I denne uge får vi endelig de indvendige scoops på nogle gamle historier, startende med Bitwarden Windows Hello-problemet fra sidste år. Du husker måske, Bitwarden har en mulighed for at bruge Windows Hello som en vault-oplåsningsmulighed. Desværre krypterer Windows-legitimations-API'en faktisk ikke legitimationsoplysninger på en måde, der kræver en ekstra Windows Hello-bekræftelse for at låse op. Så en afledt nøgle bliver gemt i legitimationsadministratoren og kan hentes gennem et simpelt API-kald. Ingen yderligere biometri nødvendig. Selv med Bitwarden-boksen låst og applikationen lukket.
Der er en anden fare, som ikke engang kræver adgang til den loggede maskine. På en maskine, der er forbundet med et domæne, sikkerhedskopierer Windows disse krypteringsnøgler til domænecontrolleren. Selve den krypterede boks er som standard tilgængelig på en domænemaskine over SMB. En kompromitteret domænecontroller kunne fange en bitwarden-boks uden nogensinde at køre kode på målmaskinen. Den gode nyhed er, at dette særlige problem med Bitwarden og Windows Hello nu er løst og har været det siden udgave 2023.10.1.
Omvendt RDP-udnyttelse
Vi ser normalt på Remote Desktop Protocol som farlig at udsætte for internettet. Og det er. Sæt ikke din RDP-tjeneste online. Men omvendt RDP er tanken om, at det også kan være farligt at forbinde en RDP-klient til en ondsindet server. Og selvfølgelig har flere RDP-implementeringer dette problem. Der er rdesktop, FreeRDP og Microsofts egen mstsc, der alle har sårbarheder relateret til omvendt RDP.
De tekniske detaljer her er ikke særlig interessante. Det er alle variationer over temaet om ikke korrekt at kontrollere fjerndata fra serveren, og derfor enten læse eller skrive tidligere interne buffere. Dette resulterer i forskellige former for informationslækager og problemer med kodeudførelse. Det interessante er de forskellige svar på resultaterne, og så [Eyal Itkin]s takeaway om, hvordan sikkerhedsforskere bør gribe afsløring af sårbarheder an.
Så først og fremmest afviste Microsoft en sårbarhed som uværdig til servicering. Og fortsatte derefter med at undersøge det internt og præsentere det som et nyt angreb uden korrekt at tilskrive [Eyal] det originale fund. rdesktop indeholdt en del af disse problemer, men var i stand til at løse problemet på en håndfuld måneder. FreeRDP løste nogle problemer med det samme, i hvad der kunne beskrives som en whack-a-mole-proces, men der blev lavet en patch, der faktisk ville løse problemet på et dybere niveau: at ændre en API-værdi fra den usignerede size_t til en signeret ssize_t. Den ændring tog hele 2 år at nå ud til verden i en udgivelse. Hvorfor så længe?
To grunde til den lange tidsforsinkelse. For det første var det en hårdnende forandring, ikke et svar på en enkelt sårbarhed. Det ville have forhindret en masse af dem alle på én gang, men det var ikke en nødvendig ændring at rette nogen af dem individuelt. Men endnu vigtigere, dette var en API-ændring. Det ville knække tingene. Så smid det ind i hovedversionsgrenen og vent. Og her er der lidt af et dilemma. Skal en forsker sprænge problemet online eller vente tålmodigt? Der er ikke et enkelt solidt svar her, da enhver situation har sine egne kompleksiteter, men [Eyal] gør det tilfældet, at sikkerhedsforskere burde være mere optaget af, at projekter får rettelser anvendt, og ikke blot tilfredse med at score endnu et CVE.
