiście tego potrzebujesz.
Jeśli otrzymasz dysk USB w poczcie …
Na miłość boską, Nie podłączaj go! Wydaje się, że kilka firm nie otrzymało tego notatki, ponieważ przez FIN7 było udaną kampanię Ransomware za pomocą tego podejścia. Sztuką jest to, że obejmują oficjalny list wyglądający, a może karta upominkowa, kusząca odbiornik do podłączenia napędu USB, aby odebrać nagrodę lojalnościową. Kampania 2020 z tej samej grupy podszyła się do najlepszego zakupu, gdzie ten jeden twierdzi, że jest z Amazon, albo HHS.
Możesz zebrać, że te dyski flash są czymś więcej niż tylko pamięć flash. W rzeczywistości wydają się być urządzeniami Badusb – małe frytki, które rejestrują się jako urządzenia HID i wysyłają naciśnięcia klawiszy na komputerze. Po podłączeniu, otwierają PowerShell i uruchomić złośliwy skrypt, dając zdalny dostęp do napastników. Jeśli otrzymasz jeden z nich lub podobny atak, zadzwoń do FBI lub swój lokalny odpowiednik. Raporty z firm i osób jest tym, co prowadzi do ostrzeżenia w ten sposób.
Godne uwagi aktualizacje
Pierwsza runda aktualizacji z Androidem na ten rok jest na zewnątrz, a jest jedna wyróżniająca się problem, wpływająca na mnóstwo urządzeń sportowych Snapdragon Qualcomm. CVE-2021-30285 to istotna słaba lukę w oprogramowaniu do zamkniętego źródła Qualcomm. Nazywa się “nieprawidłową weryfikacją wejścia w jądrze”, ale wydaje się być problemem zarządzania pamięcią w Hypervisor Qualcomm. Znajduje się o 9,3 w skali CVSS, ale w tej chwili nie są dostępne inne szczegóły.
Produkty wirtualizacyjne VMware zostały załatane przeciwko CVE-2021-22045, podatność na przepełnienie sterty w ich wirtualnym kodzie urządzenia CD-ROM. Eksploatacja może spowodować ucieczkę VM i dowolnego kodu uruchomienia na hypervirzu maszyny, najgorszym scenariuszem dla operatorów VM. Wadniki 7,7, a na szczęście musi być aktywnie przymocowany obraz CD do maszyny, więc obejście jest całkiem łatwe – po prostu wyjmij napęd CD lub obraz.