Sélectionner une page


Nous commençons cette semaine sur une note sombre Dan Kaminsky est décédé alors qu’il n’avait que 42 ansd’acidocétose diabétique. Dan s’est fait un nom en découvrant une vulnérabilité de vérification de réponse DNS qui pourrait permettre aux attaquants d’empoisonner le cache du résolveur DNS d’une cible. Une attaque théorique était connue dans laquelle des réponses DNS falsifiées pouvaient entrer en collision avec des demandes. Cependant, les valeurs de durée de vie signifiaient que les requêtes DNS ne s’exécutaient qu’une fois toutes les huit heures environ. La percée a été réalisée que la restriction TTL pourrait être contournée en demandant des sous-domaines falsifiés et en ciblant les réponses contrefaites à ces demandes. Cette technique simple a transformé une attaque théorique qui durerait 87 ans en une attaque très réelle de 10 secondes. Regardez la vidéo d’après-pause où Dan a parlé de ses efforts pour résoudre le problème.

Le travail le plus impressionnant est peut-être le nombre de fournisseurs et de mainteneurs différents qu’il a convaincus de travailler ensemble tout en gardant la vulnérabilité secrète. En raison de la gravité du problème, il a été décidé d’attendre encore 30 jours après la publication du correctif coordonné pour publier les détails. Il a fallu 13 jours pour que la vulnérabilité fuit, mais cela a tout de même laissé au monde suffisamment de temps pour éviter les problèmes majeurs.

Tout au long de sa vie, Dan a toujours eu une mentalité qui inspire les autres. La moitié de la raison pour laquelle nous avons DNSSEC aujourd’hui est le lobbying persistant de Dan dans les coulisses. Il était une force pour toujours et un hacker-hacker.

L’Université du Minnesota bannie de Linux

Une histoire s’infiltre depuis un certain temps et y a finalement conduit une interdiction totale des correctifs du noyau soumis par quiconque à l’Université du Minnesota. Ce mouvement extrême est le résultat de mauvais correctifs connus envoyés pour inclusion dans le noyau. L’idée originale était de tester si le noyau est vulnérable à un mauvais acteur envoyant un patch malveillant déguisé en correctif. Un papier a été écrit à propos du test. Vos suggestions de correctifs n’inspirent pas confiance, d’autant plus qu’elles recommandent d’abord un ajout au code de conduite d’un projet et promettent de ne pas diffuser de code malveillant.

Le document a été publié en 2020, mais l’interdiction n’est entrée en vigueur qu’il y a plus d’une semaine. Pourquoi? Des mois après le traitement du premier incident, des correctifs suspects reviendront de la même université. L’explication était que ces nouveaux correctifs étaient générés par un nouvel outil d’analyse de code, mais ils semblaient introduire de nouveaux bogues au lieu de les corriger. Greg KH a appelé que suffisamment de temps avait été perdu à maintenir les correctifs et a annoncé l’interdiction. Mes opinions sont partagées. Il y a une certaine utilité à tester la communauté du noyau contre ce type d’attaque, mais cela semble aussi être le bon appel pour abandonner le marteau sur un mauvais comportement répété.

La fin d’Emotet

Emotet a été décrit par Europol comme « le malware le plus dangereux au monde ». Les estimations du DOJ américain 1,6 million de machines faisaient partie de ce botnet, mais grâce à une action policière mondiale, ce n’est plus. Notez le nombre de serveurs C2 (Command and Control) qui doivent être présents pour avoir une idée de la taille du processus avec lequel Emotet doit être arrêté numéroté hors ligne numéroté par centaines. Les forces de l’ordre ont neutralisé le botnet, mais le problème était toujours que le logiciel malveillant était toujours installé et fonctionnait sur des ordinateurs du monde entier.

La solution était d’héberger un certain nombre de serveurs C2 qui rendaient un nouveau module accessible à toute personne infectée. Le 25 avril, ce module de désinstallation a supprimé les hooks d’exécution automatique et a arrêté tous les processus Emotet sur chaque ordinateur infecté. Ce processus semble s’être bien déroulé, mais les nettoyages sont toujours en cours. En fait, 4,3 millions d’adresses e-mail ont été collectées sur des ordinateurs infectés et retrouvées sur les serveurs saisis. Les forces de l’ordre ont fait équipe avec notre vieil ami [Troy Hunt] par HIBPet ces e-mails font désormais partie de la base de données de ce service.

