Minggu Ini Dalam Keamanan: Bypass Boot Aman, Attack On Titan M, Kelemahan KASLR

Masih bisa diperdebatkan seberapa berguna Boot Aman untuk pengguna akhir, tetapi sekarang ada masalah lain dengan Boot Aman, atau lebih khusus lagi, trio bootloader yang ditandatangani. Para peneliti di Eclypsium telah mengidentifikasi masalah pada bootloader Eurosoft, CryptoPro, dan New Horizon. Dalam dua kasus pertama, shell UEFI yang terlalu fleksibel memungkinkan akses memori mentah. Skrip startup tidak harus ditandatangani, dan dapat dengan mudah memanipulasi proses boot sesuka hati. Masalah terakhir ada di produk New Horizon Datasys, yang menonaktifkan pemeriksaan tanda tangan apa pun untuk sisa proses boot — sambil tetap melaporkan bahwa boot aman diaktifkan. Tidak jelas apakah ini memerlukan opsi konfigurasi, atau benar-benar rusak secara default.

Masalah sebenarnya adalah jika malware atau penyerang bisa mendapatkan akses tulis ke partisi EFI, salah satu bootloader yang ditandatangani ini dapat ditambahkan ke rantai boot, bersama dengan beberapa muatan buruk, dan OS yang akhirnya di-boot masih melihat Boot Aman diaktifkan . Ini adalah kendaraan yang sempurna untuk infeksi yang sangat tersembunyi, mirip dengan CosmicStrand, firmware berbahaya yang kami bahas beberapa minggu lalu.

Berjudi?

Perjudian daring. Sama seperti berjudi di kasino, rumah hampir selalu menang, dengan desain. Tetapi juga seperti kasino sungguhan, ada beberapa teknik cerdas seperti menghitung kartu di Blackjack, yang cukup untuk mengubah peluang kembali ke keinginan Anda. Dalam hal ini, Anda melacak berapa banyak kartu besar dan kecil yang telah dimainkan, dan menyesuaikan taruhan Anda. NCC Group melihat ke dalam permainan kasino online “Enam Besar” — yang ini sedikit berbeda dari kebanyakan perjudian online, karena ada orang sungguhan yang berperan sebagai bandar. Croupier memutar roda yang menentukan hasil dari taruhan yang dipasang. Manusia memiliki kesamaan dengan komputer, karena pada dasarnya kita sama-sama buruk dalam menghasilkan keacakan yang baik.

Mereka mulai dengan mengumpulkan data, dan kemudian menganalisisnya untuk pola-pola penting. Penyebaran lebih dari 7000 putaran permainan dipecah, dan yang muncul adalah korelasi antara posisi roda sebelum taruhan ditutup, dan nomor pemenang. Sederhananya, bandar memiliki kecenderungan untuk memutar roda dengan kekuatan yang sama setiap kali. Sedikit visi komputer dan taruhan tertulis, dan mereka memiliki kombinasi yang unggul. Menang berapa? Lebih dari 20% pengembalian investasi setelah 1000 putaran.

Serangan terhadap Titan

Tim di Quarkslab memiliki ketertarikan dengan Titan M, chip keamanan Google di ponsel Pixel mereka. Di antara fungsi lainnya, Titan menyediakan kantong rahasia yang aman. Ini berkomunikasi dengan prosesor utama ponsel melalui SPI, dan memiliki semua fitur keamanan dan mitigasi yang diharapkan untuk menjaga rahasia tetap aman. Yah, hampir semuanya. Desain sederhana dari prosesor khusus ini juga berarti bahwa prosesor tersebut tidak memiliki perlindungan kerusakan memori yang kompleks seperti yang mungkin dimiliki oleh prosesor yang lebih rumit. Ini juga cukup sederhana sehingga tata letak memori agak statis.

Serangan pertama Quarkslab adalah menggunakan klien mereka untuk mengirim pesan sewenang-wenang ke Titan — kotak hitam kabur. Anggap ini seperti melempar spageti dari semua ukuran ke dinding virtual untuk melihat apakah ada tongkat, atau lebih tepatnya jatuh. Ini jelas merupakan teknik yang bermanfaat, dan terkadang hanya itu yang tersedia, tetapi Anda biasanya tidak dapat mencapai jalur kode yang lebih menarik dengan cara ini. Orang-orang ini benar-benar tahu jalan mereka di Titan M, jadi lakukan pendekatan yang berbeda, meniru bagian dari firmware, dan mengaburkan perangkat yang ditiru. Ini sulit untuk dilakukan, dan ada batasan karena emulasi Anda biasanya tidak akan cocok dengan perangkat keras yang sebenarnya, tetapi keuntungannya adalah Anda bisa mendapatkan jalur kode yang akan sangat sulit untuk secara acak mendarat dengan fuzzing saja.

