Esta semana en seguridad: vandalismo de NPM, simulación de reinicio y más

Hemos cubierto algunas historias de malware que se infiltran en la NPN y otros repositorios de JavaScript. Esto es un poco diferente. Esta vez, un programador de JS destrozó sus propios paquetes. Ni siquiera es malware, ¿tal vez deberíamos llamarlo protestware? Los dos paquetes, colors y faker ambos son populares, con una descarga semanal combinada de casi 23 millones. su autor, [Marak] agregó una actualización de descanso para cada uno de ellos. Estas bibliotecas ahora imprimen un encabezado de LIBERTY LIBERTY LIBERTY, y luego caracteres aleatorios o arte ASCII muy malo. Se confirma que no se trataba de un atacante externo, sin embargo [Marak] rompiendo sus propios proyectos a propósito. ¿Por qué?

Parece que esta historia comienza a finales de 2020, cuando [Marak] Perdió bastante en un incendio y tuvo que pedir dinero en Twitter. Dos semanas después, tuiteó que se habían hecho miles de millones fuera del trabajo de los desarrolladores de código abierto, citando la fuga de FAANG. FAANG es una referencia a las cinco principales empresas tecnológicas estadounidenses: Facebook, Apple, Amazon, Netflix y Google. El mismo día, abrió un tema de Github para faker.js, emitiendo un ultimátum: “Aprovecha esto como una oportunidad para enviarme un contrato anual de seis dígitos o desembolsar el proyecto y que alguien más trabaje en él”.

Si te encuentras sintiendo pena por ti mismo [Marak], queda un surco para doblar. No hizo un código para colors.js desde febrero de 2018. Otro desarrollador, [DABH] ha estado haciendo mantenimiento desde entonces, hasta que ocurrió el vandalismo. Dicho esto, es un desastre. Ambos proyectos de NPM se han devuelto a sus ediciones intactas y es probable que se entreguen a las bifurcaciones oficiales de los proyectos.

CV simulados

La sabiduría común es que, si bien hay varios kits de malware para iOS producidos por el grupo NSO, esta aplicación maliciosa en realidad no puede superar el lanzamiento seguro de Apple, por lo que un reinicio del teléfono es suficiente para “desinstalarlo”. El problema con esto es obvio una vez que lo escuchas: confías en un dispositivo comprometido para realizar un reinicio limpio. Los investigadores de ZecOps han demostrado la capacidad de interrumpir el proceso de reinicio en lo que llaman NoReboot. Su código se adhiere a la función de parada y, en cambio, elimina la interfaz de usuario. Una vez que se presiona nuevamente el botón de encendido, se muestra el inicio y, finalmente, un comando conveniente del sistema reanuda el espacio del usuario. Mira el demonio insertado a continuación.

No hay problema, ¿verdad? Simplemente use la función de reinicio de energía del dispositivo. Sube el volumen, baja el volumen, luego mantén presionado el botón de encendido hasta que obtengas el logotipo de Apple. ¿Cuánto tiempo lo guardas? Hasta que aparece el logotipo, correcto, es trivial fingir un reinicio forzado antes de que ocurra el real. De acuerdo, para saber que está recibiendo un reinicio real, simplemente extraiga la batería … Oh.

por El Registro.

Microsoft hackea MacOS

MacOS tiene una característica llamada Transparencia, Consentimiento y Control (TCC), que maneja los permisos para programas individuales. Este sistema impide que la aplicación de la calculadora acceda a la cámara web del sistema, por ejemplo. La configuración se almacena en una base de datos almacenada en el directorio de inicio, con controles estrictos que impiden que las aplicaciones la modifiquen directamente. Microsoft ha anunciado la vulnerabilidad de Powerdir, que combina una serie de rarezas para superar la protección. La operación es simple: cree una base de datos TCC falsa y luego cambie el directorio de inicio del usuario para que la base de datos falsa ahora esté activa. Es un poco más complicado que eso, porque una aplicación aleatoria realmente no debería poder reasignar el directorio de inicio.

Encontraron dos técnicas para hacer que la reasignación funcionara. Primero están los servicios de directorio binario, dsexport y dsimport. Si bien cambiar el directorio de inicio directamente requiere acceso de root, este baile de exportación/importación se puede realizar como un usuario sin privilegios. La segunda técnica consiste en proporcionar paquetes maliciosos al configd binary, que realiza un ataque de inyección de código. Es interesante ver que Microsoft continúa realizando investigaciones de seguridad dirigidas a MacOS. Su motivación puede ser menos que noble, pero realmente ayuda a mantener todos nuestros dispositivos más seguros.

QNAP y UPnP

Hemos cubierto muchas vulnerabilidades de NAS a lo largo de los años, y me he dado cuenta varias veces de que realmente no es aconsejable exponer dichos dispositivos a Internet. Una de las explicaciones propuestas fue UPnP, y hoy tenemos confirmación oficial de que esto es parte del problema. En un nuevo consejo, QNAP recomienda oficialmente deshabilitar UPnP en los dispositivos QNAP. Parece que esto debería haberse recomendado hace mucho tiempo, o más bien, estos dispositivos se enviaron con UPnP deshabilitado de forma predeterminada. Iría un paso más allá y sugeriría deshabilitar la función en su enrutador también, a menos que sepa que realmente la necesita para algo.

Si recibe un disco USB por correo…

¡Por el amor de Dios, no lo presiones! Parece que algunas empresas no han recibido esta nota, ya que ha habido una exitosa campaña de ransomware de FIN7 utilizando solo este enfoque. El truco es que incluyen una carta de apariencia oficial, y posiblemente una tarjeta de regalo, tentando al receptor a conectar la unidad USB para reclamar su recompensa de lealtad. Una campaña de 2020 del mismo grupo parodió Best Buy, que afirma ser de Amazon o HHS.

Es posible que haya notado que estas unidades flash son más que solo almacenamiento flash. De hecho, parecen ser dispositivos BadUSB: pequeños chips que se registran como dispositivos HID y envían pulsaciones de teclas a la computadora. Una vez insertados, abren Powershell y ejecutan un script malicioso, dando acceso remoto a los atacantes. Si recibe uno de estos, o un ataque similar, llame al FBI oa su contraparte local. Los informes de empresas y particulares son los que conducen a una advertencia como esta.

Actualizaciones notables

Se eliminó la primera ronda de actualizaciones de Android para este año y es un problema importante que afecta a muchos dispositivos con Qualcomm Snapdragon. CVE-2021-30285 es una vulnerabilidad crítica evaluada en el software de código cerrado de Qualcomm. Se llama “Validación no válida del núcleo en el núcleo”, pero parece haber un problema de administración de memoria en el hipervisor de Qualcomm. Tiene una calificación de 9.3 en la escala CVSS, pero no hay más detalles disponibles en este momento.

Los productos de virtualización de VMWare se han parcheado contra CVE-2021-22045, una vulnerabilidad de redundancia masiva en su código de dispositivo de CD-ROM virtual. La explotación podría dar lugar a la fuga de VM y la ejecución de código arbitrario en el hipervisor de la máquina, en el peor de los casos para los operadores de VM. El defecto tiene una calificación de 7.7 y, afortunadamente, debe haber una imagen de CD conectada activamente a la máquina, por lo que la solución es bastante fácil: simplemente retire la unidad de CD o la imagen.

  • Dan dice:

    Entonces… si estás haciendo un reinicio forzado de iOS, mantén presionado el botón durante un minuto o más, ¿lo suficiente para forzar un reinicio?

  • mkomarinski dice:

    Lo diré: no culpo al desarrollador. Culpo a NPM por usar un método tan inseguro para actualizar paquetes y por los usuarios que extraen código de github a ciegas. Casi todas las distribuciones de Linux reconocieron este problema desde el principio y tienen sus propios reenvíos que rastrean el flujo ascendente pero no los extraen ciegamente.

  • Jan Praegert dice:

    Simplemente agregue una línea a su archivo de licencia “Si gana más de € 200,000 / (año || una vez) de su trabajo e incluye mi trabajo en su trabajo, tiene que pagarme”.

Miguel Vidal
Miguel Vidal

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *