今すぐ聞く
ダグ・アーモスとポール・ダックリンと。
イントロとアウトロの音楽 エディスマッジ.
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 ビットコイン ATM が攻撃され、Janet Jackson がコンピューターをクラッシュさせ、ゼロデイが大量に発生しました。
NakedSecurityポッドキャストでそれ以上のものを。
【ミュージカルムーデム】
皆さん、ポッドキャストへようこそ。
私はダグ・アモスです。
いつものように、私と一緒にいるのはポール・ダックリンです。
ポール、どうしますか?
アヒル。 私はとても元気です、ダグラス。
休暇からお帰りなさい!
ダグ。 小さな子供たちから離れて、安全な自分のオフィスに戻ってきてよかったです。
[笑い]
しかし、それはまた別の話です。
ご存知のように、技術史からショーを始めたいと思います。
今週、24 年 1995 月 95 日に、ローリング ストーンズの曲「Start Me Up」がライセンスの下で、Microsoft Windows XNUMX を起動したテーマ チューンとして解き放たれました。
歌が予測したように、「あなたは大人を泣かせます」と、一部のマイクロソフト嫌いはそれ以来泣いています.
[切ない] Windows 95 が好きだった…
…しかし、おっしゃる通り、何度か起動する必要があり、時には自動的に起動することもありました。
アヒル。 スタートミーアップ?!
*それ*がどこにつながるか誰が知っていましたか?
予感はしていたと思いますが、Windows 11 になるとは想定していなかったと思いますよね?
ダグ。 私たちはしませんでした。
そして、私は Windows 11 が好きです。それについて不満はほとんどありません。
アヒル。 あのね?
私は実際に Linux で自分のウィンドウ マネージャーをハッキングしました。
Windows 11 での外観が気に入ったという理由だけで、コーナーをわずかに丸くする小さなハックを追加しました。
Windows 11 のビジュアル機能をきっかけに使ったということは、公の場では言わないほうがいいでしょう。
…さもなければ、私の名前はダグラスになります!
ダグ。 あら!
では、それについてはもう話さないようにしましょう。
しかし、技術史と音楽のテーマにとどまらせてください。
そして、私はあなたにこの簡単な質問をすることができます...
ジャネット・ジャクソンと DoS攻撃 共通しているの?
アヒル。 まあ、ジャネット・ジャクソンが2000年代初頭、1990年代、さらには80年代後半の邪悪なハクサーとして突然追い出されたと言っているわけではないと思います..
ダグ。 少なくともわざとではありません。
アヒル。 いいえ… わざとではありません。
これは、Microsoft の ueberblogger である Raymond Chen と同じ情報源からの話です。
彼は最も短く、最も鋭いブログを書いています。物事を説明し、時には少し反文化的に、時には自分の雇用主を少し掘り下げて、「当時私たちは何を考えていたのですか?」と言っています。
彼はとても有名なので、彼のネクタイでさえ – 彼はいつもネクタイを締めています。美しい色のネクタイです – 彼のネクタイでさえ、 Twitterのフィード、ダグ。
[笑い]
しかし、Raymond Chen は 2005 年にさかのぼる話を書いたと思います。当時の Windows ハードウェア メーカー (彼はどこのメーカーかは明らかにしていません) が Microsoft に連絡を取り、コンピューターが再生しているときに、独自のオーディオ システムを介して、その曲に絞り込みました。 リズムネイション"
非常に有名な ジャネット・ジャクソンの曲 – 1989年から、信じられないかもしれませんが、実際にはとても気に入っています。
[笑い]
「その曲が再生されると、コンピューターがクラッシュします。 興味深いことに、競合他社のコンピューターもクラッシュし、近隣のコンピューターもクラッシュします。」
彼らは明らかにすぐに「振動が関係しているのではないか?」と考えました。
ハードディスクの振動、またはそのようなもの。
そして彼らの主張は、それがたまたまハードドライブのいわゆる共振周波数と一致し、クラッシュしてオペレーティングシステムをダウンさせたというものでした.
そこで彼らはオーディオフィルターを入れて、ハードディスク自体が振動して問題を引き起こす可能性が最も高いと考えられる周波数をカットしました。
ダグ。 そして、ストーリー全体を除けば、これの私のお気に入りの部分は…
[笑い]
…これについて *2022 年に発行された * CVE があるということです!
アヒル。 はい、公共サービスの少なくとも一部の人々がユーモアのセンスを持っているという証拠.
ダグ。 大好きです!
