Geralmente não é um bom sinal quando Seu tema baixado contém código ofuscado. Sim, estamos falando do tema material muito popular para o VSCODE. Este tem um pouco de história complicada. Um dos autores queria ganhar dinheiro com todos esses downloads. O tema do material original foi arrancado da loja Vscode, O código-fonte (inadequadamente) re-licenciado como fonte fechadae substituído por versões freemium. E nesta semana, essas versões freemium foram puxadas pela Microsoft para contendo malware.
Agora há uma peculiaridade nessa história. Ninguém conseguiu responder a uma pergunta simples, mas vital: O que exatamente o plugin temático fez que era malicioso? A resposta oficial é que “uma extensão de temas com código fortemente ofuscado e dependências irracionais, incluindo um utilitário para a execução de processos filhos”. Olhando para as declarações oficiais e críticas não oficiais de segurança, não consigo encontrar confirmação de que os plugins foram realmente observados fazendo algo malicioso. O único problema concreto é que o plug -in enviou JavaScript ofuscado. Existem várias declarações incompletas sobre um problema com uma dependência de sanidade. Que pode ter sido comprometida.
A conclusão neste momento é que uma revisão de segurança completa desses plugins não foi publicada. A equipe da Microsoft encontrou elementos problemáticos suficientes nos plugins para acionar os puxando -os. Mas junto -me ao coro de vozes que pedem à Microsoft para responder claramente à pergunta vital: algum usuário de plugins temáticos de material realmente foi comprometido?
Backups de baixa alavanca
O backup de Nakivo tem um terminal interessante, o getImageByPath Ligue para carregar o logotipo do sistema e é acessível para usuários não autenticados. É bem simples, apenas seguindo um caminho para um arquivo no sistema de arquivos do Appliance e retornando a matriz de bytes para uso como uma imagem. E, é claro, ele não verifica se o arquivo solicitado é realmente uma imagem. Nem está limitado a uma lista de caminhos permitidos.
Portanto, portanto, temos essencialmente uma leitura de arquivo arbitrário. Não é totalmente arbitrário, pois o arquivo é carregado pela primeira vez na memória antes de ser servido. Portanto, os backups provavelmente são grandes demais para se expor com sucesso dessa maneira. Ainda existem alguns alvos bastante interessantes, incluindo os logs do sistema. Mas o verdadeiro alvo suculento é o próprio banco de dados do sistema. Felizmente, as credenciais do usuário para o próprio sistema Naviko parecem estar corretamente a evitar roubo casual. Mas a configuração de backups úteis exigirá todos os tipos de integrações, como credenciais SSH e AWS. E esses são armazenados em texto simples dentro do banco de dados. Opa.
Apple fez o quê?
Algumas semanas atrás, conversamos sobre a Apple e o governo do Reino Unido com uma briga sobre a criptografia de backup do iCloud. A Apple finalmente lançou a criptografia de ponta a ponta para esses backups, e a Carta Snooper do Reino Unido foi usada para exigir que a Apple adicione um backdoor de criptografia nesse sistema. Isso é problemático por várias razões, e a Apple optou por não obrigar silenciosamente o governo do Reino Unido. Você pode ter visto manchetes que A Apple obteve acesso à nova proteção de dados avançada (ADP) para usuários do Reino Unido. Isso parece ser O próximo passo de anti-conformidade com a nova regra do Reino Unido.
A lógica aqui parece ser que não oferecer nenhum sistema de backup criptografado de ponta a ponta para usuários do Reino Unido é uma escolha melhor do que alegar oferecer um sistema que realmente contém um backdoor. Isso é duplamente verdadeiro, pois a lei em questão não parece se limitar aos usuários do Reino Unido. Se o governo do Reino Unido não recuperar suas demandas extremamente questionáveis, o próximo passo importante pode ser para a Apple retirar as vendas do país completamente.
Assalto criptográfico
Temos um par de histórias de assalto criptográfico esta semana, com o primeiro sendo o maior da história. Em um impressionante US $ 1,5 bilhão, esse parece o maior roubo de qualquer tipo que já seja realizado com sucesso. E os detalhes de como foi feito ainda são um pouco obscuros. Os fundos foram roubados de uma carteira fria “multisig” de bybit. Esses são lojas de moeda inteligentes que realmente incluem contratos inteligentes no mecanismo de armazenamento, exigindo que vários proprietários assinem transações.
Acredita -se que esse hack tenha sido retirado por agentes norte -coreanos, através do uso de técnicas muito inteligentes, mas simples: engenharia social e manipulação da interface do usuário. Em essência, um pedido de assinatura digital que alegava fazer algo benigno, que realmente desbloqueou os fundos de roubo. Algumas coisas nunca parecem mudar.
E isso não é tudo o que está acontecendo com a criptomoeda hoje em dia. Acontece que Há outro ataque de simple morto que está visando indivíduos que buscam empregoem vez de grandes empresas. “Podemos ter um emprego para você, ir a este site e executar este aplicativo para se inscrever!” Em vez de um aplicativo legítimo de videoconferência ou entrevista, o download é um backdoor simples. É usado principalmente para encontrar carteiras criptográficas e desviar os fundos.
Murado
Lembrar Heartbleed? Essa é a falha no OpenSSL de 2014, onde a implementação do batimento cardíaco do TLS pode vazar trivialmente grandes quantidades de memória do sistema. Walleded é um bug estranhamente semelhante Na implementação do grande sistema de firewall chinês. Uma maneira de o grande firewall faz a censura é via injeção de DNS. Solicite as informações do DNS para um domínio bloqueado e o firewall interceptará essa solicitação em tempo real e retornará uma resposta falsificada com um endereço IP falso para o domínio solicitado. Importante para esta discussão, essa falsificação é bidirecional. Você pode enviar solicitações DNS para endereços IP chineses e obter respostas falsificadas do Great Firewall.
Os pacotes de solicitação e resposta DNS usam um sistema de transporte de comprimento variável interessante, onde o nome de domínio solicitado é transformado em um conjunto de pares de valor de comprimento. example.com é representado como 07example03com00. 7 bytes para o domínio, depois 3 bytes para o TLD e um nulo de terminação. Muitos de nós estão se perguntando imediatamente, o que acontece se essa consulta foi embalada incorretamente: 07example20com00? Na verdade, não existem 20 bytes na consulta, então o que vários respondentes do DNS fazem quando entregaram essa consulta? Os servidores DNS bem escritos reconhecem que isso é lixo e apenas solte o pacote. Algumas das grandes infraestruturas de firewall fizeram algo muito mais interessante. Ele falsifica a resposta do DNS e executa uma leitura excessiva de buffer ao construir a resposta. Sim, vazando alguns bytes de memória do sistema bruto de volta ao solicitante, à la Heartbleed.
E quando dizemos “alguns bytes”, o vazamento máximo observado em uma única resposta falsificada foi de 125. Como você pode imaginar, isso é um pouco de dados. Dados suficientes, de fato, para aprender um pouco sobre o grande firewall e que tipo de tráfego ele vê. Havia também o que parecia ser x86_64 ponteiros e quadros de pilha Linux.
Esse ataque foi descoberto pela primeira vez pelos pesquisadores em 2021 e finalmente corrigido completamente em março de 2024. No tempo intermediário, esses pesquisadores usaram a vulnerabilidade bastante para extrair a grande infraestrutura de firewall para dados. Esta é uma questão ética interessante. Normalmente, é considerado completamente inaceitável para armar uma vulnerabilidade além do que é necessário como prova de conceito. O grande firewall é, de certa forma, um dispositivo adversário, tornando a exploração um pouco mais escurra. Por outro lado, vulnerabilidades como essa geralmente são divulgadas para consertá -las. Qual é a responsabilidade de um pesquisador neste caso, quando a vulnerabilidade está em um dispositivo de censura? Parece que as autoridades chinesas descobriram a própria vulnerabilidade murcha, desculpando os pesquisadores de precisar responder completamente a essa pergunta ética em particular.
Bits e bytes
Não é surpreendente abrir um dispositivo eletrônico e encontrar um globo feio de composto de envasamento espalhado por um ou vários dos chips de chave dentro. Ou para alguns dispositivos, o complexo é onipresente, cobrindo tudo. [Graham Sutherland] tem Alguns pensamentos sobre como derrotar as coisas. E embora alguns sejam óbvios, como usar uma prensa para expor cuidadosamente uma interface de destino, existem algumas idéias realmente inventivas que eu nunca teria considerado, como jogar uma tábua inteira em uma panela de pressão por uma hora!
Quanto tempo leva para um criminoso cibernético ir do acesso inicial em uma máquina interna, ao acesso total a um computador privilegiado? No caso Reliaquest, Foram 48 minutos. O hack foi simples e inteligente. Comece uma campanha em massa de spam e phishing e pose como um trabalhador útil de TI que poderia ajudar a acabar com a carnificina. Só é preciso um funcionário para se apaixonar pela rotina falsa de suporte e 48 minutos.
Digamos que você queira piratear músicas de um serviço de streaming como Deezer, mas você realmente não queria seu endereço IP ou máquina associada à pirataria. O que você faria? Usar tor? VPNs? Que tal Crie um pacote Pypi malicioso que faça o seu download para você. Esse parece ser o caso bizarro de automslcum pacote razoavelmente popular que secretamente baixa e raspa da plataforma musical.
