Hemos cubierto bastante pocas historias sobre el malware que se escabullen en el NPN y otros repositorios de JavaScript. Esto es un poco diferente. Esta vez, un programador JS vandalizó sus propios paquetes. Ni siquiera es malware, quizás deberíamos llamarlo protesta. Los dos paquetes, colores y faker son populares, con una descarga semanal combinada de casi 23 millones. Su autor, [Marak] agregó una actualización de ruptura a cada uno de ellos. Estas bibliotecas ahora imprimen un encabezado de Liberty Liberty Liberty, y luego los caracteres al azar, o el arte de ASCII muy pobre. Se ha confirmado que este no era un atacante exterior, pero [Marak] rompió sus propios proyectos a propósito. ¿Por qué?
Parece que esta historia comienza en finales de 2020, cuando [Marak] se perdió un poco en un incendio, y tuvo que pedir dinero en Twitter. Edición: Gracias al comentarista [Jack Dansen] para señalar un detalle importante que faltaba. Marak fue acusado de en peligro imprudente, y fue sospechado por posibles aspiraciones de terrorismo, ya que se encontraron materiales de bomba en su apartamento quemado. Dos semanas después, twitteó que miles de millones se estaban sacando a cabo el trabajo de los desarrolladores de código abierto, citando una fuga de faang. Faang es una referencia a las grandes compañías de Tech Tech grandes: Facebook, Apple, Amazon, Netflix y Google. El mismo día, abrió un problema en GitHub para Faker.js, arrojando un ultimátum: “Tómate esto como una oportunidad para enviarme un contrato anual de seis cifras o tenedor para el proyecto y hacer que alguien más trabaje en él”.
Si te encuentras sintiendo pena por [Marak], quedan una arruga a girar. No ha comprometido código a Colors.js desde febrero de 2018. Otro desarrollador, [DABH] ha estado haciendo mantenimiento desde entonces hasta que ocurrió el vandalismo. Se dijo que todo es un desastre. Ambos proyectos en la NPM han sido revertidos a sus lanzamientos sin problemas, y probablemente se pondrán a las horquillas oficiales de los proyectos.
Reinicios simulados
La sabiduría común es que, si bien hay múltiples kits de malware de iOS, producidos por los gustos de NSO Group, que Malware no puede derrotar a la bota segura de Apple, por lo que un reinicio del teléfono es suficiente para “desinstalarlo”. El problema con esto es obvio una vez que lo escuche: está confiando en un dispositivo comprometido para realizar realmente un reinicio limpio. Los investigadores de ZECOPS han demostrado la capacidad de interrumpir el proceso de reinicio en lo que están llamando a Noreboot. Su código ganchos en la función de apagado, y en cambio mata la interfaz de usuario. Una vez que se presiona el botón de encendido nuevamente, se muestra la animación de arranque y, finalmente, un comando práctico del sistema reinicia el espacio de usuario. Mira la demostración incrustada a continuación.
No hay problema, ¿verdad? Simplemente use la función de reinicio de fuerza de hardware. Volumen arriba, volumen hacia abajo, luego mantenga presionado el botón de encendido hasta que obtenga el logotipo de Apple. ¿Cuánto tiempo lo sostienes? Hasta que aparezca el logotipo, a la derecha, es trivial falsificar un reinicio forzado antes de que suceda el verdadero. Ok, así que para saber que obtienes un verdadero reinicio, simplemente tiras de la batería … Oh.
a través del registro.
Microsoft Hacks MacOS
MacOS tiene una característica llamada Transparencia, consentimiento y control (TCC) que maneja permisos para aplicaciones individuales. Este sistema evita que la aplicación de la calculadora acceda a la cámara web del sistema, por ejemplo. Las configuraciones se almacenan en una base de datos almacenada en el directorio de inicio, con controles estrictos que evitan que las aplicaciones lo modifiquen directamente. Microsoft ha anunciado la vulnerabilidad de PowerDir, que combina una pareja peculiar para superar la protección. La exploit es simple: cree una base de datos TCC falsa, y luego cambie el directorio de inicio del usuario para que la base de datos falsificada sea la activa. Es un poco más complicado que eso, porque una aplicación aleatoria realmente no debería poder remapar al directorio de inicio.
Encontraron dos técnicas para hacer el trabajo de remol. Primero se encuentran los binarios de servicios de directorio, DSEXPORT y DSIMPORT. Mientras está cambiando el directorio de inicio, requiere acceso directamente a la raíz, este baile de exportación / importación se puede hacer como usuario sin privilegio. La segunda técnica es proporcionar un paquete malicioso al Binario Configd, que hace un ataque de inyección de código. Es interesante ver que Microsoft continúe con la investigación de seguridad dirigida a MacOS. Su motivación puede ser menor que noble, pero realmente ayuda a mantener más seguros todos nuestros dispositivos.
Qnap y UPNP
Hemos cubierto bastante algunas vulnerabilidades de NAS a lo largo de los años, y he notado varias veces que realmente no es prudente exponer los aparatos como este a Internet. Una de las explicaciones sugeridas fue UPNP, y hoy tenemos una confirmación oficial de que esto es de hecho parte del problema. En un nuevo asesor, QNAP recomienda oficialmente apagando la UPNP en dispositivos QNAP. Parece que esto debería haberse recomendado bastante tiempo, o mejor aún, estos dispositivos enviados con UPNP desactivados de forma predeterminada. Iría un paso más allá y sugeriría apagar la función en su enrutador, a menos que sepa que realmente lo necesita para algo.
Si obtiene una unidad USB en el correo …
Por el amor de Dios¡No lo conectes! Parece que algunas compañías no obtuvieron ese memo, ya que ha habido una exitosa campaña de ransomware por fin7 usando solo este enfoque. El truco es que incluyen una carta de aspecto oficial, y tal vez una tarjeta de regalo, tentando al receptor para conectar la unidad USB para reclamar su recompensa de lealtad. Una campaña de 2020 del mismo grupo se le impedió mejor la compra, donde ésta afirma ser de Amazon o HHS.
Es posible que haya reunido que estas unidades flash son más que solo almacenamiento flash. De hecho, parecen ser dispositivos BADUSB: pequeños chips que se registran como dispositivos HID y envían pulsaciones de teclas a la computadora. Una vez conectados, abren PowerShell y ejecutan un guión malicioso, dando acceso remoto a los atacantes. Si recibe uno de estos, o un ataque similar, llame al FBI o su equivalente local. Los informes de las empresas y las personas son lo que conduce a una advertencia como esta.
Actualizaciones notables
La primera ronda de actualizaciones de Android para este año está fuera, y hay un problema destacado, que afecta a una gran cantidad de dispositivos que lucen el Snapdragon de Qualcomm. CVE-2021-30285 es una vulnerabilidad calificada vital en el software de origen cerrado de Qualcomm. Se llama una “validación de entrada inadecuada en el kernel”, pero parece ser un problema de administración de memoria en el hipervisor de Qualcomm. Se clasifica un 9.3 en la escala CVSS, pero no hay otros detalles disponibles en este momento.
Los productos de virtualización de VMware se han parchado contra CVE-2021-22045, una vulnerabilidad de desbordamiento de montones en su código de dispositivo Virtual CD-ROM. La explotación podría resultar en un escape de VM y un código de código arbitrario en el hipervisor de la máquina, el peor de los casos para los operadores de VM. La falla las tase un 7.7, y afortunadamente debe haber una imagen de CD conectada activamente a la máquina, por lo que la solución es bastante fácil, simplemente retire la unidad de CD o la imagen.