Ransomware

Les nouvelles sur les ransomwares ont été chargées pendant deux semaines. Apple en a un 50 millions de dollars de demande de ransomware. Acer fait également face à une demande similaire du même groupe, REvil. Dans le cas d’Apple, la véritable brèche semble s’être produite dans les systèmes de Quanta, l’un des fournisseurs d’Apple. Il a été suggéré que REvil utilise les dernières vulnérabilités de Microsoft Exchange pour accéder aux réseaux cibles.

Les appareils QNAP ont également été durement touchés. Nous avons cependant corrigé certaines des vulnérabilités Les programmes de ransomwares frappent activement les périphériques NAS non corrigés exposés à Internet. Qlocker est une attaque qui se distingue par sa simplicité. Les attaquants ont simplement exécuté une commande à distance en utilisant 7zip pour générer des archives protégées par mot de passe et il semble qu’ils aient fait près de 300 000 $ en seulement une semaine d’offres malveillantes. Un héros a émergé de l’histoire quand [Jack Cable] a essayé d’aider un ami à récupérer des données et a découvert une faille de sécurité dans le système de paiement criminel. L’utilisation de l’ID de transaction, mais avec un caractère décalé en majuscules, suffisait à dérouter le système quant à l’abandon de la clé de déchiffrement. Environ 50 victimes ont récupéré leurs données grâce à cette astuce avant d’être capturées et réparées.

Le secret des adresses IPv4 du Pentagone

Le Washington Post a commencé à rendre compte d’une histoire de développement unique. Des millions d’adresses IPv4 inutilisées attribuées par le département américain de la Défense étaient soudainement mis en déroute pour la première fois. (Attention au paywall, bien que la désactivation temporaire de Javascript puisse vous aider à lire l’histoire liée.) L’histoire joue un grand rôle dans le timing car le routage sort dans les quelques minutes entre la prestation de serment d’un président et la fin réelle semble être le administration précédente. Ma première réponse a été la contrariété que la politique soit entrée dans ce qui était probablement une histoire de sécurité simple. Il semblait que le Post essayait de proposer une histoire sensationnelle. Mais le moment était vraiment étrange. Alors que se passe-t-il ici?

Commençons par vérifier le contexte. Le monde est à court d’adresses IPv4 – selon la façon dont vous les comptez, elles peuvent avoir été épuisées. Bien qu’ils aient tous été attribués techniquement, dans les premiers jours d’Internet, de très gros blocs d’adresses ont été attribués et n’ont jamais été pleinement utilisés. Un réseau de classe A compte 16 millions d’adresses qui ont été jetées comme des bonbons au début, et le DoD en a plusieurs. La prochaine chose à noter est que le Congrès a eu l’idée de forcer le ministère de la Défense à vendre ses adresses IP inutilisées. Lorsque l’offre est épuisée, les adresses IPv4 inutilisées peuvent atteindre un prix assez élevé sur le marché libre. Le dernier détail notable est que, simplement parce que rien n’utilise activement une adresse IP, le trafic réseau est toujours adressé vers et à partir de là. Divers vers et scanners réseau analysent en permanence l’intégralité de l’Internet, et les attaques DDoS utilisent généralement des paquets UDP avec des adresses sources aléatoires. Les sondes et le trafic de réponse peuvent être une source précieuse d’informations en temps réel sur ce qui se passe sur Internet.

Il y avait Faire des rapports maintenant par des voix plus informéeset même une réponse cryptique du DoD. Le consensus croissant semble être un trio d’explications de ce qui se passe. Le premier est le plus simple. Le squat IP est connu pour se produire. Si personne n’annonce les routes BGP (Border Gateway Protocol) pour une plage IP, il est beaucoup plus facile d’utiliser des adresses illégalement. En revendiquant les adresses IP via BGP, le DoD protège ces adresses IP. Deuxièmement, si vous pouvez affirmer valablement que vous utilisez ces ressources, il est beaucoup plus facile de vous défendre contre un Congrès désireux de dépouiller des ressources. Enfin, il semble qu’une partie du DoD effectue une analyse du bruit de fond Internet et de la rétrodiffusion reçus de l’espace réseau autrement inutilisé.

