Il existe une nouvelle race de malwares ciblant macOS. Moineau argentéet c’est inhabituel pour plusieurs raisons. Tout d’abord, c’est l’un des rares composants malveillants ciblant les nouveaux processeurs M1 ARM64. Pour rappel, il s’agit du nouveau design interne en silicone d’Apple. C’est inhabituel pour une deuxième raison – cela ne fait rien. Plus précisément, pendant que les chercheurs observaient, l’infrastructure de commande et de contrôle ne livrait aucune charge utile. Silver Sparrow a été trouvé positif sur près de 30 000 machines.

Le logiciel malveillant dispose également d’un kill switch intentionnel où la présence d’un fichier spécifique déclenche la suppression complète du package malveillant. Les chercheurs de Red Canary soulignent que ce package se comporte très bien comme un programme légitime difficile à identifier en tant que logiciel malveillant. Ars Technica a reçu une déclaration confidentielle d’AppleCela indique qu’ils suivent la situation et ont révoqué le certificat de développeur utilisé pour signer le malware. Il n’est pas tout à fait clair si cela empêchera le malware de s’exécuter sur des ordinateurs déjà compromis ou si cela arrêtera simplement de nouvelles infections.

Alors, qui est derrière Silver Sparrow? Le mode furtif observé et d’autres complexités suggèrent qu’il s’agit de plus qu’une simple campagne de logiciels publicitaires ou de ransomwares. Puisqu’il a été découvert avant la livraison de la charge utile, il se peut que nous ne sachions jamais quel est le but. Il peut s’agir d’une campagne créée par le gouvernement visant quelque chose en particulier.

VMware RCE

le Détails d’une vulnérabilité VMware ont été publiés cette semaine, et l’attaque m’a paru assez élégante. CVE-2021-21972 est une combinaison de deux problèmes. La première est que l’interface Web VMware expose un point de terminaison HTTP qui n’applique pas l’authentification utilisateur. L’une des fonctions de ce point de terminaison est de permettre à un fichier d’archive d’être téléchargé et extrait dans le fichier /tmp Annuaire. Le deuxième problème est que la fonction d’extraction n’a pas correctement nettoyé les noms des fichiers extraits. Il était donc possible de créer une archive avec une attaque transversale de chemin.

Ici, nous avons deux erreurs très simples qui, prises ensemble, permettent à un acteur totalement non authentifié d’obtenir facilement toute exécution de code sur l’ordinateur exécutant VMware. L’attaque fonctionne sur les serveurs Linux et Windows avec les variations d’implémentation attendues.

Dans un système de sécurité sans fil

Vous êtes-vous déjà demandé à quel point un système de sécurité domestique est sûr? [Nick Miles] et [Chris Lyne], un couple de chercheurs de Tenable, s’est posé la même question et a décidé de le faire Déchirez un système SimpliSafe et effacez tous ses secrets. Ils ont commencé avec des analyseurs logiques et ont même payé le décapage fonctionnel des puces pour restaurer le firmware.

Le processus étape par étape vaut la peine d’être lu, mais l’essentiel est que le système est relativement bien conçu. Chaque appareil possède une clé AES non modifiable, qui représente une cible qui ne serait pas disponible avec un échange de clés plus robuste.

Pour les curieux, [Nick] a fait une analyse détaillée d’un système d’anneau il y a quelques mois.

Attribution correcte des exploits, l’histoire de Jian

Je suis connu pour être quelque peu sceptique lorsqu’une attaque ou un exploit est attribué à une nation étrangère, mais aucune preuve réelle n’est présentée. J’ai attrapé une histoire cette semaine car c’est un merveilleux exemple de ce à quoi ressemble une cartographie correcte, sans parler d’un excellent exemple de déchiffrement d’un casse-tête de malware. Check Point Research a fait de nombreuses recherches sur un exploit utilisé par APT31, qui ferait partie du gouvernement chinois.

Il y a beaucoup trop de détails à entrer ici. Lisez l’article pour plus de détails, mais nous en couvrirons les faits saillants. Remarquer Lécher les courtiers de l’ombre, de retour en 2017? C’était une collection impressionnante de 0 jours largement reconnue comme étant produite par Equation Group, qui fait partie de la NSA. L’un des outils présentés dans ce lead était EpMe, utilisé par CVE-2017-0005. Jian, un exploit produit par APT31, ciblait également ce CVE et a probablement été créé en 2014.

Le point fort ici est que Checkpoint fait un argument très convaincant selon lequel ce n’était pas une coïncidence si les deux exploits ciblaient le même CVE, mais que l’exploit chinois était basé sur un échantillon collecté de l’outil produit par la NSA. Essentiellement, ils ont procédé à une ingénierie inverse de l’exploit et l’ont utilisé dans leurs propres opérations avant même que l’outil ne soit mis à disposition par les Shadow Brokers.

Partitionnement de l’état de Firefox

Autoriser les cookies intersitesMozilla a publié une nouvelle fonctionnalité de confidentialité: Partitionnement d’étatC’est une façon d’arrêter de manière autoritaire le suivi en ligne basé sur les cookies. Le concept est d’une simplicité trompeuse. Chaque domaine que vous visitez a son propre « pot de cookies ». De nombreux sites Web ont des iframes Facebook ou des images intégrées. Le partitionnement de l’état isole les cookies créés par chacun de ces iframes, ce qui signifie que votre navigateur est anonyme pour Facebook sur chacun de ces sites Web.

Hand in Hand est une nouvelle API qu’un site Web peut utiliser pour demander l’accès aux cookies inter-sites. Ceci est important pour les quelques utilisations qui nécessitent un accès pour des utilisations légitimes, telles que: B. Services d’authentification unique. Le partitionnement est actuellement désactivé par défaut et peut être activé via le paramètre strict « Advanced Tracking Protection ».

Comportement JSON indéfini

[Jake Miller] de L’évêque Fox Labs a écrit une excellente intro sur un sujet auquel je n’ai jamais pensé: les constructions JSON étranges et la façon dont différentes implémentations les gèrent. Un exemple vous aidera.



obj = {"test": 1, "test": 2}


Alors, quelle est la valeur de obj["test"]? C’est compliqué. Certains analyseurs JSON choisissent la première définition d’une clé tandis que d’autres choisissent la dernière. D’autres encore répondent par une erreur. Ce qui en fait un problème particulièrement sérieux, c’est que les mêmes données provenant de différentes implémentations peuvent être analysées en une seule transaction. L’exemple donné dans l’article montre une boutique en ligne dans laquelle le traitement des paiements est effectué par un tiers.

L’attaque fonctionne en manipulant l’objet JSON envoyé par le navigateur et en insérant une deuxième définition de valeurs pour la quantité d’articles achetés. L’entreprise elle-même voit la valeur plus élevée qui détermine les articles réellement expédiés. Le backend de paiement utilise un analyseur JSON différent qui voit la valeur la plus petite. Le backend prend en charge le traitement du paiement, de sorte que le montant calculé correspond à celui du montant le plus petit.

Cet article décrit les problèmes liés à Unicode non valide intégré dans JSON et à des paires de clés valides /*commented out*/et que se passe-t-il lorsque vous sérialisez à nouveau ces données bizarres? Un autre cas marginal intéressant est la manipulation de très grands nombres, où certains analyseurs renvoient 0, d’autres renvoient zéro, et certains renvoient une approximation en notation scientifique.

Dans l’ensemble, la désérialisation JSON est un gâchis. Il y a sûrement beaucoup de bogues difficiles à repérer dans les applications Web qui utilisent plusieurs analyseurs. L’auteur fait quelques recommandations à la fin de l’article. Plus important encore, les analyseurs généreront une erreur fatale sur certaines entrées JSON excentriques, plutôt que de renvoyer une estimation de la nature des données.



Source link

Recent Posts