Questa settimana finalmente avremo gli scoop interni su alcune vecchie storie, a cominciare da il problema di Bitwarden Windows Hello dell'anno scorso. Potresti ricordare che Bitwarden ha un'opzione per utilizzare Windows Hello come opzione di sblocco del vault. Sfortunatamente, l'API delle credenziali di Windows in realtà non crittografa le credenziali in un modo che richieda un'ulteriore verifica di Windows Hello per lo sblocco. Quindi una chiave derivata viene archiviata nel gestore delle credenziali e può essere recuperata tramite una semplice chiamata API. Non sono necessari ulteriori dati biometrici. Anche con il vault Bitwarden bloccato e l'applicazione chiusa.
C'è un altro pericolo, che non richiede nemmeno l'accesso alla macchina registrata. Su un computer che fa parte di un dominio, Windows esegue il backup delle chiavi di crittografia sul controller di dominio. Per impostazione predefinita, l'archivio crittografato stesso è disponibile su un computer di dominio su SMB. Un controller di dominio compromesso potrebbe intrappolare un deposito bitwarden senza nemmeno eseguire codice sul computer di destinazione. La buona notizia è che questo particolare problema con Bitwarden e Windows Hello è stato risolto, e da allora lo è stato Versione 2023.10.1.
Sfruttamento inverso del PSR
Normalmente riteniamo che il protocollo Remote Desktop sia pericoloso da esporre su Internet. E questo è. Non mettere online il tuo servizio RDP. Ma invertire il PSR è l'idea che potrebbe anche essere pericoloso connettere un client RDP a un server dannoso. E, naturalmente, più implementazioni RDP presentano questo problema. Ci sono rdesktop, FreeRDP e mstsc di Microsoft che presentano tutti vulnerabilità relative al reverse RDP.
I dettagli tecnici qui non sono particolarmente interessanti. Sono tutte variazioni sul tema del non corretto controllo dei dati remoti dal server e quindi della lettura o della scrittura dei buffer interni. Ciò si traduce in varie forme di fuga di informazioni e problemi di esecuzione del codice. Ciò che è interessante sono le diverse risposte ai risultati, e poi [Eyal Itkin] da asporto su come i ricercatori nel campo della sicurezza dovrebbero affrontare la divulgazione delle vulnerabilità.
Quindi, per prima cosa, Microsoft ha liquidato una vulnerabilità come indegna di manutenzione. E poi ha proceduto a ricercarlo internamente e a presentarlo come un nuovo attacco senza attribuire adeguatamente [Eyal] alla scoperta originale. rdesktop presentava alcuni di questi problemi, ma è stato in grado di risolverli in pochi mesi. FreeRDP ha risolto immediatamente alcuni problemi, in quello che potrebbe essere descritto come un processo in stile "colpisci la talpa", ma è stata elaborata una patch che avrebbe effettivamente affrontato il problema a un livello più profondo: modificare un valore API da size_t senza segno a un valore con segno. taglia_t. Quel cambiamento ha richiesto ben 2 anni per essere effettivamente diffuso nel mondo in una versione. Perchè così lungo?
Due ragioni per questo lungo ritardo. Innanzitutto si è trattato di un cambiamento più rigido, non di una risposta a una singola vulnerabilità. Ne avrebbe prevenuti un sacco tutti in una volta, ma non era una modifica necessaria per risolverli individualmente. Ma, cosa ancora più importante, si è trattato di una modifica dell'API. Romperebbe le cose. Quindi, inseriscilo nel ramo della versione principale e attendi. Ed è qui che sorge un piccolo dilemma. Un ricercatore dovrebbe risolvere il problema online o aspettare pazientemente? Non esiste un'unica risposta solida qui, poiché ogni situazione ha le sue complessità, ma [Eyal] sostiene che i ricercatori di sicurezza dovrebbero essere più interessati ai progetti in cui vengono applicate le correzioni, e non solo accontentarsi di ottenere un altro CVE.
