Esta semana en seguridad: Intel Atoms Spill Secrets, ICMP Posons DNS y The Blacksmith

Intel ha anunciado CVE-2021-0146, vulnerabilidad en ciertos procesadores basados ​​en la arquitectura Atom, y el Trusted Platform Module (TPM) está en el centro del problema. El propósito del sistema alrededor del TPM es mantener la integridad del sistema incluso en el caso del acceso físico de un atacante, por lo que el disco duro está encriptado con una clave almacenada en un chip seguro en la placa base. El chip TPM contiene esta clave de cifrado y la proporciona durante el inicio. Cuando se combina con un arranque seguro, esta es una forma sorprendentemente efectiva de prevenir el abuso o el acceso a los datos, incluso en el caso del acceso físico. Es eficaz, al menos, cuando nada sale mal.

A principios de este año, cubrimos una historia en la que la clave de cifrado se podía oler directamente desde la placa principal, tachando los rastros que conectan el TPM a la CPU. Se ha señalado que TPM 2.0 puede cifrar la clave de cifrado del disco en las pistas, haciendo imposible este ataque.

Todo el modelo informático confiable se basa en la condición de que la propia CPU sea confiable. Esto se remonta al anuncio de Intel de que se podría habilitar un modo de depuración mediante acceso físico. En este modo inactivo, la clave principal de la CPU se puede eliminar, lo que lleva a un compromiso total. La clave de cifrado del disco se puede recuperar y el firmware sin firmar se puede cargar en Management Engine. Esto significa que los datos en el enclave de TPM y la clave de cifrado almacenada de TPM pueden verse comprometidos. El firmware actualizado se está extendiendo a través de los proveedores de placas base para abordar el problema.

Envenenamiento DNS por ICMP

En honor al fallecido Dan Kaminsky, volvemos a analizar el envenenamiento encubierto del DNS. Esta vez es una rareza de la pila web de Linux lo que permite el ataque. Este ataque se detalla en un artículo de un trío de la Universidad de California en Riverside.

El ataque DNS original usaba identificadores de consulta aleatorios y siempre hacía búsquedas DSN desde el puerto UDP 53. Simplemente enviaba una respuesta DNS falsa, y si la respuesta maliciosa llegaba antes que la válida, el solucionador aceptaba los datos falsos. Lo que hace que este ataque sea particularmente malo es que los solventes mantienen estos resultados para que muchos usuarios puedan recibir datos falsos. La solución fue aleatorizar tanto el puerto de origen (16 bits) como el ID de transacción (16 bits). Ninguna protección contiene suficientes bits para ser segura, pero el espacio combinado es suficiente para que los ataques de DNS no sean prácticos. Si uno de estos valores se pudiera determinar de forma independiente, el ataque podría volver a ser válido.

Este ataque abusa del error de fragmentación de ICMP. Cuando una máquina Linux recibe un mensaje de este tipo, se valida con las conexiones UDP activas. La solicitud debe contener la dirección IP y el puerto de origen y destino correctos. Si este conjunto de información coincide con un socket UDP abierto, se agrega una entrada a la caché de excepciones. Si un atacante puede detectar el cambio de estado de la caché de excepciones, puede usar paquetes ICMP para buscar sockets UDP abiertos, lo que permite que se descubra el puerto aleatorio de una búsqueda de DNS.

¿Cómo detecta exactamente ese cambio de estado? Solucionador de DNS como dnsmasq abre estos puertos temporales usando sendto(), que tiene el efecto secundario involuntario de aceptar paquetes UDP desde cualquier dirección IP. Un error de fragmento ICMP puede actualizar la caché de excepciones para cualquier IP, siempre que tenga la IP y el puerto de conexión temporal correctos. Esto hace que el ataque sea trivial.

Solicitar somerandomsubdomain.google.comy luego comience a enviar spam con errores de fragmentos ICMP para todos los puertos UDP en el sistema de destino. Cuando uno de estos paquetes coincide con el puerto UDP abierto, se cambia la MTU para la IP especificada. Luego haga ping al sistema de las IP indicadas en los errores de ICMP. Cuando una de sus respuestas de ping está fragmentada, encuentra una colisión. Ahora que conoce el puerto que abrió el servidor DNS, podría forzar aproximadamente el ID de transacción. Dado que solo tiene 16 bits de espacio clave, esto es muy factible.

El problema es un poco más difícil para otros solucionadores de DNS, como BIND, que utilizan connect() Abra zócalos UDP temporales. Se aplica el mismo truco, pero solo puede activar un cambio de MTU en la IP específica a la que está conectado el zócalo. ¿Hay alguna forma de detectar este cambio? Está. La clave aquí es que la caché de excepciones es un hashtag con una profundidad limitada. Esta tabla hash funciona aplicando un algoritmo (hash) a la dirección IP remota, que siempre devuelve un número de 11 bits. Hay 2048 "depósitos" de memoria asignados, y el número resultante del hash determina el depósito en el que entran los datos de excepción. Cada depósito puede contener cinco entradas y, cuando se almacena una sexta excepción en ese depósito, se descarta la más antigua.

