Чтоб вам не казалось, что тут сплошные хихоньки и хахоньки, вот вам лонгрид про FORCEDENTRY - уязвимость, с помощью которой NSO Group ломала iphone еще вот буквально в 2021 году. Сама уязвимость была исправлена в сентябре этого года. Отчёт об её исследовании опубликовали Project Zero при содействии Citizen Lab и специалистов Apple Security Engineering and Architecture (SEAR).
https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html
Эксплуатация уязвимости предполагала отправку сообщения жертве, но ей даже не надо было ничего делать - клик по ссылке не требовался. Там интересный момент в том, что при получении гиф-файла, еще до того, как картинка показывалась пользователю в приложении Messages, системой вызывался метод, который копировал гифку для дальнейшего показа. Только вот в файле формата gif может быть совсем не гифка. В итоге специально подготовленный файл вызывал библиотеку ImageIO, который пытался угадать формат файла, и тут уже участниками процесса становились более 20 кодеков изображений. А дальше там уже PDF внутри гифки, который начинает разбирать парсер CoreGraphics, а внутри ПДФ можно засунуть JavaScript…
но на самом деле там идёт речь о формате JBIG2, компрессии символов глифов в этом формате, переполнении буфера памяти и ещё каких-то страшных вещах, которые я в какой-то момент перестал понимать:
JBIG2 doesn't have scripting capabilities, but when combined with a vulnerability, it does have the ability to emulate circuits of arbitrary logic gates operating on arbitrary memory. So why not just use that to build your own computer architecture and script that!? That's exactly what this exploit does. Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator which they use to search memory and perform arithmetic operations. It's not as fast as Javascript, but it's fundamentally computationally equivalent.
Дальше авторы поста обещают продолжение с рассказом, как происходил «побег из песочницы», так что ждём
https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html
Эксплуатация уязвимости предполагала отправку сообщения жертве, но ей даже не надо было ничего делать - клик по ссылке не требовался. Там интересный момент в том, что при получении гиф-файла, еще до того, как картинка показывалась пользователю в приложении Messages, системой вызывался метод, который копировал гифку для дальнейшего показа. Только вот в файле формата gif может быть совсем не гифка. В итоге специально подготовленный файл вызывал библиотеку ImageIO, который пытался угадать формат файла, и тут уже участниками процесса становились более 20 кодеков изображений. А дальше там уже PDF внутри гифки, который начинает разбирать парсер CoreGraphics, а внутри ПДФ можно засунуть JavaScript…
но на самом деле там идёт речь о формате JBIG2, компрессии символов глифов в этом формате, переполнении буфера памяти и ещё каких-то страшных вещах, которые я в какой-то момент перестал понимать:
JBIG2 doesn't have scripting capabilities, but when combined with a vulnerability, it does have the ability to emulate circuits of arbitrary logic gates operating on arbitrary memory. So why not just use that to build your own computer architecture and script that!? That's exactly what this exploit does. Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator which they use to search memory and perform arithmetic operations. It's not as fast as Javascript, but it's fundamentally computationally equivalent.
Дальше авторы поста обещают продолжение с рассказом, как происходил «побег из песочницы», так что ждём
projectzero.google
A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution - Project Zero
Posted by Ian Beer & Samuel Groß of Google Project Zero We want to thank Citizen Lab for sharing a sample of the FORCEDENTRY exploit with us, and...
Как передают из интернетов, патчи не только исправляют уязвимости, но и добавляют новые. И где? В log4j
https://arstechnica.com/information-technology/2021/12/patch-fixing-critical-log4j-0-day-has-its-own-vulnerability-thats-under-exploit/
https://arstechnica.com/information-technology/2021/12/patch-fixing-critical-log4j-0-day-has-its-own-vulnerability-thats-under-exploit/
Ars Technica
Patch fixing critical Log4J 0-day has its own vulnerability that’s under exploit
If you've patched using Log4J 2.15.0, it's time to consider updating again. Stat.
Ок, наконец-то полезный сайт в этом вашем интернете
https://log4jmemes.com
https://log4jmemes.com
Хорошие новости: Facebook расширяет свою программу компенсаций за обнаружение проблем безопасности на случаи сбора — "scraping" — данных). Плохие новости заключаются в том, что, кажется, все, кто хотел, уже оттуда данные собрали.
https://engineering.fb.com/2021/12/15/security/bug-bounty-scraping/
https://engineering.fb.com/2021/12/15/security/bug-bounty-scraping/
Engineering at Meta
Charting the future of our bug bounty program
We’re tackling the industry-wide issue of scraping by expanding our bug bounty program to reward valid reports of scraping bugs and unprotected data sets. To the best of our knowledge, this is an i…
Как когда-то с уязвимостями в процессорах, в случае с log4j пора, кажется, переходить просто на ежедневные дайджесты новостей, иначе поток будет состоять только из апдейтов на тему log4j. Ну, посмотрим. Пока что тут вот интересное: Microsoft уже показывает пальцами на определенные страны оси добра, которые активно эксплуатируют уязвимость CVE-2021-44228 наверняка с какой-нибудь полезной (для себя целью)
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
Интересно, что американская CISA в приказном порядке заставляет все государственные федеральные организации до 24 декабря устранить уязвимости. Приказы, конечно, ускорят процесс.
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
Интересно, что американская CISA в приказном порядке заставляет все государственные федеральные организации до 24 декабря устранить уязвимости. Приказы, конечно, ускорят процесс.
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
Microsoft News
Guidance for preventing, detecting, and hunting for exploitation of the Log4j 2 vulnerability
Microsoft is tracking threats taking advantage of the remote code execution (RCE) vulnerability in Apache Log4j 2. Get technical info and guidance for using Microsoft security solutions to protect against attacks.
=== РЕКЛАМА ====
Как общаться анонимно в интернете?
Таких площадок всё меньше и меньше: браузер Тор под запретом и там можно вычислить пользователя,а ещё и скоро будет введена обязательная идентификация пользователей мессенджеров по телефонному номеру.
Чтобы общение было безопасным воспользуйтесь новой анонимной сетью «Utopia P2P — Web 3.0» Она построена без использования централизованного сервера для хранения данных — каждый пользователь имеет личный крипто контейнер.
1. Анонимная регистрация. Ваш IP-адрес и личность не будут раскрыты. Мгновенное шифрование текста, голосовой связи и почты.
2. Обширный функционал: мессенджер, емейл, браузер, электронный кошелёк, игры и многое другое
3. Безопасные хранение и передача. Utopia использует скоростное шифрование 256-bit AES и curve25519.
Большое сообщество фанатов экосистемы по всему миру уже оценили преимущества Утопии перед Тором. Присоединяйтесь и вы!
Скачивайте и регистрируйтесь по ссылке — https://u.is/ru
Как общаться анонимно в интернете?
Таких площадок всё меньше и меньше: браузер Тор под запретом и там можно вычислить пользователя,а ещё и скоро будет введена обязательная идентификация пользователей мессенджеров по телефонному номеру.
Чтобы общение было безопасным воспользуйтесь новой анонимной сетью «Utopia P2P — Web 3.0» Она построена без использования централизованного сервера для хранения данных — каждый пользователь имеет личный крипто контейнер.
1. Анонимная регистрация. Ваш IP-адрес и личность не будут раскрыты. Мгновенное шифрование текста, голосовой связи и почты.
2. Обширный функционал: мессенджер, емейл, браузер, электронный кошелёк, игры и многое другое
3. Безопасные хранение и передача. Utopia использует скоростное шифрование 256-bit AES и curve25519.
Большое сообщество фанатов экосистемы по всему миру уже оценили преимущества Утопии перед Тором. Присоединяйтесь и вы!
Скачивайте и регистрируйтесь по ссылке — https://u.is/ru
Для тех, кто хотел почитать про эксплоит NSO на русском - вынесу из комментариев
👍1
Forwarded from RUH8
Эксплоиты, программки, которые превращают уязвимости в софте во что-нибудь полезное (для хакера, не для вас) - отдельный вид современного искусства. Не знаю с чем сравнить. Сборка кораблика в бутылке с помощью трехметровой линейки с завязанными глазами? Поездка на машине, от которой вы по ходу дела отломали тормоза, колесо, и пытаетесь ей управлять с помощью лома, резинки от трусов и набора цветных карандашей? Как-то так.
Гугл распотрошил экслоит израильской NSO https://bit.ly/3mabxOl и это замечательная конструкция. Люди посылают друг другу смешные анимированные гифки (хотел бы я рассказать какие гифки есть в нашем секретном партийном чате, но меня тут же забанят). iMessage хочет, чтобы они крутились вечно. Для этого в заголовке GIF нужно поправить флажок, и чтобы не портить файл iMessage делает его копию. Казалось бы, что могло пойти не так?
По ошибке вместо копирования вызывается рендеринг картинок. А он уже на расширения файлов не смотрит. И NSO под видом гифки подсовывает PDF. А внутри PDF-ки картинка JBIG2 - это такой доисторический формат графики для ксероксов. Чтобы файлы получались маленькими, то он режет картинку на кусочки, и если куски, например буква "а" достаточно похожи между собой, то он использует один глиф для всего, как типографскую литеру.
Из-за этого случались многие беды https://bit.ly/3scwDiQ Кодек мог к примеру подумать что цифра 6 достаточно похожа на цифру 8, и заменить ее везде на картинках, чтобы сэконосить место. Потому в формат добавили маски - разницу между "похожим" глифом и тем, что нужно воспроизвести. И эти исправления накладываются на глиф с помощью операций AND, OR, XOR и XNOR. То есть эта штука тьюринг-полная. Любое мыслимое вычисление можно провести с помощью этих операций.
Дальше NSO использовали целочисленное переполнение, чтобы выйти за границы буфера и эта часть напоминает бутылку и кораблик. В результате они получили два основных примитива чтение и запись в произвольные места памяти. Если бы они хотели взломать одну конкретную версию софта, то этого бы хватило, но они захотели все и сразу. Для этого нужно знать, что и куда записывать.
И из доисторического графического формата они собрали полноценный виртуальный микрокомпьютер из 70 000 вентилей (те самые маски).
Нужно еще раз все перечислить, чтобы оценить проделанную NSO работу. Вам приходит гифка, которая на самом деле пдфка, и ее по ошибке, не копируют, а пытаются прочитать, в ней доисторическая картинка в формате ксероксов, которая в результате целочисленного переполнения может писать в память, и внутри этой "картинки" семьдесят тысяч блоков логических операций, которые эмулируют небольшой компьютер, который уже находит то место в памяти, которое нужно пропатчить, чтобы убежать из песочницы.
NSO продавали эту изящную вещицу негодяям и убийцам, но то как она сделана!..
Гугл распотрошил экслоит израильской NSO https://bit.ly/3mabxOl и это замечательная конструкция. Люди посылают друг другу смешные анимированные гифки (хотел бы я рассказать какие гифки есть в нашем секретном партийном чате, но меня тут же забанят). iMessage хочет, чтобы они крутились вечно. Для этого в заголовке GIF нужно поправить флажок, и чтобы не портить файл iMessage делает его копию. Казалось бы, что могло пойти не так?
По ошибке вместо копирования вызывается рендеринг картинок. А он уже на расширения файлов не смотрит. И NSO под видом гифки подсовывает PDF. А внутри PDF-ки картинка JBIG2 - это такой доисторический формат графики для ксероксов. Чтобы файлы получались маленькими, то он режет картинку на кусочки, и если куски, например буква "а" достаточно похожи между собой, то он использует один глиф для всего, как типографскую литеру.
Из-за этого случались многие беды https://bit.ly/3scwDiQ Кодек мог к примеру подумать что цифра 6 достаточно похожа на цифру 8, и заменить ее везде на картинках, чтобы сэконосить место. Потому в формат добавили маски - разницу между "похожим" глифом и тем, что нужно воспроизвести. И эти исправления накладываются на глиф с помощью операций AND, OR, XOR и XNOR. То есть эта штука тьюринг-полная. Любое мыслимое вычисление можно провести с помощью этих операций.
Дальше NSO использовали целочисленное переполнение, чтобы выйти за границы буфера и эта часть напоминает бутылку и кораблик. В результате они получили два основных примитива чтение и запись в произвольные места памяти. Если бы они хотели взломать одну конкретную версию софта, то этого бы хватило, но они захотели все и сразу. Для этого нужно знать, что и куда записывать.
И из доисторического графического формата они собрали полноценный виртуальный микрокомпьютер из 70 000 вентилей (те самые маски).
Нужно еще раз все перечислить, чтобы оценить проделанную NSO работу. Вам приходит гифка, которая на самом деле пдфка, и ее по ошибке, не копируют, а пытаются прочитать, в ней доисторическая картинка в формате ксероксов, которая в результате целочисленного переполнения может писать в память, и внутри этой "картинки" семьдесят тысяч блоков логических операций, которые эмулируют небольшой компьютер, который уже находит то место в памяти, которое нужно пропатчить, чтобы убежать из песочницы.
NSO продавали эту изящную вещицу негодяям и убийцам, но то как она сделана!..
👍1
не совсем по тематике канала — по крайней мере, напрямую точно нет — но все равно один из моих любимых сайтов в последнее время:
https://web3isgoinggreat.com
как минимум, хотя бы потому, что там постоянно появляются новости о взломах и кражах в мире крипто, DAO, NFT и прочего. В целом, весьма развлекательно это все читать.
https://web3isgoinggreat.com
как минимум, хотя бы потому, что там постоянно появляются новости о взломах и кражах в мире крипто, DAO, NFT и прочего. В целом, весьма развлекательно это все читать.
Web3Isgoinggreat
Web3 is Going Just Great
A timeline recording only some of the many disasters happening in crypto, decentralized finance, NFTs, and other blockchain-based projects.
Я уже сбился со счета, но, кажется, очередная уязвимость в Log4j, приводящая к DoS. Затрагивает только некоторые нестандартные конфигурации, но уязвимость - это уязвимость.
https://logging.apache.org/log4j/2.x/security.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
Подарки на Рождество в этом году включают в себя 2 RCE и 2 DoS, и бессонные ночи админов
https://logging.apache.org/log4j/2.x/security.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
Подарки на Рождество в этом году включают в себя 2 RCE и 2 DoS, и бессонные ночи админов
cve.mitre.org
CVE -
CVE-2021-45105
CVE-2021-45105
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Bloomberg рассказывает об истории 10-летней давности, где Huawei загрузил в свое телекоммуникационное оборудование обновление с вредоносным кодом. Взлом и последовавший за этом сбор разведывательной информации подтверждают представители различных правоохранительных организаций Австралии. Видимо, выпиливание по возможности оборудования Huawei из телекомов в последние несколько лет — не такая уж плохая идея, бэкдоры должны быть свои, а не китайские!
(при этом не могу не напомнить, что Bloomberg — это издание, которое опубликовало материал о китайском взломе серверов для Amazon, Apple и других компаний. Это та история, где якобы китайские чипы были сразу вшиты в материнки серверов, стоявших в американских дата-центрах. Историю опровергли все потенциальные участники процесса, доказательств bloomberg так и не предоставили)
https://www.bloomberg.com/news/articles/2021-12-16/chinese-spies-accused-of-using-huawei-in-secret-australian-telecom-hack
(при этом не могу не напомнить, что Bloomberg — это издание, которое опубликовало материал о китайском взломе серверов для Amazon, Apple и других компаний. Это та история, где якобы китайские чипы были сразу вшиты в материнки серверов, стоявших в американских дата-центрах. Историю опровергли все потенциальные участники процесса, доказательств bloomberg так и не предоставили)
https://www.bloomberg.com/news/articles/2021-12-16/chinese-spies-accused-of-using-huawei-in-secret-australian-telecom-hack
Bloomberg.com
Chinese Spies Accused of Using Huawei in Secret Australia Telecom Hack
Software update loaded with malicious code is key evidence in years-long push to block Huawei, officials say
Тоже интересная история с прошлой недели — про Facebook, который забллокировал 1500 учетных записей, связанных с различными компаниями, занимающимися кибершпионажем. В частности, компаний, которые разрабатывают сервисы, используемые для шпионского наблюдения за активистами, диссидентами, журналистами и тд. Сами учетные записи использовались для наблюдения за жертвами, попыток заманить их в специальные сайты-ловушки, отправки им сообщений для последующего взлома, и тд. Среди таких компаний — компании из Израиля, Китая, Индии и... неожиданно, Северной Македонии. ФБ также планирует разослать предупреждения более 50 тысяч человек, которые могли стать жертвами этих компаний. Среди этих компаий — уже известная читателям этого канала компания NSO Group, также несколько других компаний, основанных или базированных в Израиле —Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI.
https://about.fb.com/news/2021/12/taking-action-against-surveillance-for-hire/
полная версия отчета ФБ об этой отрасли (PDF)
https://about.fb.com/wp-content/uploads/2021/12/Threat-Report-on-the-Surveillance-for-Hire-Industry.pdf
https://about.fb.com/news/2021/12/taking-action-against-surveillance-for-hire/
полная версия отчета ФБ об этой отрасли (PDF)
https://about.fb.com/wp-content/uploads/2021/12/Threat-Report-on-the-Surveillance-for-Hire-Industry.pdf
Meta Newsroom
Taking Action Against the Surveillance-For-Hire Industry
We disabled seven surveillance-for-hire entities who targeted people across the internet in over 100 countries.
Написал в твиторе тред про мой опыт с условно «электронным» тестом на Ковид и как производители пользуются каждой возможностью, чтобы собрать персональные данные
https://twitter.com/alexmak/status/1473267841461891082?s=21
https://twitter.com/alexmak/status/1473267841461891082?s=21
Twitter
Очумелая COBRA20
Сейчас будет небольшой, но, возможно, познавательный тред про ненужную электронизацию, создание электронного мусора, а также ненужный сбор персональных данных
Кстати, редакция канала в лице меня уезжает в небольшой отпуск, и апдейты, возможно, будут не такими регулярными, как обычно. Я бы сказал «не сломайте интернет, пока меня не будет», но он уже сломан, поэтому бей, ломай, круши. И берегите себя и близких!
👍2🎉2