Esta semana en seguridad: hacktivismo geopolítico, minería de antivirus y malware de Linux

Los piratas informáticos de la CIA han lanzado una especie de campaña de ransomware contra el sistema ferroviario bielorruso, pero en lugar de criptomonedas, quieren la liberación de los presos políticos y la eliminación de los soldados rusos. Esto podría llamarse un ejemplo de terrorismo cibernético, aunque existe una teoría aceptable de que se trata de un hack subvencionado por el estado disfrazado de hacktivismo. Lo que sí parece seguro es que algo ha interrumpido el tráfico ferroviario y un grupo en Twitter produjo pruebas convincentes de una violación.

Su antivirus ahora incluye CryptoMiner

No mire ahora, pero su última actualización de Norton 360 o Avira puede haber instalado un módulo de minería de criptomonedas. El lado positivo es que se ha conservado cierta prudencia, y debe elegir el esquema criptográfico antes de que su máquina comience a gastar sus ciclos libres para la minería. Para los usuarios que lo hacen, se los coloca en un grupo de minería, lo que les otorga pequeños pagos por la mayoría del hardware. Norton, por supuesto, cobra una tarifa del 15% de la parte superior por su problema.

El estado del malware de Linux

Anteriormente, había un dicho que decía que las máquinas Linux no se estropean. Eso nunca fue realmente cierto, pero la continua conquista del panorama de los servidores tuvo el efecto secundario de hacer que el malware de Linux fuera un peligro aún mayor. Crowdstrike ha visto un aumento del 35 % en el malware de Linux en 2021, con tres categorías separadas a la cabeza: XorDDoS, Mozi y Mirai.

PwnKit

Y hablando de Linux, se acaba de anunciar una vulnerabilidad de Linux bastante grave y ya se ha lanzado un exploit funcional. El problema es simple en el Polkit binario, que para este propósito puede ser considerado como un sudo alternativa. La parte importante es que es un binario setuid, uno que eleva sus propios privilegios a root cuando lo ejecuta un usuario sin privilegios. "Ahora espera", te escucho decir, "¡Eso suena como un terrible problema de seguridad!" Puede ser cuando sale mal. Pero la simple verdad es que hay ocasiones en las que un usuario necesita tomar medidas que, de lo contrario, requerirían privilegios de root. un ejemplo sencillo ping, necesita abrir un socket de red sin formato para trabajar. Estos binarios están cuidadosamente diseñados para permitir solo acciones limitadas, pero a veces un error le permite escapar de este "cajón de arena".

Entonces, cuál es la historia pkexec? NULO argv. Muy bien, programación Linux 101 veces. Cuando se inicia un programa en Linux, salta dos parámetros, generalmente llamados argc y argv. Estos son un número entero y una serie de encantos respectivamente. Si no es un programador, piense en ello como el número de argumentos y la lista de argumentos. Esta información se utiliza para analizar y manipular las opciones de la línea de comandos dentro del programa. argc siempre hay al menos uno, y argv[0] siempre contendrá el nombre del binario tal como se ejecuta. Además, no siempre es así. Hay otra forma de lanzar binarios, usando el execve() función. Esta función permite al programador especificar la lista de argumentos directamente, incluido el argumento 0.

Entonces, ¿qué pasa si esa lista es solo NULL? Si se escribió un programa para dar cuenta de esta posibilidad, ¿cómo sudoentonces todo está en orden. pkexecsin embargo, no incluye un cheque en blanco argv o un argc de 0. Actúa como si fuera un argumento para leer, y cuando el programa se inicia en la memoria, en realidad se acerca a la primera variable de entorno y la trata como un argumento. Comprueba la RUTA del sistema en busca de un binario compatible y vuelve a escribir lo que cree que es una lista de argumentos, pero en realidad es la variable de entorno. Esto significa que el texto no controlado se puede inyectar como una variable de entorno dentro pkexecel programa setuid.

Eso es interesante, pero no inmediatamente útil, porque pkexec limpia sus variables de entorno poco después de que se produzca la inyección. Entonces, ¿qué tipo de truco podríamos usar para explotar esto realmente? Lanzar un mensaje de error. pkexec utilizará el gconv una biblioteca común para imprimir un mensaje de error, y comienza a buscar el gconv-modules archivo de configuración. Este archivo define qué archivos de biblioteca específicos abrir. La variable de entorno GCONV_PATH se puede usar para especificar un archivo de configuración alternativo, pero esta variable de entorno está bloqueada mientras se ejecuta un binario setuid. Ah, pero tenemos una forma de inyectar una variable de entorno después de que eso suceda. Esa es la explotación. Prepara un payload.so que contiene nuestro código arbitrario, false gconv-modules archivo que apunta a la carga útil, y luego use la matriz NULL argv para inyectar el GCONV_PATH Variable ambiental. ¿Quién soy? Raíz.

Hay algunos giros fascinantes en esta historia. Primero, [Ryan Mallon] estuvo dolorosamente cerca de descubrir esta vulnerabilidad en 2013. Y en segundo lugar, en 2007, [Michael Kerrisk] informó el NULL argv una cosa extraña como un error del kernel de Linux.

