Esta semana en seguridad: NSO, cola de impresión y decodificador misterioso

El Grupo NSO ha estado en las noticias últimamente, con muchas historias que informan sobre su producto espejo Pegasus. La investigación y los informes dirigidos por Amnistía Internacional se conocen colectivamente como "El Proyecto Pegasus". Este proyecto explotó el día 18, cuando se informó de muchas noticias sobre una lista de 50.000 números de teléfono que se anuncian como "posibles objetivos de control". Hay muchas personas interesantes en esta lista, como 14 jefes de estado y muchos periodistas.

También hay muchas preguntas. ¿Qué es exactamente esta lista y de dónde vino? Amnistía Internacional ha demostrado que no es una lista de personas atacadas activamente. Informaron que de los dispositivos asociados con la entrada en la lista que pudieron verificar, alrededor del 50% mostraba signos de programas de duplicación de Pegasus. The Guardian fue parte del lanzamiento coordinado inicial y tiene algunos no detalles impresionantes para agregar:

La presencia de un número de teléfono en los datos no revela si un dispositivo ha sido infectado por Pegasus o ha sido sometido a una prueba de pirateo. Sin embargo, el consorcio cree que los datos indican los posibles objetivos de los clientes gubernamentales de NSO identificados antes de posibles pruebas de vigilancia.

AWS de Amazon fue nombrado como parte de la estructura de C&C de Pegasus y, en respuesta, sacaron cuentas vinculadas a NSO. Por su parte, NSO niega por completo la validez de la lista.

No es ningún secreto que las herramientas de NSO se utilizan para espiar a personas de todo el mundo. Las verdaderas preguntas aquí son si esas herramientas se están utilizando indebidamente para espiar objetivos particularmente inapropiados, si NSO lo sabía y qué harán ahora si estas afirmaciones son ciertas. Si sospecha que su dispositivo puede haber sido comprometido por Pegasus, consulte el kit de verificación móvil desarrollado por Amnistía Internacional.

Más diversión de cola de impresión

En este punto, debería ser obvio que apagamos la cola de impresión para cualquier máquina Windows que realmente no la necesite. Se anunció otro defecto, CVE-2021-34481. Este es un poco raro. Según Microsoft, este error no tiene nada que ver con los errores anteriores en Print Nightmare, y fue descubierto por [Jacob Baines] en junio. Lo que lo hace particularmente extraño es que se reveló públicamente semanas antes de la fecha límite del investigador y aún no se ha parcheado. Su consejo indica que no está explotado en la naturaleza, pero parece que están actuando como si ya hubiera sido publicado.

Si los errores de EoP de Print Spooler no son suficientes, ¿qué pasa con un archivo de administrador de cuentas de seguridad (SAM) legible en todo el mundo? Esta falla está relacionada con el servicio de instantáneas, y en las máquinas con Windows 10 y 11, permite que cualquier usuario lea los archivos SAM, SYSTEM y SECURITY completos. ¿Qué puedes hacer al respecto? Salte de un usuario desfavorecido directamente al Sistema, para empezar.

Depuración de la puerta trasera en KiwiSDR

Gracias a [jpa] para señalar eso la semana pasada en los comentarios. El KiwiSDR es una capa BeagleBone, junto con una imagen BeagleBone personalizada que captura datos de radio y los pone en línea para que todos los escuchen. Antes de llegar al tema de la seguridad, debo decir que este es un proyecto realmente inteligente. Eche un vistazo a la lista de nodos en línea de todo el mundo.

El problema es que el proyecto incluía un shell de Internet rooteado incrustado con una contraseña codificada y no estaba particularmente bien documentado; algunas breves menciones en el foro realmente no cuentan. La contraseña cifrada SHA256 sería difícil de descifrar, pero como señala Ars, algunas conexiones se realizan a través de HTTP, por lo que un caso de error de paquete revelaría la contraseña. Para crédito del desarrollador, ahora ha advertido en la página principal del sitio web que las versiones anteriores tienen seguridad. Una breve discusión en la última comisión de Github indica que se avecina una revelación más completa. (Es posible que deba desplazarse hasta la parte inferior de la página para encontrar los comentarios). Irónicamente, creo que ninguno de los usuarios tendría problemas con esto, siempre que esté bien documentado, seleccionado e implementado un poco mejor.

