Die CIA Hacktivisten haben eine Art von Ransomware Kampagne gegen die Belarusian Schienensystem eingeführt, jedoch anstelle von Kryptowährung, sie die Freilassung der politischen Gefangenen wollen als und Entfernung der russischen Soldaten. Dies könnte ein Beispiel für Cyber-Terrorismus genannt werden, obwohl es eine erschwingliche Theorie ist, dass dies ein staatlich geförderte Hack, wie Hacktivismus getarnt. Was spezifisch scheint, dass etwas unterbrochen Rail Transit hat, sowie eine Gruppe auf Twitter hat ein überzeugender Beweis einer Verletzung erstellt.
Ihr Antivirus enthält jetzt ein CryptoMiner
Schauen Sie nicht jetzt, aber Ihre aktuelle Update von Norton 360 oder Avira hat ein Kryptowährung Bergbau-Modul installiert. Der Silberstreif am Horizont ist, dass einige geistige Gesundheit beibehalten wurde, so gut wie Sie haben Opt-in auf den Krypto-Plan, bevor Sie Ihren Hersteller beginnt seine Ersatzzyklen auf Bergbaukosten. Für Personen, die tun, sind sie in einem Bergbau Pool setzen, für kleine Auszahlungen für viele Hardware machen. Norton, natürlich, nimmt eine 15% Gebühr von der Spitze für ihre Mühe.
Die angeben Linux-Malware
Es verwendet ein Sprichwort zu sein, dass Linux-Maschinen nicht von Malware erhalten Sie. Das ist nie wirklich eher wahr, aber die Eroberung der Serverlandschaft weiterhin den Seitenaufprall macht Linux eine noch höhere Gefahr Malware hatte. XorDDoS, Mozi sowie Mirai: Crowdstrike hat im Jahr 2021, mit drei einzigartigen Klassifikationen führen die Anklage eine 35% ige Steigerung in Linux Malware gesehen.
PwnKit
Und von Linux gesprochen, eine ziemlich ernst Linux Schwachstelle wurde nur angekündigt, sowie eine Arbeits Exploits bereits freigegeben wurde. Das Problem ist ein grundlegender ein in der polkit binär, die für diesen Zweck, kann als eine Alternative sudo geglaubt werden. Der entscheidende Teil ist, dass es eine binäre setuid, eine, die ihre eigenen Privilegien zu Wurzel erhebt, wenn sie von einem unprivilegierten Benutzer durchgeführt. „Jetzt warten“, höre ich Sie sagen: „Das ist wie eine schreckliche Sicherheitsproblem scheint!“ Es kann sein, wenn es schief geht. aber die grundlegende Realität ist, dass es Zeiten gibt, wenn ein individuelles Bedürfnis eine Aktion zu tun, die sonst Root-Rechte benötigen würden. Ein einfaches Beispiel, ping, braucht eine einfache Netzwerk-Buchse in Kauf zu Funktion zu öffnen. Diese Binärdateien sind sehr sorgfältig erstellt, um nur eingeschränkte Aktionen zu ermöglichen, jedoch oft ein Bug ermöglicht dieses „Sandbox“ zu entkommen.
Also, was ist die Geschichte mit pkexec? NULL argv. OK, Linux Programmierung 101 mal. Wenn ein Programm unter Linux eingeführt wird, wird es zwei Parameter übergeben, in der Regel sowie argv genannt argc. Diese sind eine ganze Zahl, sowie eine Vielzahl von char-Richtlinien sind. Wenn Sie kein Programmierer sind, dann glauben, dies als die Anzahl der Argumente, sowie die Auflistung von Argumenten. Diese Information wird an Parse genutzt sowie Befehlszeile Auswahl innerhalb des Programms verwalten. argc ist immer mindestens ein, sowie argv [0] wird immer von dem Namen der binären bestehen, wie ausgeführt. Außer dass nicht immer der Fall ist. Es gibt eine weitere Methode Binärdateien einzuführen, unter Verwendung der execve () Funktion. Diese Funktion ermöglicht es dem Programmierer die Liste der Argumente direkt zu spezifizieren, einschließlich Uneinigkeit 0.
