Hubo una perturbación en el mundo de la seguridad empresarial, y Comenzó con un PWN2own Berlín. [Khoa Dinh] Y el equipo de Viettel Cyber Safety descubrió un par de vulnerabilidades en SharePoint de Microsoft. Se demostraron en la competencia de Berlín en mayo, y se parcan por Microsoft en el parche de este mes el martes.
Esta cadena de exploit unique es interesante en sí misma. Está dentro del punto remaining de SharePoint, /_layouts/15/ToolPane.aspx. El código de respaldo de este punto remaining tiene una compleja verificación de autenticación y validación. A saber, si la solicitud entrante no se autentica, el código verifica un indicador, que se establece verdadero cuando el encabezado del referente apunta a una página de cierre de sesión, que el solicitante puede establecer arbitrariamente. El DisplayMode Las necesidades de valor se establecen en Editpero eso es accesible a través de un parámetro URL easy. El valor de página, según la URL utilizada en la llamada, debe comenzar con /_layouts/ y terminar con /ToolPane.aspx. Ese cheque en specific parece una volcada, dado que estamos trabajando con el ToolPane.aspx punto remaining. Pero para omitir la verificación de ModeMode, agregamos un parámetro al remaining de la URL, y hilarantemente, la cadena PagePath incluye esos parámetros. La easy actuación es para agregar otro parámetro, foo=/ToolPane.aspx.
Ponlo juntos, esto significa una publicación de /_layouts/15/ToolPane.aspx?DisplayMode=Edit&foo=/ToolPane.aspx con el encabezado del referente establecido en /_layouts/SignOut.aspx. Este enfoque pasa por alto la autenticación y permite un parámetro de formulario MSOTlPn_DWP para especificar. Estos deben ser un archivo válido en el sistema de archivos del objetivo, en el _controltemplates/ directorio, terminando con .iscx. Pero otorga acceso a todos los controles internos del SafeControls lista.
Hay una segunda mitad para [Khoa Dinh]El artículo de redacción, que detalla el descubrimiento de un error de deserialización en uno de esos puntos finales, que también utiliza un tipo de ataque inteligente de confusión. El resultado remaining fue la ejecución del código remoto en el objetivo de SharePoint, con una sola solicitud bastante easy. Microsoft lanzó parches para arreglar la cadena de exploit. El problema es que Microsoft a menudo opta por corregir vulnerabilidades con cambios mínimos en el código, a menudo no puede solucionar las fallas de código subyacente. Aparentemente, esto sucedió en este caso, ya que la solución de derivación de la autenticación podría ser derrotada simplemente agregando otro parámetro a la URL.
Estos derivaciones fueron encontrados en la naturaleza el 19 de julioy Microsoft confirmó rápidamente. Al día siguiente, el 20, Microsoft emitió un parche de emergencia para abordar los desvíos. La explotación en vivo parece ser proveniente de un conjunto de actores de amenaza chinacon un énfasis posterior a la explotación en robar datos y mantener el acceso. Parece que hay más de 400 sistemas comprometidos en todo el mundo, y algunos de ellos son bastante de alto perfil.
El bypass de cifrado initramfs
Si bien los entusiastas de Linux han examinado el arranque seguro con gran escepticismo desde que Microsoft y los proveedores de {hardware} trabajaron juntos para implementar esta función de seguridad, la realidad moderna es que los sistemas de Linux también dependen de ella para sus garantías de seguridad. Un disco duro encriptado es de uso limitado si los elementos utilizados para descifrar la unidad están comprometidos. Think about un núcleo o comida con una puerta trasera oculta, que modifica el sistema una vez que se ha ingresado la contraseña de descifrado. Hay un nuevo ataque interesante descrito a principios de este mes, que se dirige a los initramfs.
Tomemos un desvío rápido para hablar sobre cómo se inicia una máquina Linux. Al inicio de potencia, el firmware de la máquina realiza la alimentación de la autoevaluación (publicación) y luego carga una carga útil de UEFI desde el disco duro. En el caso de Linux, esta es la cuña, un gestor de arranque en la primera etapa que luego lleva una imagen de grub firmada. Grub luego carga un núcleo de Linux firmado y la imagen InitRAMFS, que no es más que un sistema de archivos mínimo y comprimido. Por lo common, contiene solo los elementos esenciales de Barest para iniciar el proceso de arranque y cambiar al sistema de archivos raíz actual.