Vulnerabilidad del sistema de archivos de Linux

Esto es extraño. En cuanto a la divulgación pública, comienza con la noticia de que un usuario que ha iniciado sesión puede bloquear un sistema Linux al dañar un SystemD con un nombre de ruta muy largo. Es un error molesto, pero se vuelve más extraño. Los investigadores de Qualsys lo encontraron accidentalmente mientras intentaban un salto completo a la explotación de root. Esta explotación es aquella en la que un número entero puede verse abrumado por un camino muy largo. La cuerda de carretera necesita un enorme 1 GB de longitud. Al montar y luego quitar algo en ese camino loco, el desbordamiento permite una escritura ilimitada. PoC está disponible, así que asegúrese de obtener el núcleo más reciente que ofrece su entretenimiento.

Campañas de 0 días este año

El Grupo de análisis de amenazas de Google ha publicado un informe con cierto conocimiento de un trío de campañas que utilizan vulnerabilidades de día cero que, según descubrieron, se están utilizando activamente este año. La primera es una campaña de correo electrónico que parece estar basada en Armenia con CVE-2021-21166 y CVE-2021-30551, ambos errores en Chrome. En lo que pudo haber sido parte de la misma campaña, las víctimas recibieron documentos de Microsoft Office que usaban Macros ActiveX o VBA para lanzar IE 11 y lanzar CVE-2021-33742.

La última campaña discutida es un poco más interesante porque usó Safari-0 day para infectar el navegador en iOS. Se supone que esto es del APT29 ruso y funcionarios de Europa occidental a través de mensajes de LinkedIn. El exploit no estaba vinculado a una caja de arena, sino que solo funciona dentro de los límites del navegador, tomando información de cada página a la que se accede.

Windows Hello engañado por la foto

Windows Hello. No es único, el iPhone también tiene la capacidad de desbloquearse con reconocimiento facial y algunos teléfonos Android también han adoptado la función. Existe una diferencia fundamental entre una máquina con Windows y un teléfono. La cámara del teléfono es una entidad conocida y confiable. Todos los dispositivos pueden presumir de ser una cámara web en una computadora de escritorio o portátil. Windows Hello acepta cualquier dispositivo de cámara web y esto provoca algunos problemas de seguridad obvios. El sistema utiliza imágenes infrarrojas, por lo que una simple derivación es presentar una imagen infrarroja del usuario. Parece que serían posibles más ataques, como un dispositivo que se presenta como una cámara web pero reproduce imágenes capturadas de la cara del objetivo. Este será sin duda un tema interesante para futuras investigaciones.

Desencriptador malvado

Después de que REvil se quitó misteriosamente las tejas (ALTERNATIVAMENTE, desapareció y cerró), apareció un nuevo desarrollo en la historia de Kaseya sobre ransomware. Se obtuvo un decodificador universal "de un tercero de confianza" y se utiliza para recuperar datos. No se sabe quién es el tercero, y las partes involucradas se negaron a confirmar si se pagó algún rescate como parte del trato. Con suerte, saldrán más noticias sobre cómo se obtuvo el decodificador y qué está sucediendo con el grupo REvil.

  • Ivan Stepaniuk dice:

    Los rostros, así como las huellas digitales, son buenos nombres de usuario, pero son contraseñas terribles. No es tan difícil de entender.

  • 13 de julio dice:

    cuando muchos medios de comunicación informaron una lista de 50.000 números de teléfono que se anuncian como "posibles objetivos de vigilancia".

    Llamar a eso "informar" es completamente falso. Literalmente comenzaron a decirlo, sin ninguna indicación de por qué creen que esta lista se relaciona con NSO. Y ahora también eres parte del problema, engañando a cada uno de tus lectores pretendiendo que la propaganda obvia de una fuente molesta es en realidad periodismo.

Isabella Ortiz
Isabella Ortiz

Deja una respuesta

Tu dirección de correo electrónico no será publicada.