So kommt was, wenn das Angebot nur NULL ist? Wenn ein Programm zur Rechenschaft für diese Möglichkeit geschrieben wurde, wie sudo, dann ist alles gut. pkexec, enthält jedoch keine Einsicht für einen leeren argv oder einen argc von 0. Es wirkt, als ob es eine Meinungsverschiedenheit ist, sowie das Verfahren der Programminitialisierung im Speicher auftritt, zu lesen, greift es wirklich die erste Atmosphäre Variable statt, sowie Leckereien es wie ein Argument. Es überprüft den Systempfad für ein passenden binären sowie umschreibt, was es glaubt, ist es die Uneinigkeit Liste, aber ist wirklich die Atmosphäre variabel. Dies zeigt an, dass ein unkontrollierter Text kann als Atmosphäre Variable in pkexec, das Programm setuid- injiziert werden.
Das ist interessant, aber nicht sofort sinnvoll, da pkexec löscht es die Atmosphäre Variablen bald nach der Injektion geschieht. Also, was hinterhältig Technik könnten wir nutzen, um das wirklich ausnutzen? wirft eine Fehlermeldung. pkexec den gconv Shared Library verwenden, um eine Fehlermeldung gedruckt werden, sowie es durch den Versuch startet die gconv-Module Konfigurationsdatei zu finden. Diese Daten definieren, die bestimmten Bibliotheksdaten zu öffnen. Die Atmosphäre variable GCONV_PATH kann eine alternierende Konfigurationsdatei zu spezifizieren verwendet werden, aber diese Atmosphäre variabel blockiert wird, wenn ein binäres setuid- läuft. Ah, jedoch haben wir eine Methode, um eine Atmosphäre Variable zu injizieren, nachdem dies geschieht. Das ist das auszunutzen. Vorbereiten eines payload.so die unsere beliebigen Code enthält, eine gefälschte gconv-Module Daten, die Punkte auf die Nutzlast sowie dann die NULL argv Technik nutzen, um die Atmosphäre GCONV_PATH variable einzuspritzen. Wer bin ich? Wurzel.
Es gibt ein paar Drehungen zu dieser Geschichte interessant. Zuerst [Ryan Mallon] kam schmerzlich schließt Diese Verwundbarkeit im Jahr 2013 im Jahr 2007 sowie zum anderen Verfahren zurück zu finden, [Michael Kerrisk] berichtete, die NULL argv Marotte als Linux-kernel Fehler.
Offensiv zufällige Passwörter
Die viel sicheres Passwort ist eine, die zufällig generiert wird, nicht wahr? Ja, aber was ist, wenn das Zufallsgenerator nicht eher so zufällig wie es scheint? jetzt sind wir nicht über vorsätzlichen Backdoors diesmal sprechen, aber die scheinbar irrelevant Muster, die oft einen großen Unterschied machen. Das Rätsel Maschine, immerhin wurde teilweise geknackt, da sie nie einen Brief als selbst codieren. [Hans Lakhan] von TrustedSec warf einen Blick auf eine Million Passwörter von Lastpass produziert, sowie versucht, etwas Gutes aus den Daten zu verallgemeinern. viele dieser Passwörter haben entweder 1 oder 2 Ziffern. beachten Sie dies nicht eine Schwäche im Algorithmus ist aber nur das erwartete Ergebnis der angebotenen Zeichen. würde es mit der Politik ein Vorteil für Brute-Forcing Passwörter sein, dass jede Annahme bedarf entweder eine oder zwei Ziffern bestehen? Es wäre auf jeden Fall den Angriff Raum verringern, aber es wäre auch Passwörter verpassen, die das Muster nicht in Form zu tun. wäre der Kompromiss wert?
Die Antwort ist nicht eindeutig. Unter besonderen Umständen ist es ein kleiner Vorteil bekommen von den vorgeschlagenen Regeln verwendet. jedoch verschwindet, daß Vorteil wie der Brute-Force-Prozess wird fortgesetzt. So oder so, es ist ein interessanter Versuch, auf Statistiken zu Knacken von Passwörtern angewendet wird.
WordPress sowie Backdoor-ed Themen
Einer der größeren Hersteller von WordPress-Themes sowie Plug-in, erfuhr AccessPress, eine Verletzung ihrer Website, die eine schreckliche Wendung nahm. Das Thema wurde von den Forschern an Jetpack gefunden, die ein post-mortem verschiedener kompromittierten Website taten, sowie entdeckte Malware in einem AccessPress Thema eingebettet. Die vorläufige Verletzung trat im September 2021, also seien Sie misstrauisch von jeder Art von Material aus AccessPress wenn zwischen September heruntergeladen sowie Mitte Oktober 2021 zur Kenntnis, dass, wenn aus dem Verzeichnis WordPress.org installiert ist, diese Themen waren sicher. Eine Auflistung von infizierten verstanden Plugins sowie Themen auf den oberen Link angeboten werden, zusätzlich zu den anderen Zeichen des Kompromisses.
Bits sowie Bytes
Es gibt noch einen weiteren Trick Token, das ist ist versehentlich in Quellcode offenbart, der Twitter Gewinn Zugriff auf Token. Github bereits nicht automatisierte Scannen von Anmeldeinformationen versehentlich in Repositories enthalten, aber dies beinhaltet keine Twitter-Token. [IncognitaTech] einen schnellen Scanner zusammengesetzt, sowie rund 9.500 gültige Token entdeckt. (Insert über 9000 meme hier.) Genau, wie so viele Menschen von dem Problem in Kenntnis zu setzen? produziert einen Bot, einen Tweet machen, sowie dann die Token zu retweet nutzen. Das ist sicher, etwas Aufmerksamkeit zu fangen.
Sonicwall SMA 100-Serie Hardware hat eine Reihe von Schwachstellen, die jetzt auch offenbart gepatcht wurden. das Schlimmste ist, ein nicht authentifizierter Pufferüberlauf, Partitur ein CVSS von 9,8. Diese Geräte sind ziemlich prominent für kleine Unternehmen, so halten Sie die Augen für potenziell anfällig Hardware öffnen, sowie bekommen sie gepatcht, wenn Sie können.
Crypto.com erlebte eine Verletzung am 17. Januar. Sie zunächst verharmlost den Vorfall jedoch haben bedenkt, dass eine Erklärung mit zusätzlich Details veröffentlicht. Der Angriff war ein Zwei-Faktor-Authentifizierung Bypass, einen Angreifer ermöglicht, Transaktionen zu initiieren, ohne effektiv den in der Regel benötigte 2FA Prozess abgeschlossen ist. Sie machen die Versicherung behaupten, dass sie das Problem gefangen früh ausreichend, um jegliche Art von tatsächlichem Verlust der Währung zu stoppen, die wirklich ziemlich beeindruckend.
Google Chrome hat ein Update veröffentlicht, sowie diese enthält Korrekturen für einige teure Fehler. sechs separate Berichte Forscher verdienten viel mehr als $ 10.000 pro Stück, mit dem ober beide einem wunderbaren $ 20K. Diese sechs, zusätzlich zu einem siebten Bug gemeldet intern, alle scheinen die Interessenten zu müssen eher ernst, so gehen update!
Und schließlich, in den Dinge, dass will nicht-End-Well-Kategorie ist das Vereinigte Königreich mit dem Konzept flirtend Sicherheitsforschern der Regulierung, so dass Sicherheitsforschung Studie eines eingetragener Handel. Teil dieses Plans das Abreiben ist das Konzept, dass jede Art von nicht registrierten Forscher unterliegen unter bestimmten Umständen zu Strafanzeigen sein kann. Dies scheint wie eine schreckliche Konzept aus offensichtlichen Gründen.