Scansione delle reti con SSH-Snake
Abbiamo appena scoperto questo strumento intelligente questa settimana: SSH-Serpente. Il concetto è semplice. Lo script cerca eventuali chiavi private SSH, quindi le prova nell'elenco degli host ssh conosciuti. Per ogni host che accetta una chiave, lo script viene eseguito nuovamente. Non rilascia alcun file sul filesystem e viene eseguito automaticamente senza intervento, compilando alla fine un elegante grafico dei sistemi accessibili. Sicuramente uno strumento utile da tenere nella tua cassetta degli attrezzi digitale.
Bit e byte
In una divertente svolta del gioco online, Mandiant ha perso per un po' il controllo del proprio account X questa settimana. È stato un divertente gioco del gatto e del topo poiché i post che promuovevano truffe crittografiche apparivano, scomparivano e riapparivano. Si può solo immaginare il frenetico lavoro svolto dietro le quinte mentre tutto ciò si svolgeva. Speriamo di poter condividere un post sul blog Mandiant a riguardo tra qualche settimana. E sì, c'è un XKCD a riguardo.
Come probabilmente avrai notato, ieri Mandiant ha perso il controllo di questo account X su cui era abilitata la 2FA. Al momento non ci sono indicazioni di attività dannose al di fuori dell'account X interessato, che è di nuovo sotto il nostro controllo. Condivideremo i risultati delle nostre indagini una volta concluse.
— Mandiant (@Mandiant) Gennaio 4, 2024
Se hai ancora un account Lastpass, questa settimana potresti aver ricevuto e-mail in merito è in corso una modifica ai requisiti della password principale. Il TL:DR è che Lastpass ha precedentemente "richiesto" una password di 12 caratteri. A partire da presto, tutte le password dovranno contenere 12 caratteri, comprese quelle degli account più vecchi. Probabilmente sarebbe comunque meglio uscire prima di quel cambiamento, se hai una password più breve.
Sembra un po' stonato, quello 23andMe incolpa le vittime per le recenti violazioni degli account lì. "gli utenti hanno utilizzato gli stessi nomi utente e password utilizzati su 23andMe.com come su altri siti Web che erano stati soggetti a precedenti violazioni della sicurezza e gli utenti hanno negligentemente riciclato e non sono riusciti ad aggiornare le proprie password in seguito a questi passati incidenti di sicurezza". Solo che tecnicamente è corretto. Gli utenti riutilizzavano davvero le password. E gli utenti hanno davvero deciso di condividere i dettagli con le loro corrispondenze genetiche. L'unico vero fallimento è stato che nessuno su 23andMe ha notato l'attacco di credential stuffing mentre stava accadendo, ma è vero che è difficile distinguere questo dal traffico normale. Quindi probabilmente una A- per il punto tecnico. E una D per la consegna.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://hackaday.com/2024/01/05/this-week-in-security-bitwarden-reverse-rdp-and-snake/
- :ha
- :È
- :non
- :Dove
- $ SU
- 1
- 10
- 12
- 2023
- 2FA
- a
- capace
- Chi siamo
- accetta
- accesso
- accessibile
- Il mio account
- conti
- attività
- effettivamente
- aggiuntivo
- indirizzo
- ancora
- avanti
- Tutti
- anche
- an
- ed
- Un altro
- rispondere
- in qualsiasi
- api
- apparire
- Applicazioni
- applicato
- approccio
- SONO
- AS
- At
- attacco
- automaticamente
- disponibile
- lontano
- precedente
- schiene
- BE
- stato
- dietro
- dietro le quinte
- MIGLIORE
- Al di là di
- biometria
- Po
- BleepingComputer
- Branch di società
- violazioni
- Rompere
- Mazzo
- ma
- by
- chiamata
- Materiale
- Custodie
- il cambiamento
- cambiando
- carattere
- caratteri
- verifica
- cliente
- chiuso
- codice
- COM
- complessità
- Compromissione
- concetto
- interessato
- concluso
- Connettiti
- contenute
- contenuto
- di controllo
- controllore
- cotto
- correggere
- potuto
- corso
- CREDENZIALI
- riempimento delle credenziali
- Credenziali
- crypto
- truffe crittografiche
- Attualmente
- CVE
- PERICOLO
- Pericoloso
- dati
- più profondo
- Predefinito
- decisamente
- consegna
- derivato
- descritta
- tavolo
- dettagli
- DID
- diverso
- difficile
- digitale
- scomparire
- discernere
- Rivelazione
- scoperto
- effettua
- non
- dominio
- fatto
- Dont
- dr
- Cadere
- ogni
- o
- abilitato
- crittografato
- crittografia
- fine
- Anche
- EVER
- Ogni
- Tranne
- fallito
- Fallimento
- pochi
- File
- Infine
- Trovare
- I risultati
- Nome
- Fissare
- fisso
- correzioni
- i seguenti
- Nel
- forme
- da
- ti divertirai
- gioco
- genetico
- ottenere
- ottenere
- buono
- grafico
- ha avuto
- manciata
- Happening
- Avere
- quindi
- qui
- Fiduciosamente
- host
- padroni di casa
- Come
- HTTPS
- idea
- if
- immagine
- impattato
- implementazioni
- importante
- in
- Compreso
- indicazioni
- Individualmente
- informazioni
- interno
- interessante
- interno
- internamente
- Internet
- intervento
- ai miglioramenti
- indagine
- sicurezza
- IT
- SUO
- stessa
- congiunto
- jpg
- ad appena
- mantenere
- Le
- Tasti
- conosciuto
- Cognome
- LastPass
- Perdite
- Livello
- probabile
- Lista
- ll
- bloccato
- Lunghi
- a lungo
- SEMBRA
- perso
- macchina
- maggiore
- make
- FA
- maligno
- Malwarebytes
- direttore
- Mastercard
- fiammiferi
- Maggio..
- Microsoft
- forza
- mese
- Scopri di più
- multiplo
- di applicazione
- reti
- notizie
- elegante
- no
- normale
- normalmente
- romanzo
- adesso
- of
- MENO
- Vecchio
- maggiore
- on
- una volta
- ONE
- online
- esclusivamente
- Opzione
- or
- i
- Altro
- nostro
- su
- ancora
- proprio
- particolare
- Password
- Le password
- passato
- Toppa
- pazientemente
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- giocato
- punto
- Post
- presenti
- impedito
- in precedenza
- Precedente
- un bagno
- Chiavi private
- probabilmente
- Problema
- problemi
- processi
- progetti
- propriamente
- protocollo
- spingendo
- metti
- abbastanza
- Lettura
- di rose
- veramente
- motivi
- recente
- Riciclato
- rilasciare
- ricorda
- a distanza
- richiedere
- necessario
- requisito
- richiede
- riparazioni
- ricercatore
- ricercatori
- risposta
- risposte
- Risultati
- invertire
- destra
- running
- corre
- stesso
- truffe
- Scene
- Punto
- copione
- problemi di
- violazioni della sicurezza
- ricercatori di sicurezza
- sembrare
- server
- servizio
- revisione
- Condividi
- compartecipazione
- dovrebbero
- firmato
- Un'espansione
- da
- singolo
- situazione
- SMB
- So
- solido
- alcuni
- Arrivo
- Di partenza
- Ancora
- memorizzati
- Storie
- ripieno
- style
- soggetto
- SISTEMI DI TRATTAMENTO
- Target
- Consulenza
- tecnicamente
- che
- I
- il mondo
- loro
- Li
- tema
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- cose
- think
- questo
- questa settimana
- quelli
- Attraverso
- tempo
- a
- ha preso
- Strumenti
- traffico
- vero
- TURNO
- per
- purtroppo
- sbloccare
- Aggiornanento
- uso
- utilizzato
- utenti
- APPREZZIAMO
- variazioni
- vario
- Volta
- Convalida
- versione
- vittime
- vs
- vulnerabilità
- vulnerabilità
- aspettare
- Prima
- Modo..
- we
- siti web
- settimana
- Settimane
- sono stati
- colpisci una talpa
- Che
- quale
- while
- perché
- volere
- finestre
- con
- senza
- WordPress
- Lavora
- mondo
- utile
- sarebbe
- scrittura
- X
- anni
- sì
- ieri
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro