Minggu Ini Dalam Keamanan: Pelanggaran, PIC, SQUIP, Dan Simbol

Jadi, Anda mungkin mendapatkan prompt pengaturan ulang kata sandi Slack. Sesuatu seperti setengah persen dari basis pengguna Slack memiliki hash kata sandi yang berpotensi terekspos karena bug aneh. Saat mengirim tautan undangan bersama, hash kata sandi dikirim ke anggota lain dari ruang kerja. Agak sulit untuk mengetahui bagaimana masalah sebenarnya ini terjadi, karena hash kata sandi tidak boleh dikirim ke pengguna seperti ini. Dugaan saya adalah bahwa pengguna lain mendapat paket pembaruan status saat tautan dibuat, dan kesalahan logika dalam kode mengakibatkan terlalu banyak informasi status yang dikirim.

Bukti menunjukkan bahwa orang pertama yang menangkap bug itu adalah seorang peneliti yang mengungkapkan masalah tersebut pada pertengahan Juli. Slack tampaknya menggunakan kebijakan kata sandi yang waras, hanya menyimpan kata sandi hash dan asin. Itu mungkin terdengar seperti resep sarapan, tetapi hanya berarti bahwa ketika Anda mengetik kata sandi Anda untuk masuk ke slack, kata sandi melewati hash kriptografi satu arah, dan hasil hash disimpan. Salting adalah penambahan data ekstra, untuk membuat serangan prakomputasi menjadi tidak praktis. Slack menyatakan bahwa meskipun bug ini digunakan untuk menangkap hash ini, mereka tidak dapat digunakan untuk mengautentikasi secara langsung sebagai pengguna yang terpengaruh. Saran normal tentang mengaktifkan autentikasi 2 faktor masih berlaku, sebagai perlindungan ekstra terhadap penyalahgunaan informasi yang bocor.

Et Tu Twilio

Tidak mau kalah, Twilio baru saja mengungkapkan masalah yang sedang berlangsung, tetapi yang ini adalah serangan rekayasa sosial yang aktif. Ini dimulai sebagai kampanye phishing yang ditargetkan terhadap karyawan Twilio, dan ketika karyawan jatuh ke halaman login palsu, penyerang menggunakan kredensial yang diambil untuk mengakses alat internal dan mengakses data pengguna akhir. Catatan khusus adalah bahwa upaya phishing ini berhasil karena ditargetkan pada karyawan Twilio yang dikenal, menggunakan nomor telepon yang benar, dan menyertakan nama atau nama pengguna. Dilaporkan bahwa perusahaan lain, yaitu Cloudflare dan Cicso, mengalami serangan serupa. Mungkin ada pelanggaran di penyedia bersama, yang memungkinkan penangkapan ikan yang ditargetkan.

More From The CPU Vulnerability Nightmares Front

Memimpin biaya adalah PIC Leak Intel, jenis bug prosesor baru. Ini bukan bug eksekusi spekulatif — kami tidak menipu CPU agar bertindak pada memori yang akan di-roll back. Ini lebih seperti membaca dari memori yang tidak diinisialisasi, dan menemukan rahasia proses lain di sana. Itu sebenarnya jenis bug yang dicari para peneliti, karena mereka sengaja mengisi buffer dan cache dengan pola yang diketahui, dan kemudian mencoba membaca dari lokasi memori yang tidak masuk akal untuk mencari pola tersebut. Jika pembacaan memori mengembalikan data kenari mereka, maka sesuatu yang menarik sedang terjadi.

Inilah yang terjadi ketika membaca dari alamat I/O yang ditetapkan ke Advanced Programmable Interrupt Controller (APIC). Byte tertentu di dalam rentang APIC dicadangkan, dan mencoba membacanya akan memunculkan perilaku yang tidak ditentukan. Pada banyak model CPU, ini berarti sistem hang dan/atau crash CPU penuh. Pada beberapa prosesor, pembacaan berhasil, tetapi karena APIC tidak benar-benar mengirim data ke alamat ini, konten cache yang basi dikembalikan. Ini adalah hasil yang sangat menarik, tetapi perhatikan bahwa sebenarnya melakukan serangan membutuhkan akses tingkat root ke sistem. Itu membuatnya pada dasarnya tidak berarti, karena kernel sudah dapat membaca memori arbitrer, bukan?

Ada pengecualian penting untuk aturan Kernel-sees-all. Teknologi enklave SGX Intel secara khusus dirancang untuk melindungi wilayah memori bahkan dari kernel. Dalam praktiknya, ini berarti kunci DRM dan mesin virtual yang dilindungi SGX. Kebocoran kunci DRM bukanlah ancaman *bagi* pengguna akhir, jadi bukan sesuatu yang perlu dikhawatirkan. Dan kumpulan orang yang menjalankan VM yang dilindungi SGX kemungkinan cukup kecil.

SQUIP

AMD tidak melewatkan kesenangan, membuat SQUIP publik minggu ini (whitepaper). Ini adalah saluran samping baru yang memperoleh status proses dari antrian penjadwal. Simultaneous MultiThreading (SMT) adalah teknik yang digunakan oleh prosesor modern untuk memasukkan dua utas instruksi ke dalam satu inti pemrosesan. Karena instruksi yang berbeda menggunakan komponen CPU yang berbeda, SMT menghasilkan throughput yang lebih tinggi daripada pengaturan satu utas per inti tradisional. Satu kelemahannya adalah aktivitas satu utas dapat berdampak pada kinerja utas lainnya. Misalnya, untuk melakukan pemrosesan audio langsung, salah satu rekomendasinya adalah menonaktifkan SMT untuk menghindari underruns data. Untuk yang berpikiran keamanan, ada efek samping yang jelas, bahwa satu proses dapat mempelajari sedikit informasi tentang apa yang dilakukan utas saudaranya pada inti CPU. Ada beberapa metode untuk mendeteksi dan memanfaatkan efek ini, dan yang dibawa SQUIP adalah metode baru untuk memata-matai utas saudara.

Dalam prosesor AMD Zen, ada beberapa Unit Logika Aritmatika (ALU) per inti CPU, tetapi hanya satu dari unit tersebut yang dapat melakukan operasi perkalian, pembagian, dan Cyclic Redundancy Check (CRC). SQUIP mengantri banyak permintaan operasi perkalian berturut-turut, dan kemudian mengeluarkan instruksi rdpru, Read Processor Register. Ini secara khusus mencari nilai Penghitung Jam Frekuensi Kinerja Aktual (APERF). Ada perilaku aneh di sini yang menjadi kunci serangan. Ada antrian terpisah untuk masing-masing ALU, serta antrian master untuk inti. Antrian master mendorong instruksi ke dalam masing-masing sub-antrian, tetapi jika antrian target berikutnya penuh, antrian master berhenti sampai instruksi berikutnya dapat dikirim ke komponen yang benar. Akibatnya, jika antrian ALU1 penuh +1, panggilan rdpru ditunda. Setelah instruksi itu sampai ke akhir antrian CPU utama, instruksi itu dapat segera dieksekusi di salah satu ALU lainnya. Ini, pada dasarnya, memungkinkan proses yang kurang beruntung untuk memata-matai berapa banyak instruksi perkalian yang dilakukan oleh proses saudaranya, bahkan jika saudara itu kebetulan berada di VM yang berbeda, misalnya.

Sehingga kita dapat menentukan instruksi perkalian. Apa sebenarnya yang membuat kita? Contoh yang dicapai peneliti adalah RSA’s square-and-multiply, di mana setiap bit kunci rahasia akan memicu dua atau tiga perkalian, tergantung pada nilai bit yang diberikan. Dengan menggunakan teknik SQUIP dalam banyak proses (lebih dari 50.000), dimungkinkan untuk menyimpulkan nilai kunci rahasia. Ini sedikit pekerjaan yang brilian, tetapi mungkin penggunaan dunia nyata terbatas. Ini adalah pendapat AMD, setidaknya, karena panduan mereka adalah menggunakan teknik pengkodean praktik terbaik untuk mengurangi masalah ini.

Microsoft Office dan Simbol

Ini adalah salah satu dari “apakah neraka telah membeku?” saat, saat Microsoft mengumumkan rilis simbol debug untuk Microsoft Office. Apa sebenarnya simbol debugging yang Anda tanyakan? Mungkin menganggapnya sebagai peta jalan menuju apa yang ada di file biner. Saat sebuah program mogok, simbol debug memberi tahu Anda fungsi apa yang sedang dijalankan saat crash terjadi, dan bahkan mungkin nama variabel yang menjadi penyebabnya. Sekarang meskipun ini bukan informasi sebanyak rilis sumber lengkap, itu benar-benar membawa banyak transparansi tentang apa yang terjadi di dalam program tertentu. Bayangkan apa yang mungkin muncul dari dekompilasi Ghidra Office. Dan itulah intinya. Microsoft ingin para peneliti menemukan bug yang dapat dieksploitasi dan melaporkannya. Selain itu, pihak ketiga membuat plugin dan integrasi untuk Office, dan debugging yang lebih baik membuat kedua pekerjaan lebih mudah.

VMWare

[Steven Seeley] dari Source Incite menemukan kumpulan kerentanan VMWare pada bulan Mei, dan ketika digabungkan, mereka membuat RCE yang mengesankan untuk mengakar rantai kerentanan. Pertama adalah kekhasan yang mungkin merupakan fitur. Saat admin membuat tautan dasbor di aplikasi vRealize Manager, token yang disematkan di tautan itu memungkinkan siapa saja mengakses dasbor tanpa akun yang valid. Meskipun pada dasarnya akses hanya-baca, ada masalah kedua, di mana panggilan API untuk membuat pengguna baru melewati pemeriksaan autentikasi normal.

Masalah berikutnya adalah informasi sensitif yang berakhir di log, dan bahwa sistem mengizinkan akses log ke pengguna yang kurang beruntung, atau tidak ada pengguna sama sekali, dalam kasus ini! Baris log yang dimaksud berisi string otorisasi Dasar. Otentikasi dasar hanyalah Kata Sandi dan ID yang dijalankan melalui pengkodean Base64. Seperti yang ditunjukkan dalam rantai serangan ini, itu benar-benar bukan ide yang baik untuk digunakan. Terlepas dari itu, ini memungkinkan pengaturan ulang kata sandi untuk pengguna admin, mendapatkan akses admin penyerang ke sistem. admin dapat mengaktifkan port SSH, dan masuk. Jadi penyerang memiliki admin dan SSH, tetapi itu masih belum root.

Selanjutnya adalah aturan sudo yang memungkinkan setiap pengguna untuk menjalankan skrip Python tertentu dengan sudo — artinya skrip berjalan sebagai root. Skrip itu melihat ke variabel lingkungan untuk menemukan binernya, dan variabel itu sepele untuk disetel. Atur variabel sehingga skrip yang berjalan sebagai root akan menjalankan skrip yang Anda tulis, dan Anda dapat melakukan apa saja, seperti memberikan hak sudo penuh kepada akun Anda. Rantai eksploitasi penuh disebut DashOverride, dan tambalan tersedia untuk tiga kerentanan yang dimainkan. Bagus sekali [Steven] untuk menemukan.

SELinux

Jika Anda bermain di tanah RedHat, Anda mungkin akrab dengan SELinux, jika hanya sebagai hal sial yang Anda matikan untuk membuat perangkat lunak berfungsi. Banyak dari kita sysadmin yang bekerja pada RHEL dan klonnya digunakan untuk menonaktifkannya sementara sebagai langkah pemecahan masalah pertama. Sehat, [esp0x31] ingin Anda mempertimbangkan kembali kebiasaan itu, menyatakan bahwa SELinux dapat menjadi alat yang berguna untuk pengerasan sistem. Posting ini menjelaskan bagaimana Anda dapat mengatur konteks file untuk program tertentu, dan kemudian secara ketat membatasi aksesnya ke hanya file dengan konteks itu. Haruskah aplikasi ini dapat berbicara melalui UDP? Jika tidak, tambahkan aturan yang mencegah pembuatan soket UDP apa pun. Tip pembunuh adalah perintah peran baru, yang menempatkan Anda ke dalam domain SELinux yang baru saja Anda tentukan — sempurna untuk bashing pada aturan baru Anda mencari celah.

Bit dan Byte

Protokol Point-to-Point di Windows memiliki cacat, CVE-2022-30133, di mana mengirim lalu lintas ke port 1723 dapat mengakibatkan eksekusi kode arbitrer. Hal yang menakutkan tentang yang satu ini adalah berpotensi menjadi wormable, dan port tersebut mungkin sengaja diekspos ke internet, karena ini adalah solusi VPN awal di Windows. Yoik.

X-as-a-Service adalah salah satu cara terpanas untuk memonetisasi, dan elemen kriminal telah muncul. Kami telah memiliki ransomware-as-a-service, dan sekarang ada command&control-as-a-Service. Apakah mengarahkan timbunan mesin di botnet Anda terlalu merepotkan? Dengan biaya bulanan yang rendah, orang-orang ini akan melakukannya untuk Anda, dan dilengkapi dengan dasbor yang tampak apik dan semuanya. Kita benar-benar hidup di zaman modern.

Rsync memiliki kelemahan, di mana server jahat dapat menulis file arbitrer pada klien yang terhubung. Ini juga bisa dimanfaatkan dalam bentuk serangan man-in-the-middle. Carilah rilis 3.2.5 dalam beberapa hari mendatang, yang akan berisi perbaikan.

5,4 juta akun Twitter memiliki data pribadi mereka tergores dan dijual, berkat zero-day dalam kode web Twitter. Bagian sensitif adalah email atau nomor telepon yang digunakan untuk memverifikasi akun. Bagi kebanyakan dari kita, itu hanya akan mengganggu untuk melarikan diri. Hanya yang lain membuat daftar spammer pasangan lain. Ada beberapa akun Twitter yang dijalankan secara anonim untuk alasan yang baik, dan kebocoran semacam ini bisa menjadi masalah, jika memungkinkan aktor jahat untuk menghubungkan titik-titik tersebut. Terimakasih untuk [app-le-bees] untuk menunjukkan yang ini di Perselisihan kami!