Chúng tôi đã bao gồm khá nhiều câu chuyện về phần mềm độc hại lén lút vào NPN và các kho lưu trữ JavaScript khác. Điều này hơi khác một chút. Lần này, một lập trình viên JS đã phá hoại các gói riêng của mình. Nó thậm chí không phải là phần mềm độc hại, có lẽ chúng ta nên gọi nó là Protestware? Hai gói, màu sắc và kẻ giả mạo đều phổ biến, với mức tải xuống hàng tuần kết hợp gần 23 triệu. Tác giả của họ, [Marak] đã thêm một bản cập nhật phá vỡ cho mỗi người trong số họ. Những thư viện này hiện in một tiêu đề của Liberty Liberty Liberty, và sau đó là các nhân vật ngẫu nhiên hoặc nghệ thuật ASCII rất kém. Nó đã được xác nhận rằng đây không phải là kẻ tấn công bên ngoài, nhưng [Marak] đã phá vỡ các dự án của riêng mình về mục đích. Tại sao?
Có vẻ như câu chuyện này bắt đầu lại vào cuối năm 2020, khi [Marak] đã mất một chút trong một đám cháy, và phải xin tiền trên Twitter. Chỉnh sửa: Nhờ bình luận [Jack Dansen] để chỉ ra một chi tiết quan trọng bị thiếu. Marak bị buộc tội gây nguy hiểm liều lĩnh, và bị nghi ngờ vì những khát vọng khủng bố có thể xảy ra, vì vật liệu làm bom đã được tìm thấy trong căn hộ bị đốt cháy của mình. Hai tuần sau, ông đã tweet rằng hàng tỷ người đang được thực hiện công việc của các nhà phát triển nguồn mở, trích dẫn rò rỉ Fauang. Faang là một tài liệu tham khảo cho năm công ty công nghệ lớn của Mỹ: Facebook, Apple, Amazon, Netflix và Google. Cùng ngày, ông đã mở một vấn đề về GitHub cho Faker.js, ném xuống tối hậu thư: “Hãy coi đây là một cơ hội để gửi cho tôi một hợp đồng sáu năm hoặc ngã ba dự án và có người khác làm việc với nó.”
Nếu bạn thấy mình cảm thấy tiếc cho [Marak], có một nếp nhăn còn lại để biến. Ông đã không cam kết mã với Colors.js kể từ tháng 2 năm 2018. Một nhà phát triển khác, [DABH] đã được bảo trì kể từ đó, cho đến khi sự phá hoại xảy ra. Tất cả đã nói, đó là một mớ hỗn độn. Cả hai dự án trên NPM đã được hoàn nguyên đối với các bản phát hành không bị xole của họ và có thể sẽ được xoay vào dĩa chính thức của các dự án.
Khởi động lại mô phỏng
Sự khôn ngoan chung là trong khi có nhiều bộ dụng cụ phần mềm độc hại iOS, được sản xuất bởi nhóm của NSO, phần mềm độc hại đó thực sự không thể đánh bại khởi động an toàn của Apple, vì vậy việc khởi động lại điện thoại là đủ để “gỡ cài đặt” nó. Vấn đề với điều này rõ ràng là một khi bạn nghe thấy: Bạn đang tin tưởng một thiết bị bị xâm nhập để thực sự thực hiện khởi động lại sạch. Các nhà nghiên cứu tại Zecops đã chứng minh khả năng làm gián đoạn quá trình khởi động lại trong những gì họ đang gọi Noreboot. Mã của họ móc vào chức năng Tắt máy và thay vào đó, hãy giết tất cả giao diện người dùng. Khi nút POWER được nhấn lại, hoạt hình khởi động được hiển thị và cuối cùng là một lệnh hệ thống tiện dụng khởi động lại không gian người dùng. Xem bản demo được nhúng dưới đây.
Không có vấn đề, phải không? Chỉ cần sử dụng chức năng khởi động lại lực phần cứng. Giảm âm lượng, giảm âm lượng, sau đó giữ nút nguồn cho đến khi bạn nhận được logo Apple. Bao lâu bạn giữ nó? Cho đến khi logo xuất hiện – đúng, nó tầm thường để giả mạo khởi động lại trước khi người thực sự xảy ra. OK, vì vậy để biết bạn có được một khởi động lại thực sự, bạn chỉ cần kéo pin … Ồ.
thông qua hồ sơ.
Microsoft hack macos.
MacOS có một tính năng gọi là độ trong suốt, sự đồng ý và kiểm soát (TCC) xử lý quyền cho các ứng dụng riêng lẻ. Hệ thống này ngăn ứng dụng máy tính truy cập webcam của hệ thống, ví dụ. Các cài đặt được lưu trữ trong cơ sở dữ liệu được lưu trữ trong thư mục chính, với các điều khiển nghiêm ngặt ngăn ứng dụng sửa đổi trực tiếp. Microsoft đã công bố lỗ hổng PowerDIR, kết hợp một vài Quirks để vượt qua sự bảo vệ. Việc khai thác rất đơn giản: tạo cơ sở dữ liệu TCC giả, sau đó thay đổi thư mục chính của người dùng để cơ sở dữ liệu giả mạo hiện đang hoạt động. Nó phức tạp hơn một chút so với điều đó, bởi vì một ứng dụng ngẫu nhiên thực sự không thể để lại thư mục chính.
Họ tìm thấy hai kỹ thuật để làm cho công việc khởi động lại. Đầu tiên là nhị phân dịch vụ thư mục, dsexport và dsimport. Trong khi thay đổi thư mục chính yêu cầu quyền truy cập root, múa xuất / nhập này có thể được thực hiện như một người dùng không có đặc quyền. Kỹ thuật thứ hai là cung cấp gói độc hại cho Binary Binary, thực hiện cuộc tấn công tiêm mã. Thật thú vị khi thấy Microsoft tiếp tục nhắm mục tiêu nghiên cứu bảo mật MacOS. Động lực của chúng có thể nhỏ hơn cao quý, nhưng nó thực sự giúp giữ cho tất cả các thiết bị của chúng tôi an toàn hơn.
QNAP và UPNP.
Chúng tôi đã bao gồm khá nhiều lỗ hổng NAS trong những năm qua và tôi đã lưu ý nhiều lần rằng nó thực sự không khôn ngoan để phơi bày các thiết bị như thế này với Internet. Một trong những lời giải thích được đề xuất là UPnP, và hôm nay chúng tôi có một số xác nhận chính thức rằng đây thực sự là một phần của vấn đề. Trong một cố vấn mới, QNAP chính thức khuyên bạn nên tắt UPNP trong các thiết bị QNAP. Có vẻ như điều này nên được khuyến cáo khá lâu, hoặc tốt hơn, các thiết bị này được vận chuyển với UPnP bị vô hiệu hóa theo mặc định. Tôi cũng sẽ tiến thêm một bước và gợi ý việc tắt tính năng trong bộ định tuyến của bạn, trừ khi bạn biết rằng bạn thực sự cần nó cho một cái gì đó.
Nếu bạn nhận được ổ USB trong thư …
Cho lòng tốt, Đừng cắm nó vào! Có vẻ như một vài công ty đã không nhận được bản ghi nhớ đó, vì đã có một chiến dịch Ransomware thành công của Fin7 chỉ bằng cách sử dụng phương pháp này. Thủ thuật là chúng bao gồm một lá thư tìm kiếm chính thức, và có thể là một thẻ quà tặng, cám dỗ người nhận để cắm ổ USB để yêu cầu phần thưởng trung thành của họ. Một chiến dịch 2020 từ cùng một nhóm mạo danh mua tốt nhất, nơi người này tuyên bố là từ Amazon hoặc HHS.
Bạn có thể đã tập hợp rằng các ổ đĩa flash này không chỉ là lưu trữ flash. Trên thực tế, chúng dường như là các thiết bị BaduSB – các chip nhỏ đăng ký dưới dạng thiết bị HID và gửi tổ hợp phím vào máy tính. Sau khi cắm, họ mở PowerShell và chạy một tập lệnh độc hại, mang lại quyền truy cập từ xa vào các kẻ tấn công. Nếu bạn nhận được một trong những thứ này, hoặc một cuộc tấn công tương tự, hãy gọi FBI hoặc tương đương cục bộ của bạn. Báo cáo từ các công ty và cá nhân là những gì dẫn đến cảnh báo như thế này.
Cập nhật đáng chú ý
Vòng đầu tiên của Android cập nhật cho năm nay đã hết và có một vấn đề nổi bật, ảnh hưởng đến rất nhiều thiết bị thể thao snapdragon Qualcomm. CVE-2021-30285 là một lỗ hổng định mức quan trọng trong phần mềm nguồn đóng của Qualcomm. Nó được gọi là “Xác thực đầu vào không đúng” trong kernel “, nhưng dường như là một vấn đề quản lý bộ nhớ trong trình ảo hóa Qualcomm. Nó được xếp hạng 9.3 trên thang đo CVSS, nhưng không có chi tiết nào khác có sẵn tại thời điểm này.
Các sản phẩm ảo hóa của VMware đã được vá chống lại CVE-2021-22045, một lỗ hổng tràn hap trong mã thiết bị CD-ROM ảo của họ. Khai thác có thể dẫn đến lối thoát VM và mã tùy ý chạy trên máy ảo hóa máy, một kịch bản trường hợp xấu nhất cho các nhà khai thác VM. Tết lỗ hổng A 7.7, và rất may chắc chắn có một hình ảnh CD được gắn tích cực vào máy, vì vậy cách giải quyết khá dễ dàng – chỉ cần tháo ổ đĩa CD hoặc hình ảnh.