Crawl-netværk med SSH-Snake
Vi har netop opdaget dette smarte værktøj i denne uge: SSH-slange. Konceptet er enkelt. Scriptet leder efter eventuelle SSH private nøgler og prøver dem derefter på listen over kendte ssh-værter. For hver vært, der accepterer en nøgle, kører scriptet igen. Det taber ingen filer på filsystemet og kører automatisk uden indgriben og kompilerer en smart graf over tilgængelige systemer til sidst. Absolut et værdifuldt værktøj at have i din digitale værktøjskasse.
Bits og bytes
I en underholdende omgang onlinespil, Mandiant mistede kontrollen over deres X-konto i et stykke tid i denne uge. Det var et sjovt kat-og-mus-spil, da indlæg, der skubbede krypto-svindel, ville dukke op, forsvinde og dukke op igen. Man kan kun forestille sig det hektiske arbejde bag kulisserne, mens dette udspillede sig. Forhåbentlig kan vi dele et Mandiant blogindlæg om dette om et par uger. Og ja, der er en XKCD om det.
As you likely noticed, yesterday, Mandiant lost control of this X account which had 2FA enabled. Currently, there are no indications of malicious activity beyond the impacted X account, which is back under our control. We’ll share our investigation findings once concluded.
— Mandiant (@Mandiant) Januar 4, 2024
Hvis du stadig har en Lastpass-konto, har du muligvis modtaget e-mails i denne uge om en ændring af kravet om hovedadgangskode er på vej. TL:DR er, at Lastpass tidligere har "krævet" en adgangskode på 12 tegn. Fra og med snart skal alle adgangskoder faktisk være 12 tegn lange, inklusive dem fra ældre konti. Det ville nok være bedst at komme ud foran den ændring alligevel, hvis du har en kortere adgangskode.
Det virker lidt tonedøvt, det 23andMe giver ofrene skylden for de seneste kontobrud der. "brugere brugte de samme brugernavne og adgangskoder, der blev brugt på 23andMe.com som på andre websteder, der havde været udsat for tidligere sikkerhedsbrud, og brugere genbrugte uagtsomt og undlod at opdatere deres adgangskoder efter disse tidligere sikkerhedshændelser". Bortset fra, det er teknisk korrekt. Brugerne genbrugte virkelig adgangskoder. Og brugerne valgte virkelig at dele detaljer med deres genetiske match. Den eneste virkelige fiasko var, at ingen hos 23andMe opdagede angrebet, mens det var ved at ske, men det er ganske vist svært at skelne i forhold til normal trafik. Så nok et A- for det tekniske punkt. Og et D for leveringen.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://hackaday.com/2024/01/05/this-week-in-security-bitwarden-reverse-rdp-and-snake/
- :har
- :er
- :ikke
- :hvor
- $OP
- 1
- 10
- 12
- 2023
- 2FA
- a
- I stand
- Om
- accepterer
- adgang
- tilgængelig
- Konto
- Konti
- aktivitet
- faktisk
- Yderligere
- adresse
- igen
- forude
- Alle
- også
- an
- ,
- En anden
- besvare
- enhver
- api
- vises
- Anvendelse
- anvendt
- tilgang
- ER
- AS
- At
- angribe
- automatisk
- til rådighed
- væk
- tilbage
- rygge
- BE
- været
- bag
- bag scenen
- BEDSTE
- Beyond
- biometri
- Bit
- BleepingComputer
- Branch
- brud
- Pause
- Bunch
- men
- by
- ringe
- CAN
- tilfælde
- lave om
- skiftende
- karakter
- tegn
- kontrol
- kunde
- lukket
- kode
- KOM
- kompleksiteter
- Kompromitteret
- Konceptet
- pågældende
- indgået
- Tilslut
- indeholdt
- indhold
- kontrol
- controller
- kogt
- korrigere
- kunne
- kursus
- KREDENTIAL
- legitimationsstopning
- Legitimationsoplysninger
- krypto
- krypto-svindel
- For øjeblikket
- CVE
- FARE
- Dangerous
- data
- dybere
- Standard
- definitivt
- levering
- Afledt
- beskrevet
- desktop
- detaljer
- DID
- forskellige
- svært
- digital
- forsvinder
- skelne
- videregivelse
- opdaget
- gør
- Er ikke
- domæne
- færdig
- Dont
- dr
- Drop
- hver
- enten
- emails
- aktiveret
- krypteret
- kryptering
- ende
- Endog
- NOGENSINDE
- Hver
- Undtagen
- mislykkedes
- Manglende
- få
- Filer
- Endelig
- Finde
- fund
- Fornavn
- Fix
- fast
- fast
- efter
- Til
- formularer
- fra
- sjovt
- spil
- genetiske
- få
- få
- godt
- graf
- havde
- håndfuld
- Happening
- Have
- dermed
- link.
- Forhåbentlig
- host
- værter
- Hvordan
- HTTPS
- idé
- if
- billede
- påvirket
- implementeringer
- vigtigere
- in
- Herunder
- indikationer
- Individuelt
- oplysninger
- indvendig
- interessant
- interne
- internt
- Internet
- indgriben
- ind
- undersøgelse
- spørgsmål
- IT
- ITS
- selv
- sluttede
- jpg
- lige
- Holde
- Nøgle
- nøgler
- kendt
- Efternavn
- LastPass
- Lækager
- Niveau
- Sandsynlig
- Liste
- ll
- låst
- Lang
- lang tid
- UDSEENDE
- tabte
- maskine
- større
- lave
- maerker
- ondsindet
- Malwarebytes
- leder
- Master
- tændstikker
- Kan..
- microsoft
- måske
- måned
- mere
- flere
- behov
- net
- nyheder
- Nifty
- ingen
- normal
- Normalt
- roman
- nu
- of
- off
- Gammel
- ældre
- on
- engang
- ONE
- online
- kun
- Option
- or
- original
- Andet
- vores
- ud
- i løbet af
- egen
- særlig
- Adgangskode
- Nulstilling/ændring af adgangskoder
- forbi
- patch
- tålmodigt
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- spillet
- Punkt
- Indlæg
- præsentere
- forhindret
- tidligere
- Forud
- private
- Private nøgler
- sandsynligvis
- Problem
- problemer
- behandle
- projekter
- korrekt
- protokol
- Pushing
- sætte
- helt
- Læsning
- ægte
- virkelig
- årsager
- nylige
- genanvendt
- frigive
- huske
- fjern
- kræver
- påkrævet
- krav
- Kræver
- forskning
- forsker
- forskere
- svar
- reaktioner
- Resultater
- vende
- højre
- kører
- løber
- samme
- svindel
- scener
- score
- script
- sikkerhed
- sikkerhedsbrud
- sikkerhedsforskere
- synes
- server
- tjeneste
- servicering
- Del
- deling
- bør
- underskrevet
- Simpelt
- siden
- enkelt
- Situationen
- SMB
- So
- solid
- nogle
- Snart
- Starter
- Stadig
- opbevaret
- Historier
- udstopning
- stil
- emne
- Systemer
- mål
- Teknisk
- teknisk set
- at
- verdenen
- deres
- Them
- tema
- derefter
- Der.
- Disse
- ting
- tror
- denne
- denne uge
- dem
- Gennem
- tid
- til
- tog
- værktøj
- Værktøjskasse
- Trafik
- sand
- TUR
- under
- desværre
- låse
- Opdatering
- brug
- anvendte
- brugere
- værdi
- variationer
- forskellige
- Vault
- Verifikation
- udgave
- ofre
- vs
- Sårbarheder
- sårbarhed
- vente
- var
- Vej..
- we
- websites
- uge
- uger
- var
- whack-a-mol
- Hvad
- som
- mens
- hvorfor
- vilje
- vinduer
- med
- uden
- WordPress
- Arbejde
- world
- værd
- ville
- skrivning
- X
- år
- Ja
- i går
- dig
- Din
- zephyrnet