Den här veckan i säkerhet: Geopolitisk hacktivism, antivirusgruvning, liksom Linux-malware

CIA-hacktivisterna har introducerat en slags ransomware-kampanj mot det vitryska järnvägssystemet, men istället för kryptokrens, vill de ha frisläppande av politiska fångar som såväl som att avlägsna ryska soldater. Detta kan kallas ett exempel på cyberterrorism, även om det finns en överkomlig teori om att detta är en statsponserad hack, masquerading som hacktivism. Vad som verkar specifikt är att något har avbruten järnvägstransit, liksom en grupp på Twitter har skapat övertygande bevis på ett brott.

Ditt antivirus innehåller nu en kryptominer

Titta inte nu, men din senaste uppdatering av Norton 360 eller Avira kan ha installerat en kryptokurrencysmodul. Silverfodret är att vissa sanity har behållits, liksom du måste välja in Crypto-planen innan din tillverkare börjar kostar sina reservcykler på gruvdrift. För personer som gör, läggs de i en gruvpool, vilket gör lite utbetalningar för mycket hårdvara. Norton, naturligtvis tar en 15% avgift av toppen för deras problem.

Ange av Linux Malware

Det användes för att vara ett ordspråk som Linux-maskiner inte får skadlig kod. Det har aldrig varit ganska sant, men den fortsatta erövringen av serverns landskap har haft sidopåverkan av att göra Linux malware en ännu högre fara. Crowdstrike har sett en 35% boost i Linux Malware år 2021, med tre unika klassificeringar som leder avgiften: Xorddos, Mozi, liksom Mirai.

Pwnkit

Och talar om Linux, en ganska seriös Linux sårbarhet just nu meddelades, liksom ett arbetsutnyttjande har redan släppts. Problemet är en grundläggande i polkit binär, som för detta ändamål kan tros som ett sudo alternativ. Den avgörande delen är att det är en setuid binär, en som lyfter sina egna privilegier att rota när den utförs av en oprivilerad användare. “Vänta nu,” Jag hör dig säga, “Det verkar som ett hemskt säkerhetsproblem!” Det kan vara, när det går fel. Men den grundläggande verkligheten är att det finns tillfällen då en individ behöver göra en åtgärd som annars skulle behöva root privilegier. Ett grundläggande exempel, ping, måste öppna ett RAW-nätverksuttag i köp till funktion. Dessa binärer är mycket försiktigt skapade för att bara möjliggöra begränsade åtgärder, men ofta kan ett fel att undkomma denna “sandlåda”.

Så vad är historien med pekexec? Null argv. OK, Linux-programmering 101 tid. När ett program introduceras på Linux, passerar det två parametrar, vanligtvis namngivna ARGC såväl som argv. Dessa är ett heltal, liksom en mängd olika riktlinjer. Om du inte är en programmerare, tror du på det som antalet argument, liksom noteringen av argument. Denna information används för att analysera såväl som hanterar kommandoradsval inuti programmet. ARGC är alltid minst en, liksom argv [0] kommer alltid att bestå av det binära namnet som exekverat. Förutom, det är inte alltid fallet. Det finns ytterligare en metod att introducera binärer, med hjälp av execve () -funktionen. Den funktionen gör det möjligt för programmeraren att ange notering av argument direkt, inklusive oenighet 0.

Så vad inträffar om den listan är bara null? Om ett program skrevs för att ta hänsyn till denna möjlighet, som sudo, är allt bra. PKExec inkluderar emellertid inte en inspektion för en tom ARGV eller en ARGC av 0. Det fungerar som om det finns en oenighet att läsa, liksom den metod som programinitialiseringen uppstår i minnet, öppnar det verkligen den allra första atmosfären Variabel istället, liksom behandlar det som ett argument. Det kontrollerar systemvägen för en matchande binär, såväl som omskrivning vad den tror är det är meningsskiljaktighet, men är verkligen atmosfären variabel. Detta indikerar att okontrollerad text kan injiceras som en atmosfärsvariabel i PKExec, Setuid-programmet.

Det är intressant, men inte omedelbart användbart, eftersom PKExec rensar det är atmosfärsvariabler strax efter att injektionen händer. Så vilken snygg teknik kan vi utnyttja för att verkligen utnyttja detta? kasta ett felmeddelande. PKExec kommer att använda GCONV-delat bibliotek för att skriva ut ett felmeddelande, liksom det börjar med att försöka hitta konfigurationsfilen GCONV-moduler. Denna data definierar vilka vissa biblioteksdata som ska öppnas. Atmosfären Variabel GConv_Path kan användas för att ange en alternerande konfigurationsfil, men denna atmosfärsvariabel är blockerad när du kör ett setuid binärt. Ah, men vi har en metod att injicera en atmosfärsvariabel efter det att detta händer. Det är utnyttjandet. Förbered en nyttolast. Så som innehåller vår godtycklig kod, en falsk GConv-moduldata som pekar på nyttolasten, såväl som sedan utnyttja NULL AGV-tekniken för att injicera GConV_Path atmosfärsvariabeln. Vem är jag? Rot.

Det finns ett par intressanta vändningar till den här historien. För det första kom [Ryan Mallon] smärtsamt nära att hitta denna sårbarhet 2013. För det andra rapporterade metoden tillbaka 2007, [Michael Kerrisk] Null Argv Quirk som en Linux Kernel bug.

Attackera slumpmässiga lösenord

Det mycket säkert lösenordet är en som slumpmässigt genereras, eller hur? Ja, men vad händer om den slumpmässiga generatorn inte är ganska lika slumpmässig som det verkar? Nu talar vi inte om avsiktliga bakdörrar den här gången, men de till synes irrelevanta mönster som ofta gör en stor skillnad. Enigma-maskinen var trots allt knäckt, eftersom den aldrig skulle koda ett brev som sig själv. [Hans Lakhan] från Trustedsec tittade på en miljon lösenord som producerades av LastPass, liksom försökt att generalisera något som är fördelaktigt från data. Många av dessa lösenord har antingen 1 eller 2 siffror. Observera detta är inte en svaghet i algoritmen, men bara det förväntade resultatet av de erbjudna karaktärerna. Skulle det finnas en fördel att brutna-tvingande lösenord med den politik som varje antagande behöver bestå av en eller två siffror? Det skulle definitivt minska överfallsutrymmet, men det skulle likaså sakna lösenord som inte i form av mönstret. Skulle avvägningen vara värt det?

Svaret är inte klart. Under särskilda omständigheter finns det en mindre fördel att få från att utnyttja de föreslagna reglerna. Men den fördelen försvinner när brute-force-processen fortsätter. Hur som helst är det ett intressant försök att tillämpa statistik till lösenordsprickning.

WordPress samt bakdörr-ED-teman

En av de större producenten av WordPress-teman samt plugins, åtkomster, upplevde ett brott mot deras webbplats som tog en hemsk tur. Frågan hittades av forskare på Jetpack, som gjorde en post-mortem på olika kompromissade webbplats, liksom upptäckt malware inbäddad i ett åtkomsttema. Det preliminära brottet inträffade i september 2021, så var det misstänkt för någon typ av material från åtkomsten om de laddas ner mellan september samt mitten av oktober 2021. Observera att om det är installerat från WordPress.org-katalogen var dessa teman säkra. En förteckning över förstådda infekterade plugins såväl som teman erbjuds på ovanstående länk, förutom andra tecken på kompromiss.

Bitar och byte

Det finns ännu ett tricktoken som oavsiktligt avslöjas i källkod, twitter får tillgång till token. GitHub har redan automatiserat skanning för referenser som oavsiktligt ingår i repositorier, men det här ingår inte Twitter-tokens. [Incognitatech] komponerade en snabb skanner, liksom upptäckt runt 9 500 giltiga tokens. (Sätt in över 9000 meme här.) Exakt hur man meddelar så många människor i problemet? Producera en bot, gör en tweet, såväl som sedan utnyttja tokens till retweet. Det är säkert att få lite uppmärksamhet.

SonicWall SMA 100-serie hårdvara har en serie sårbarheter som nu har patchats såväl som avslöjade. Det värsta är ett oautentiserat buffertflöde, gör en CVS av 9,8. Dessa gadgets är ganska framträdande för små företag, så håll ögonen öppna för potentiellt benägen hårdvara, liksom få dem patched om du kan.

Crypto.com upplevde ett brott den 17 januari. De först sjunkit händelsen, men har dock överväger att släppte ett uttalande med dessutom detaljer. Assaulten var en tvåfaktor-autentiseringsbypass, vilket gör det möjligt för en angripare att initiera transaktioner utan att effektivt slutföra den vanligen behövs 2FA-processen. De gör försäkringen att de fångade problemet tidigt tillräckligt för att stoppa någon typ av faktisk förlust av valuta, vilket är riktigt ganska imponerande.

Google Chrome har släppt en uppdatering, liksom detta inkluderar korrigeringar för några kostsamma buggar. Sex separata rapporter fick forskare mycket mer än $ 10.000 en bit, med de två bästa en underbar $ 20k. Dessa sex, förutom en sjunde bugg rapporterade internt, verkar alla att ha det potentiella att vara ganska seriösa, så gå uppdatering!

Och slutligen, i de saker som inte-slutliga kategorin, flirar Storbritannien med begreppet reglering av säkerhetsforskare, vilket gör säkerhetsundersökningen en registrerad handel. Den mest frettingdelen av denna plan är konceptet att någon typ av oregistrerad forskare kan vara föremål för kriminella avgifter under särskilda omständigheter. Detta verkar som ett hemskt koncept av tydliga skäl.