Es posible que haya notado algo que falta en esa descripción: la imagen InitRAMFS no está firmada. Esto a menudo es construido por el usuario remaining con cada núcleo nuevo, por lo que no puede ser firmado por la distribución de Linux. La posibilidad de modificar el initRAMFS no es una thought nueva, pero lo que agrega esta investigación es la observación de que muchas distribuciones proporcionan un caparazón de depuración cuando la contraseña de cifrado incorrecta se da varias veces seguidas. Esto es rápidamente accesible para un atacante, y ese shell de depuración tiene acceso a los initramfs. Un ataque muy rápido de “Madle Maid” es arrancar la máquina, fallar la contraseña varias veces para lanzar el shell de depuración e instalar un initramfs malicioso desde allí.
Et tu Clear Linux?
Clear Linux OS fue Intel’s Playground para ajustar a Linux por ejecutar su mejor CPU Fashionable Intel (y AMD). Y tristemente, A partir del 18, ya no se mantienecon actualizaciones e incluso soluciones de seguridad cesan de inmediato. Esta no es una gran sorpresa, ya que ha habido Varios ingenieros de Linux que salen de la compañía en las últimas semanas.
Lo que es particularmente interesante es que no se proporcionaron pista para usuarios activos, y las actualizaciones de seguridad se detuvieron de inmediato con este anuncio. Si bien Clear Linux no estaba exactamente destinado al uso de la producción, sin duda había un grupo de usuarios que lo usaban en alguna variación del uso de producción. Y de repente, esos usuarios tienen una necesidad inmediata de migrar a un Linux diferente y todavía suitable.
Automatización de la interfaz de usuario
Hay un nuevo informe de Akamai sobre malware que utiliza funciones de accesibilidad para espiar de manera más efectiva a los usuarios. El malware es coyote, y se ha encontrado una tensión specific dirigida a los usuarios de Home windows brasileños utilizando el marco de Microsoft UI Automation (UIA). Cuando encontré esta historia por primera vez, pensé que se trataba de malware usando inteligencia synthetic. En cambio, es la función de accesibilidad de UIA la que hace que sea trivial que el malware extraiga información detallada desde dentro de una aplicación en ejecución. Los investigadores de Akamai han estado sonando la alerta sobre esto como un problema potencial durante varios meses, por lo que es particularmente interesante verlo en la naturaleza en el uso actual.
Inyección preparada
Cuando aprendí por primera vez la seguridad de PHP, una de las reglas de oro period usar declaraciones preparadas para evitar la inyección de SQL. Este sigue siendo un buen consejo: solo hay un secreto astuto dentro de la biblioteca PDO SQL de PHP. En realidad no hace declaraciones preparadas de forma predeterminada. Los finge. Y en algunos casos, eso es suficiente para obtener una inyección SQL, incluso en una “declaración preparada”.
La clave de esto es la inyección de un ? o : Símbolo, que el analizador PDO puede interpretar erróneamente como otro parámetro límite. Entonces el código weak podría parecer $pdo->put together("SELECT $col FROM fruit WHERE title = ?"). Si un atacante puede contrabandear el texto en ambos $col variable y el valor para vincular a titleentonces la inyección es posible.
La solicitud maliciosa puede parecer http://localhost:8000/?name=x` FROM (SELECT table_name AS `'x` from information_schema.tables)y;%23&col=?%23percent00. Ese texto codificado de URL se convierte en ?#�que derrota la lógica de análisis de PDO, lo que permite insertar el texto de inyección en el marcador de posición falso.
Bits y bytes
Posiblemente lo más deprimente que leerá hoy es Este juego por juego de Clorox y Cognizant se culpan entre sí por una desagradable violación de datos en 2023. Clorox subcontrató su TI y, por lo tanto, no se puede culpar. La mesa de ayuda de Cognizant restablece las contraseñas y la autenticación de múltiples factores sin ninguna verificación actual de quién estaba solicitando esas acciones. Y la declaración de Cognizant es que Clorox debería haber tenido suficientes sistemas de ciberseguridad para mitigar estos eventos.
El servicio de autenticación invitada de VMware, Vgauth, tuvo un problema donde Un usuario de privilegio limitado en una máquina de Windows virtual podría abusar del servicio para obtener privilegios del sistema. Esto es un poco diferente de las historias normales sobre adiciones de VM, ya que esta no incluye un escape de VM actual. Lograr el sistema es un paso importante en esa dirección para la mayoría de las cadenas de exploits.
Y finalmente, Quién necesita malware o atacantes, cuando tienes herramientas de IA? A dos agentes de IA diferentes se les dio demasiada libertad para trabajar con datos reales, y uno logró eliminar carpetas mientras intentaba reorganizarlos, mientras que el otro eliminó una base de datos de producción. Mi cita favorita de toda la saga es directamente de Gemini: “Te he fallado de forma completa y catastrófica. Mi revisión de los comandos confirma mi gran incompetencia”.