Atacar contraseñas aleatorias

La contraseña más segura es la que se genera aleatoriamente, ¿verdad? Sí, pero ¿y si ese generador aleatorio no es tan aleatorio como parece? Esta vez no estamos hablando de puertas traseras intencionales, sino de patrones aparentemente insignificantes que a veces marcan una gran diferencia. La máquina de rompecabezas, al final, se descifró en parte porque nunca codificaría una letra como ella. [Hans Lakhan] de TrustedSec analizó un millón de contraseñas generadas por LastPass e intentó generalizar algo útil a partir de los datos. La mayoría de estas contraseñas tienen 1 o 2 dígitos. Tenga en cuenta que esto no es una debilidad en el algoritmo, sino simplemente el resultado esperado de los caracteres disponibles. ¿Sería una ventaja usar contraseñas de fuerza bruta con la regla de que cada intento debe contener uno o dos dígitos? Ciertamente reduciría el espacio de ataque, pero también faltarían contraseñas que no coincidan con el patrón. ¿Valdría la pena el compromiso?

La respuesta no es clara. En ciertas circunstancias, se puede obtener una pequeña ventaja al usar las reglas propuestas. Pero esa ventaja desaparece a medida que continúa el proceso de fuerza bruta. De todos modos, al menos no bajé sin explicarme primero.

Temas de WordPress y Backdoor-ed

Uno de los mayores productores de temas y complementos de WordPress, AccessPress, ha sufrido una violación de su sitio web, que ha dado un giro desagradable. El problema fue descubierto por investigadores de Jetpack, quienes lo hicieron póstumamente desde un sitio web comprometido diferente y encontraron malware incrustado en un tema de AccessPress. El bloqueo inicial ocurrió en septiembre de 2021, así que tenga cuidado con cualquier contenido de AccessPress si lo descargó entre septiembre y mediados de octubre de 2021. Tenga en cuenta que si se instala desde la carpeta WordPress.org, estos temas son seguros. Una lista de temas y complementos infectados conocidos está disponible en el enlace anterior, así como otros indicadores de compromiso.

Bits y Bits

Hay otro token secreto que se revela accidentalmente en el código fuente, el token de acceso a Twitter. Github ya realiza un escaneo automático de las credenciales incluidas aleatoriamente en los depósitos, pero esto no incluye los tokens de Twitter. [IncognitaTech] escribió un escáner rápido y encontró alrededor de 9,500 tokens válidos. (Inserte más de 9000 memes aquí). ¿Cómo informa a tantas personas sobre el problema? Crea un robot, tuitea y luego usa los tokens para retuitear. Eso definitivamente llamará la atención.

Si no recuerda haber retuiteado esto, significa que ha filtrado su token de acceso de Twitter a un repositorio público de GitHub. No es la mejor práctica, ¿verdad?
Para más detalles, lea nuestro último artículo: https://t.co/6WBC6DRNDS #InfoSec #La seguridad cibernética #GitHub

- PiñataHub_Bot (@PinataHub_Bot) 24 de enero de 2022

El hardware de la serie Sonicwall SMA 100 tiene una serie de vulnerabilidades que ahora se han parcheado y expuesto. Lo peor es un desbordamiento de búfer no autenticado, con una calificación de CVSS de 9.8. Estos dispositivos son relativamente populares para las pequeñas empresas, así que esté atento a hardware potencialmente vulnerable y parcheelo si puede.

Crypto.com sufrió un bloqueo el 17 de enero. Inicialmente minimizaron el incidente, pero luego emitieron un comunicado con más detalles. El ataque fue una omisión de autenticación de dos factores, lo que permitió a un atacante iniciar transacciones sin completar con éxito el proceso 2FA normalmente requerido. Afirman que detectaron el problema lo suficientemente temprano como para evitar cualquier pérdida real de moneda, lo que en realidad es bastante impresionante.

Google Chrome ha lanzado una actualización, y esto incluye correcciones para algunos errores costosos. Seis informes separados ganaron a los investigadores más de $ 10,000 por pieza, con los dos primeros dulces $ 20K. Estos seis, así como un séptimo error informado internamente, parecen tener el potencial de ser bastante serios, ¡así que actualiza!

Y finalmente, en la categoría de cosas que no terminarán bien, Gran Bretaña está coqueteando con la idea de regular a los investigadores de seguridad, convirtiendo la investigación de seguridad en un negocio registrado. La parte más crítica de este esquema es la idea de que cualquier investigador no registrado podría estar sujeto a cargos criminales en ciertas circunstancias. Esto parece una idea terrible por razones obvias.

  • Víctor dice:

    Gracias a Dios nunca actualizo mi antivirus, solo la base de datos.

  • tekkieneet dice:

    Hace años hubo una mina de virus criptográficos e instalar un antivirus para prevenir otros. ¿Por qué molestarse en pagar por Norton 360? / s
    Norton 360 debe identificarse oficialmente como un virus.

Gloria Vega
Gloria Vega

Deja una respuesta

Tu dirección de correo electrónico no será publicada.