Esta semana en seguridad: Robinhood, Apple Mail, ASLR y más Windows 7

Primero, esta semana, un ransomware llamado Robinhood tiene un nuevo truco bajo la manga. ¿El truco? Cargar un controlador firmado antiguo conocido como vulnerable y luego usar la vulnerabilidad en ese controlador para cargar un controlador central malicioso.

Un controlador de gigabytes mostró inadvertidamente una interfaz que permite acceso ilimitado de lectura y escritura a nivel de núcleo. Debido a que está debidamente firmado, Windows cargará felizmente el controlador. El código ransomware usa esta interfaz para deshabilitar el bit, lo que obliga a cargar solo los controladores firmados. A partir de ahí, cargar a un controlador malicioso es trivial. Robinhood utiliza su enfoque de nivel central para deshabilitar los programas antivirus antes de iniciar el cifrado de datos.

Este es un ejemplo sorprendente de la debilidad de una firma binaria sin un mecanismo para cancelar esas firmas. En un mundo ideal, una vez que se encuentra la vulnerabilidad y se emite una actualización, se cancelará la firma del controlador más antiguo y vulnerable.

Quizás la última actualización de Windows 7 en tiempo real

Noticias adicionales en la saga en curso de Windows 7 / Server 2008 llegando al final de su vida útil. KB4539602 fue lanzado este martes, solucionando el problema de fondo negro introducido en la última actualización "final". Seguro que eso es lo último que escucharemos de esta saga, ¿verdad?

No tan rapido. Aparentemente, este parche provocó que muchas máquinas con Windows Server 2008 no se iniciaran después de la instalación. Según Microsoft, el problema carece de un parche anterior que actualice el soporte para SHA-2.

Correos electrónicos cifrados mostrados en Apple Mail

En noviembre [Bob Gendler] descubrió algo crítico sobre cómo Apple Mail maneja los correos electrónicos encriptados. En MacOS, el servicio sugerido recopila fragmentos de correos electrónicos y archivos para manejar de manera más inteligente las búsquedas y solicitudes de Siri. La base de datos resultante contiene el texto sin cifrar de los correos electrónicos, incluso los cifrados con GPG. Dio un conjunto de soluciones y notificó a Apple del problema.

Recientemente, Apple lanzó 10.15.3, y enterrada en el registro de cambios hay una nota que dice que los correos electrónicos cifrados ya no aparecerán en búsquedas cuidadosas. [Bob] Hizo más intentos y confirmó que el servicio sugerido ahora identifica los mensajes cifrados y elimina los fragmentos tomados de esos mensajes de inmediato.

GCP DeepDive de Gitlab

¿Tiene curiosidad sobre Google Cloud Platform y en qué se diferencian las consideraciones de seguridad de un entorno más tradicional? Gitlab investigó un poco sobre GCP y se convirtió en un proceso paso a paso para investigar y participar en un proyecto de GCP.

Existe una gran cantidad de información básica sobre GCP, así como conceptos erróneos comunes que conducen a casos vulnerables. Uno de mis favoritos de la entrada: Siga los guiones. Si encuentra un script de respaldo, no solo tiene algunos certificados con los que trabajar, sino que también obtiene una copia de todo el sistema de archivos. La guía incluye consejos sobre cómo pasar a otras máquinas virtuales, así como una posible forma de poner en peligro toda su cuenta de Google Suite.

ASLR de Linux

Address Space Layout Randomization (ASLR) es una mejora de seguridad agregada al kernel de Linux en 2005. Aleatoriza el diseño de memoria de los programas de espacio de uso, para dificultar el compromiso real. Si tiene un desbordamiento de búfer, por ejemplo, ¿cómo se escribe un exploit cuando el diseño de la memoria difiere cada vez que se ejecuta un programa?

Los chicos de Wildfire Labs echaron un vistazo a Linux ASLR y concluyeron que todavía faltaba. El principal problema es la información disponible en "/ proc /[pid]/ * ”, Y la forma de realizar comprobaciones de seguridad en esos archivos virtuales. El ejemplo más simple es "/ proc /[pid]/ maps ”, que contiene el diseño recordado aleatoriamente. Como se reveló a mediados de 2019, este archivo virtual verificará los permisos cuando otra aplicación intente leer su contenido, pero sin intentar simplemente abrir el archivo. En la práctica, esto significa que una aplicación no root puede obtener un descriptor de archivo que apunte a los "mapas" de archivos virtuales y pasar ese descriptor a otra aplicación. Si se transmite a una aplicación raíz de setuid, la información protegida se puede leer libremente y posiblemente hacer una copia de seguridad en la aplicación sin privilegios.

Vale la pena dejar de lado la “raíz de setuid” para explicarla. Ping es el ejemplo perfecto: es razonable permitir que un usuario no root use el comando ping para probar la conectividad de la red. El envío de un paquete ICMP requiere un socket sin formato, que a su vez requiere privilegios de root. ¿Cómo permitimos de forma segura que un usuario no root acceda a esta función? Setuid es un permiso de archivo especial para archivos ejecutables que permite que el ejecutable se ejecute como root, independientemente del usuario que lo inicie. Como puede imaginar, se debe tener mucho cuidado para evitar explotaciones locales en la digitalización de sets.

Si bien se corrigieron los permisos pasados ​​en el archivo de mapa virtual, la reparación no se aplicó al resto de los nodos en la estructura / proc. La noticia del trabajo de incendios forestales es que han encontrado otros nodos que se pueden utilizar de manera similar para recuperar la información del mapa. Parece haber cierto desacuerdo con los desarrolladores principales en cuanto a si las mitigaciones actuales son suficientes, pero con la prueba de concepto publicada, sin duda se resolverá pronto.

Recopilación de datos

La semana pasada llegó la noticia de demasiados datos recopilados por el controlador de tableta Wacom. Espere un artículo dedicado de nuestra propia Kristina Panos, que analiza más de cerca esta historia y las técnicas utilizadas para descubrir exactamente qué sucedió.

  • Ren dice:

    Comencé en el lado Win7 de mi computadora hace unas semanas (¿la primera vez en un año?), Me sorprendió que no mencionara una actualización.

    • Jonathan Bennett dice:

      Si ingresa una actualización de Windows, dígale que busque actualizaciones y espere una hora para que termine ese proceso ... Finalmente encontrará esas actualizaciones.

    • M & Mes dice:

      También tengo Windows 7 Home Premium.

    • Ren dice:

      ¡Gracias por tus respuestas!

  • jpa dice:

    Quiero que las distribuciones cambien a permisos basados ​​en capacidad en lugar del setuid raíz completo. Por ejemplo, ping solo necesita CAP_NET_RAW, no todos los privilegios de anulación.

    El soporte ya está aquí: https://linux-audit.com/linux-capabilities-hardening-linux-binaries-by-removing-setuid/
    No estoy seguro de por qué no es el predeterminado.

  • Gregg Eshelman. dice:

    Entonces, Microsoft corrige un error de pantalla negra en Windows 7, pero ¿no se ocupa de un error de pantalla negra * que crearon * con Windows 10 en muchas computadoras portátiles más antiguas?

    En parte, aparentemente debido a cómo (mal) trataron la seguridad del conductor con una lista negra esencialmente de todos los controladores que no iniciaron sesión con el método más nuevo (y ahora solo aprobado) para Windows 8.xy 10, a menos que esos controladores se hayan instalado en la compilación de Windows 10. 1607 o anterior y la instalación se ha * actualizado * a una construcción más nueva.

    Lo que puede conseguirlo es una computadora portátil que funcione perfectamente al 100% hasta que actualice la compilación después de 1607. Todavía funciona, excepto que MS ha roto algo con una administración potente. Deje que la pantalla se apague * por alguna razón con algunas configuraciones potentes * y cuando la despierte, habrá cubierto toda la pantalla en negro, excepto que el puntero del mouse está visible.

    Puede simplemente presionar el botón del interruptor hasta que se inicie e inmediatamente antes de que comience, azota el negro, por lo que, por una fracción de segundo, se revela el escritorio. Luego, cuando reinicia, va a la configuración eléctrica y apaga, duerme, hiberna y todo lo demás que apagará la pantalla. A partir de ahí, verifica obsesivamente Windows Update para ver si hay alguna mención de incluir la serie de modelos de su computadora portátil en las correcciones de este problema introducido por Microsoft. * Lo trataron para algunos modelos, pero aparentemente no pudieron calcular WTF, y se contentaron con publicar una solución para todos.

    Parece ser muy angustioso para las computadoras portátiles con GPU ATi discretas más antiguas que con la compilación 1607 funcionaron bastante bien con los controladores de Windows 7 o Vista.

    Afortunadamente, cuando encontré esto, fue en una computadora portátil que no me pertenecía. Solo tenía que explicar por nombre cómo Microsoft resolvió un problema mientras solucionaba otro problema que realmente no se resolvió. Hice una copia de seguridad de imagen restaurable con la compilación 1607 100% funcional y luego la actualicé a 1903.

    Como menciona este artículo, alguien finalmente trató de sobornar a un viejo controlador de * red *. Parece mucho menos probable que alguien se moleste (o pueda) piratear un controlador de * video * para colarse a través de una conexión a Internet.

    • Kehk dice:

      Asegúrate de que el botón de encendido esté encendido
      Enciende la pantalla
      Es negro
      Espera un segundo
      Revolver + Alt + Supr
      Desactivar pantalla
      Espera un segundo
      Enciende la pantalla
      ¡Voila!
      Repita si es necesario

  • Noche dice:

    Un movimiento muy insidioso de Wacom, por lo que es bueno tener un programa de firewall como Comodo y bloquear el acceso a Internet a todos los programas que realmente no lo necesitan.

    • Scaramouche dice:

      Muchas aplicaciones de Android en la tienda de juegos tienen incorporado "AppsFlyer", que hace lo mismo. Logcat me reveló que graba y luego envía todos los programas que se abren y “envían a fondo”. Tenía varios programas en mi teléfono usándolo.

  • Vejestorio dice:

    El truco del conductor se conoce y se utiliza desde hace años. Otro controlador favorito es la caja virtual.

Marco Navarro
Marco Navarro

Deja una respuesta

Tu dirección de correo electrónico no será publicada.