Dan menemukan bug yang mereka lakukan. Dengan mengirimkan ImportKeyRequest, 0x01 dapat ditulis ke lokasi di luar batas yang tidak sepenuhnya sewenang-wenang. Dengan memasukkan beberapa tag dalam permintaan, ini dapat dilakukan beberapa kali dalam satu gerakan. Itu adalah awal yang sangat terbatas, tetapi solid. Kuncinya adalah untuk menimpa pointer yang digunakan oleh rutinitas yang berbeda, penangan permintaan Keymaster. Pointer adalah ke tempat permintaan yang masuk akan disalin, dan dengan demikian serangan mulai terbentuk. Gunakan primitif satu byte untuk meracuni keymaster, lalu kirim permintaan yang ditulis ke lokasi baru ini. Melalui eksperimen, mereka menemukan bahwa mereka dapat mengirim 556 byte sewenang-wenang, diikuti oleh alamat memori, dan eksekusi akan melompat ke alamat itu. Butuh sedikit kerja, tetapi dengan beberapa Pemrograman Berorientasi Kembali, ini cukup untuk membaca memori dari mana saja di chip dan mengirimkannya kembali melalui bus SPI ke klien mereka. Round-up keamanan Juni dari Google mencakup perbaikan untuk kerentanan yang sangat pintar ini.

Bypass KASLR di MacOS

Salah satu mitigasi yang hilang di Titan M adalah Pengacakan Tata Letak Ruang Alamat Kernel, tetapi KASLR cukup hadir di MacOS, membuat eksploitasi tingkat kernel yang jauh lebih sulit untuk dilakukan. Atau seharusnya, kecuali ada lubang yang cukup besar di MacOS KASLR berdasarkan desain. Fitur itu adalah hibernasi, atau lebih tepatnya, bangun dari hibernasi. Ada segmen kernel __HIB yang selalu dipetakan ke alamat yang sama, dan dipanggil sebagai bagian dari wakeup. Bagian dari segmen ini adalah blok memori dblmap, yang sebenarnya dipetakan dua kali ke ruang memori virtual. Ini digunakan, antara lain, dalam sakelar konteks userspace/kernelspace. Karena ketersediaannya dalam mode pengguna, rentan untuk membaca melalui serangan Meltdown, dan pointer di sana memberikan nilai “slide” — alamat dasar KASLR. Bahkan pada CPU anti-meltdown, sektor __HIB memiliki beberapa kegunaan lain. Ada banyak lagi di pos, dan sepertinya tidak akan segera diperbaiki, jadi jika eksploitasi MacOS adalah hal Anda, bersenang-senanglah!

Siapa yang? WTF?!

Jika peretasan XNU berada di atas tingkat pembayaran Anda, seperti milik saya, maka alat ini mungkin lebih mempercepat kami. wftis adalah alat baru yang menarik dari berbagai sumber, dan bertindak seperti iterasi whois yang ditingkatkan. Ini menarik informasi dari Virustotal, Passivetotal, dan IPWhois untuk mendapatkan data pada nama domain yang diberikan. Jika domain aneh muncul di log Anda, wtfis mungkin merupakan alat untuk dituju. Itu memang membutuhkan kunci API untuk dua layanan pertama, tetapi seharusnya berfungsi dengan baik di tingkat gratis mereka.

Serangan Sonik

Dan akhirnya, pengetahuan Internet paling aneh yang saya temui baru-baru ini. Banyak terima kasih kepada [mtxyz] pada Discord untuk menunjukkan CVE-2022-38392, masalah lama yang baru saja terungkap. Sebuah OEM laptop menemukan bahwa video musik untuk Rhythm Nation andal akan menyebabkan laptop mereka mogok. Lebih aneh lagi, memutar lagu di satu laptop akan membuat laptop di dekatnya juga rusak. Akhirnya ditemukan bahwa hard drive 5400 RPM yang dikirimkan dalam laptop tersebut memiliki frekuensi resonansi yang ditenagai oleh lagu, yang menyebabkan kegagalan sementara. Solusinya adalah filter frekuensi berkode keras untuk mengeluarkan frekuensi itu. Kedengarannya seperti meneriaki hard drive di pusat data. Menikmati: