Tento týden v SECURITY: geopolitických hacktivism, antivirus hornictví, stejně jako LINUX MALWARE

CIA Hacktivists zavedly jakousi Ransomware tažení proti běloruskému železničního systému, ale místo kryptoměna, chtějí propuštění politických vězňů jako stejně jako odstranění ruských vojáků. To by se dalo nazvat příklad kybernetického terorismu, i když tam je cenově teorie, že se jedná o státem podporovaný hack, převlečený za hacktivism. To, co se zdá, specifické je, že se něco přerušil železniční dopravě, jakož i skupinu na Twitteru vytvořila přesvědčivý důkaz o porušení.

Váš Antivirus nyní obsahuje CryptoMiner

Teď se nedívej, ale vaše nejaktuálnější aktualizace Norton 360 nebo Avira může mít nainstalovaný těžební kryptoměna modul. Dobrou zprávou je, že některé duševní zdraví byla zachována, stejně jako budete muset opt-in do kryptografického plánu před své tvůrce začíná náklady na jeho náhradní cykly na těžbu. Pro jednotlivce, kteří dělají, že jsou vloženy do důlního bazénu, což pro malé platby za hodně hardware. Norton, přirozeně, trvá 15% poplatek z vrcholu na jejich potíže.

Specifikujte Linux Malware

Tam využity být pořekadlo, že Linux stroje nedostanou malware. To je ve skutečnosti nikdy nebyl dost pravdivé, nicméně pokračující dobytí serveru krajiny má boční dopad výroby Linux malware ještě vyšší nebezpečí. Crowdstrike zaznamenala 35% nárůst Linux malware se v roce 2021, se třemi unikátními klasifikací vedoucích náboj: XorDDoS, Mozi, stejně jako Mirai.

PwnKit

A když už mluvíme o Linuxu, je velmi vážné zranitelnosti Linux byl právě oznámila, stejně jako pracovní exploit již byla uvolněna. Problém je základní v Polkit binární, který je pro tento účel, mohou být věřil jako o sudo alternativu. Rozhodující je, že se jedná o setuid binární, ten, který povyšuje své vlastní oprávnění ke kořeni, když provádí neprivilegovaným uživatelem. „Počkejte,“ Slyšel jsem, že řeknete: „To vypadá jako hrozné bezpečnostní problém!“ To může být, když se pokazí. Nicméně základní Skutečností je, že tam jsou časy, kdy o individuální potřeby dělat akci, která by jinak potřebné oprávnění uživatele root. Jednoduchý příklad, ping, potřebuje otevřít síťovou zásuvku syrové v koupit fungovat. Tyto binární soubory jsou velmi pečlivě vytvořeny k tomu, aby jen omezené akce však často chyba umožňuje unikání tento „sandbox“.

Tak jak to vypadá s pkexec? NULL argv. OK, Linux programování 101 čas. Je-li program zaveden v systému Linux, je to prošel dva parametry, obvykle pojmenované argc stejně jako argv. Jedná se o celé číslo, stejně jako celá řada pokynů char resp. Pokud si nejste programátor, pak věřit to jako počet argumentů, stejně jako seznam argumentů. Tato informace se používá k analýze, stejně jako řídit volby příkazového řádku uvnitř programu. argc je vždy alespoň jedna, stejně jako argv [0] se vždy skládají z názvu binární jako proveden. Až na to, že není vždy případ. Existuje ještě jeden způsob, jak zavést binární soubory s využitím funkce execve (). Tato funkce umožňuje programátorovi zadat seznam argumentů přímo, včetně nesouhlasu 0.

Takže co se stane v případě, že seznam je právě NULL? Pokud byl program napsaný na účet pro tuto možnost, stejně jako sudo, pak je vše v pořádku. pkexec však nezahrnuje zkontrolujte lačný argv nebo argc 0. To působí, jako kdyby tam je nesouhlas číst, stejně jako způsobu inicializace programu se vyskytuje v paměti, je to opravdu přistupuje úplně první atmosféru variabilní místo, stejně jako dárky to jako argument. Kontroluje systémovou cestu pro odpovídající binární, stejně jako přepisů, co podle jeho názoru je, že je seznam nesouhlas, ale je opravdu atmosféra variabilní. To znamená, že nekontrolovaný text může být aplikován jako atmosféra proměnné v pkexec, setuid programu.

To je zajímavé, ale ne okamžitě použitelné, protože pkexec vymaže ji má atmosféru proměnné brzy po injekci se stane. Takže to, co záludný technika můžeme využít opravdu využít to? házet chybové hlášení. pkexec bude využívat gconv sdílené knihovny tisknout chybovou zprávu, stejně jako to začíná tím, že se snaží najít konfigurační soubor gconv-modules. Tyto údaje, které definuje určité knihovny dat otevřít. Atmosféra proměnná GCONV_PATH může být použit k určení souboru střídavý konfigurační však tato atmosféra proměnná je blokována při spuštění setuid binární. Ah, ale máme metodu napíchnout skvělou atmosféru proměnnou po takovém. To exploit. Připravte si payload.so, který obsahuje náš libovolný kód, falešný gconv modulů dat, který odkazuje na užitečné zatížení, stejně jako pak využít NULL argv techniku vstříknout GCONV_PATH atmosféru proměnnou. Kdo jsem? Vykořenit.

Je tu pár zajímavé zvraty k tomuto příběhu. Za prvé, [Ryan Mallon] přišel bolestivě v blízkosti zjištění této chyby zabezpečení v roce 2013, jakož i za druhé, metoda již v roce 2007, [Michael Kerrisk] oznámil NULL argv vtípek jako Linux KETento týden v SECURITY: geopolitických hacktivism, antivirus hornictví, stejně jako LINUX MALWARE (###) CIA Hacktivists zavedly jakousi Ransomware tažení proti běloruskému železničního systému, ale místo kryptoměna, chtějí propuštění politických vězňů jako stejně jako odstranění ruských vojáků. To by se dalo nazvat příklad kybernetického terorismu, i když tam je cenově teorie, že se jedná o státem podporovaný hack, převlečený za hacktivism. To, co se zdá, specifické je, že se něco přerušil železniční dopravě, jakož i skupinu na Twitteru vytvořila přesvědčivý důkaz o porušení.

Váš Antivirus nyní obsahuje CryptoMiner

Teď se nedívej, ale vaše nejaktuálnější aktualizace Norton 360 nebo Avira může mít nainstalovaný těžební kryptoměna modul. Dobrou zprávou je, že některé duševní zdraví byla zachována, stejně jako budete muset opt-in do kryptografického plánu před své tvůrce začíná náklady na jeho náhradní cykly na těžbu. Pro jednotlivce, kteří dělají, že jsou vloženy do důlního bazénu, což pro malé platby za hodně hardware. Norton, přirozeně, trvá 15% poplatek z vrcholu na jejich potíže.

Specifikujte Linux Malware

Tam využity být pořekadlo, že Linux stroje nedostanou malware. To je ve skutečnosti nikdy nebyl dost pravdivé, nicméně pokračující dobytí serveru krajiny má boční dopad výroby Linux malware ještě vyšší nebezpečí. Crowdstrike zaznamenala 35% nárůst Linux malware se v roce 2021, se třemi unikátními klasifikací vedoucích náboj: XorDDoS, Mozi, stejně jako Mirai.

PwnKit

A když už mluvíme o Linuxu, je velmi vážné zranitelnosti Linux byl právě oznámila, stejně jako pracovní exploit již byla uvolněna. Problém je základní v Polkit binární, který je pro tento účel, mohou být věřil jako o sudo alternativu. Rozhodující je, že se jedná o setuid binární, ten, který povyšuje své vlastní oprávnění ke kořeni, když provádí neprivilegovaným uživatelem. „Počkejte,“ Slyšel jsem, že řeknete: „To vypadá jako hrozné bezpečnostní problém!“ To může být, když se pokazí. Nicméně základní Skutečností je, že tam jsou časy, kdy o individuální potřeby dělat akci, která by jinak potřebné oprávnění uživatele root. Jednoduchý příklad, ping, potřebuje otevřít síťovou zásuvku syrové v koupit fungovat. Tyto binární soubory jsou velmi pečlivě vytvořeny k tomu, aby jen omezené akce však často chyba umožňuje unikání tento „sandbox“.

Tak jak to vypadá s pkexec? NULL argv. OK, Linux programování 101 čas. Je-li program zaveden v systému Linux, je to prošel dva parametry, obvykle pojmenované argc stejně jako argv. Jedná se o celé číslo, stejně jako celá řada pokynů char resp. Pokud si nejste programátor, pak věřit to jako počet argumentů, stejně jako seznam argumentů. Tato informace se používá k analýze, stejně jako řídit volby příkazového řádku uvnitř programu. argc je vždy alespoň jedna, stejně jako argv [0] se vždy skládají z názvu binární jako proveden. Až na to, že není vždy případ. Existuje ještě jeden způsob, jak zavést binární soubory s využitím funkce execve (). Tato funkce umožňuje programátorovi zadat seznam argumentů přímo, včetně nesouhlasu 0.

Takže co se stane v případě, že seznam je právě NULL? Pokud byl program napsaný na účet pro tuto možnost, stejně jako sudo, pak je vše v pořádku. pkexec však nezahrnuje zkontrolujte lačný argv nebo argc 0. To působí, jako kdyby tam je nesouhlas číst, stejně jako způsobu inicializace programu se vyskytuje v paměti, je to opravdu přistupuje úplně první atmosféru variabilní místo, stejně jako dárky to jako argument. Kontroluje systémovou cestu pro odpovídající binární, stejně jako přepisů, co podle jeho názoru je, že je seznam nesouhlas, ale je opravdu atmosféra variabilní. To znamená, že nekontrolovaný text může být aplikován jako atmosféra proměnné v pkexec, setuid programu.

To je zajímavé, ale ne okamžitě použitelné, protože pkexec vymaže ji má atmosféru proměnné brzy po injekci se stane. Takže to, co záludný technika můžeme využít opravdu využít to? házet chybové hlášení. pkexec bude využívat gconv sdílené knihovny tisknout chybovou zprávu, stejně jako to začíná tím, že se snaží najít konfigurační soubor gconv-modules. Tyto údaje, které definuje určité knihovny dat otevřít. Atmosféra proměnná GCONV_PATH může být použit k určení souboru střídavý konfigurační však tato atmosféra proměnná je blokována při spuštění setuid binární. Ah, ale máme metodu napíchnout skvělou atmosféru proměnnou po takovém. To exploit. Připravte si payload.so, který obsahuje náš libovolný kód, falešný gconv modulů dat, který odkazuje na užitečné zatížení, stejně jako pak využít NULL argv techniku vstříknout GCONV_PATH atmosféru proměnnou. Kdo jsem? Vykořenit.

Je tu pár zajímavé zvraty k tomuto příběhu. Za prvé, [Ryan Mallon] přišel bolestivě v blízkosti zjištění této chyby zabezpečení v roce 2013, jakož i za druhé, metoda již v roce 2007, [Michael Kerrisk] oznámil NULL argv vtípek jako Linux KE

Leave a Reply

Your email address will not be published. Required fields are marked *