En este caso, un atacante debe comprobar las direcciones IP remotas que colisionan accidentalmente con el valor hash del disolvente ascendente real. El atacante completa las cinco entradas excepcionales de sus direcciones IP en colisión y luego lanza la tormenta de errores de fragmentos ICMP. El atacante puede probar las MTU de las IP que controla, por lo que sabrá cuándo se elimina una de sus excepciones. Esto indica que ha encontrado el puerto correcto para una conexión UDP temporal.

Es un ataque complicado, pero la recompensa potencial es bastante alta, así que espere ver parches que lidien con esto en un futuro muy cercano.

Armado de números KB

Microsoft realiza un seguimiento de sus actualizaciones de seguridad con los números de artículo de la base de conocimientos. Por ejemplo, Microsoft rastrea CVE-2021-42279 como KB5007207 para Windows 10 de 64 bits. Es bastante fácil enumerar las KB que se instalaron en un sistema Windows, pero ¿cómo traduciría eso a una lista de posibles vulnerabilidades? [Arris Huijgen] tiene la respuesta. Hay muchas herramientas para consultar la lista de KB instalados, y muchas de esas herramientas incluso funcionan en sistemas remotos, como systeminfo.exe y WMIC.exe. Entonces, para todas sus necesidades de explotación de Windows, no necesita buscar más allá de Windows Exploit Suggester - Next Generation. Esta colección de herramientas parece una herramienta útil para revisar o rehacer una máquina con Windows, así que asegúrese de agregarla a su caja de juguetes.

Esta vez el FBI envió spam

Sabes cómo lidiar con el spam, ¿verdad? Si un correo electrónico parece sospechoso, va a la carpeta de correo no deseado, para no volver a preocuparse por él. Entonces, cuando llega un correo electrónico del FBI, simplemente se ríe de él, revisa rápidamente los encabezados del correo electrónico para estar seguro y listo. Pero espera, ese correo electrónico vino de 153.31.119.142, que de hecho es mx-east-ic.fbi.gov. ¿Que está pasando aqui?

Estos correos electrónicos se ven así:

IP de envío: 153.31.119.142 (https://t.co/En06mMbR88)
De: [email protected]
Tema: Urgente: actor de amenazas en los sistemas pic.twitter.com/NuojpnWNLh

- Spamhaus (@spamhaus) 13 de noviembre de 2021

Brian Krebs tiene la desventaja. El Portal Empresarial de Aplicación de la Ley del FBI (LEEP) contiene un paso de verificación por correo electrónico al crear una cuenta. El contenido del correo electrónico se genera en el navegador del visitante y se envía a la dirección que se especifique, lo que hace que este truco sea trivial. Parece que [Pompompurin] estaba detrás del spam, y ¿qué mensaje envió con sus poderes recién descubiertos? Un mensaje de farsa llamando a Vinny Troy de Shadowbyte, solo el último en su enemistad pública. Si realmente necesitas bajar por la madriguera del conejo, empieza aquí.

El herrero y su martillo

¿Te acuerdas de Rowhammer? Esta técnica volcó piezas individuales de RAM pulsando rápidamente la línea de activación de filas de filas cercanas. En respuesta, los chips RAM DDR4 tienen incorporada la tecnología Target Row Refresh (TRR), y esto elimina por completo la vulnerabilidad de Rowhammer. ¿No es así?

Una nueva herramienta, Blacksmith, combina las técnicas Rowhammer existentes con un enfoque confuso y analiza la eficacia de las protecciones TRR en los chips de memoria modernos. Los resultados no son bonitos. Los investigadores estiman que sus pruebas cubren más del 90% del mercado de DRAM, y cada chip de RAM que probaron permitió varios giros de bits.

Análisis de ataques de MacOS

El Grupo de Análisis de Amenazas de Google ha publicado los detalles de un ataque a un pozo de agua, aparentemente dirigido a los visitantes de los sitios web de Hong Kong. La página ha alojado múltiples cadenas operativas, dirigidas tanto a iOS como a MacOS. Entre los logros recuperados se encuentra uno que explota la vulnerabilidad de día 0, CVE-2021-30869. Google informó sobre este defecto y fue reparado en septiembre.

Después de que la cadena de ataque tuvo éxito, se implementó un binario y ese binario resultó ser muy borroso. El malware final se ha convertido en un hábito y es capaz de grabar audio y pulsaciones de teclas, cargar archivos y capturar pantalla y sonido. Ahora, ¿quién tiene acceso a MacOS 0-days, está interesado en la política de Hong Kong y quiere espiar a los ciudadanos? De acuerdo, esa es una lista honestamente larga de gobiernos, pero estoy seguro de que puede pensar en un retador importante.

Aquí está para esta semana, ¡mantente a salvo!

Alejandro Vargas
Alejandro Vargas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.