Il y a une dernière question: pourquoi le projet a-t-il démarré dans les dernières minutes d’une administration? Était-ce une sale conspiration? Improbable. Un projet de cette envergure prendrait un certain temps pour passer de l’idée initiale à la mise en œuvre et devrait probablement être approuvé par une administration de haut niveau. Bien que je ne sache pas pourquoi le changement a été lancé aussi tard qu’il l’a été, je trouve très probable que s’il avait été plus tard, une grande partie de la paperasse aurait dû être réduite une deuxième fois et la nouvelle administration devrait le faire. il se déconnecte.

Bogue du noyau de Drupal

Nous gérons les bogues dans les extensions Drupal, les plugins WordPress et les add-ons Joomla. Ce qui est assez rare, c’est une vulnérabilité de sécurité majeure dans le code de base de l’un de ces projets. Cela ne veut pas dire que cela n’arrivera pas. Un exemple typique: Drupal a une vulnérabilité de script intersite dans son code de base. XSS est généralement présenté comme un moyen pour un utilisateur d’ajouter du Javascript dans un commentaire qui s’exécutera lorsque d’autres utilisateurs visitent le site. Cela peut être si inoffensif qu’un utilisateur devient soudainement le compte le plus d’amis sur myspace, ou aussi malveillant qu’un commentaire qui rend le commentateur administrateur lorsque le propriétaire du site Web tente de modérer le commentaire inclus. Peu de détails sont encore disponibles sur ce sujet, mais assurez-vous que vos installations Drupal sont à jour.

Nouvelle vieille porte dérobée Linux

La semaine dernière, Un peu de malware Linux a été découvertet a ensuite été retrouvé dans un dossier de 2018. Surnommé Rota Jakiro, Cette porte dérobée utilise une poignée de techniques pour éviter la détectionB. passer par des méthodes de cryptage lors du contact avec les serveurs de commande et de contrôle. C’est un peu ennuyeux de savoir que ça fait si longtemps sans que personne ne s’en aperçoive jusqu’à présent. Heureusement, il existe quelques indicateurs de compromis simples (IoC), comme une paire de noms de fichiers, et quatre sommes MD5 possibles pour ces fichiers. J’ai pensé qu’il serait intéressant de documenter le processus de numérisation d’un système pour ces fichiers.

Ma première pensée fut une simple combinaison de find pour lister tous les fichiers du système, puis grep recherchez le nom du fichier.
sudo find / | grep systemd-daemon

Nous pouvons améliorer cela en nous débarrassant de cela grep Command, depuis find a intégré la correspondance de nom. Nous utilisons pour les points bonus xargs pour aller de l’avant et calculer la somme md5 lorsqu’un fichier correspondant est trouvé.

sudo find / -name "gvfsd-helper" -o -name "systemd-daemon" | xargs md5sum

Un problème potentiel existe lorsque les noms de dossier contiennent des espaces ou d’autres caractères spéciaux. xargs verrait les caractères spéciaux comme une pause entre les entrées. Heureusement tous les deux find et xargs ont un mode délimité par zéro dans lequel les caractères spéciaux sont préservés. Les crochets masqués sont obligatoires pour indiquer que le -print0 L’indicateur s’applique aux deux modèles de nom spécifiés.

sudo find / ( -name "gvfsd-helper" -o -name "systemd-daemon" ) -print0 | xargs -0 md5sum

J’ai montré ce one-liner et je m’en suis immédiatement rappelé find a aussi un -exec Drapeau qui utilise xargs superflu.

sudo find / ( -name "gvfsd-helper" -o -name "systemd-daemon" ) -exec md5sum {} ;

Cela nous donne donc un simple one-liner qui calcule le md5sum un fichier avec un nom de fichier suspect. Si vous obtenez une correspondance, comparez les valeurs de sortie aux IoC connus. Espérons qu’aucun de nous ne trouvera ce mal sur nos systèmes, mais en sachant mieux.



Source link

Recent Posts