アヒル。 CVE-2022-23839: DoS ブラケット (デバイスの誤動作とシステム クラッシュ)。
「およそ 5400 年にラップトップ PC とともに出荷された特定の 2005 rpm の OEM ディスク ドライブでは、物理的に近接した攻撃者が、デバイスからのオーディオ信号による共振周波数攻撃を介してサービス拒否を引き起こすことができます。 リズムネイション ミュージックビデオ。"
Rhythm Nation に固有のものではないと思います...たまたまハードディスクが振動し、誤動作しただけです。
実際、コメンターの 2008 人が指摘したように、XNUMX 年の有名なビデオが YouTube にあります (リンクを貼っておきます)。 コメントで 「Shouting at Servers」と題された Naked Security の記事に記載されています。
それは Sun の研究者でした。彼が身を乗り出してディスク ドライブ アレイに向かって大声で叫ぶと、回復可能なディスク エラーが急増していることがわかります。
彼がそこで叫んだとき、膨大な数のディスクエラーが発生し、明らかに振動がディスクを前進させていませんでした。
ダグ。 はい!
ショーを開始するための優れた奇妙な話。
そして、別の種類の奇妙な話は次のとおりです。ビットコイン ATMスキム攻撃 実際のマルウェアは含まれていませんでした。
彼らはどうやってこれをやってのけたのですか?
アヒル。 はい、私はいくつかの理由でこの話に魅了されました。
あなたが言うように、その XNUMX つは、*マルウェアを埋め込むことなく*、顧客アカウントが「リーチ」または「スキミング」されたというものです。
脆弱性を介してトリガーされた構成変更のみでした。
しかし、攻撃者はこれを試しただけか、概念実証のようなものだったようです。あるいは、何年にもわたって気付かれずに長期間にわたって少量をスキミングすることを望んでいたようです。誰でも気づいている。
ダグ。 はい。
アヒル。 どうやらかなり早く気づいたようで、損害は明らかに限定的でした-ええと、私は「ちょうど」と言います-$ 16,000.
これは、これらのストーリーについて話し始めるのに通常必要な量の 1000 桁、つまり XNUMX 分の XNUMX です。
ダグ。 かなり良い!
アヒル。 100億ドル、600億ドル、340億XNUMX万ドル…
しかし、攻撃は ATM 自体に対するものではありませんでした。 この会社の顧客ならどこかで実行する必要があるというのは、Coin ATM Server 製品に対するものでした。
それは呼ばれています 一般的なバイト数.
あの有名な Windows パーソナリティ General Failure の親戚かどうかはわかりませんが…
[笑い]
しかし、ゼネラル・バイトと呼ばれるチェコの会社で、これらの仮想通貨のATMを作っています。
つまり、XNUMX つまたは複数の ATM のバックエンドとなるこのサーバーが必要だということです。
また、独自のサーバー上で、独自のサーバー ルームで、独自の慎重な制御の下で実行するか、クラウドで実行することができます。
また、クラウドで実行したい場合は、ホスティング プロバイダーの Digital Ocean と特別な契約を結んでいます。
そして、必要に応じて、0.5% の取引手数料を支払うことができるようです。彼らはサーバーをクラウドに置くだけでなく、それを実行してくれます。
すべて非常によく。
問題は、Coin ATM サーバーのフロント エンドに認証バイパスの脆弱性のように見えるものがあったことです。
したがって、2FA、3FA、12FA などの非常に複雑なパスワードを入力するかどうかは問題ではないように思われました。 [笑い]
権限のないユーザーが管理者アカウントを作成できるバイパスがありました。
私の知る限り (攻撃がどのように機能したかについて、完全に公開されていないことは当然です)、攻撃者はシステムをだまして「初期設定」モードに戻すことができたようです。
そして、明らかに、サーバーをセットアップするときに、「管理者アカウントを作成する必要があります」と表示されます。
彼らはそこまで到達できたので、新しい管理者アカウントを作成し、もちろん、新しく作成されたシステム管理者として戻ってくることができました...マルウェアは必要ありません.
システムに侵入したり、ファイルをドロップしたり、システム内で特権の昇格を行ったりする必要はありませんでした。
特に、彼らがしたことのXNUMXつは…
…顧客が誤って間違った、または存在しない、おそらくブロックされたウォレットにコインを送信しようとした場合、このソフトウェアでは、ATM オペレーターは、そうでなければ無効なトランザクションになる特別なコレクション ウォレットを指定できます。
一種のエスクローウォレットのようなものです。
そして、詐欺師がしたことは、その「無効な支払い先」のウォレット ID を独自のものに変更したことです。
したがって、おそらく彼らの考えは、顧客からの誤った取引または無効な取引が発生するたびに (これは非常にまれなことですが)、匿名で何かを支払っていた場合、顧客は資金が処理されていないことにさえ気付かない可能性があるということでした…
しかし重要なのは、これが最近のサイバーセキュリティの脅威への対応を思い出させる攻撃の XNUMX つであるということです。 マルウェアを削除します。 パッチを適用してください。」
これらはすべて重要ですが、この場合、パッチを適用すると、将来ハッキングされるのを防ぐことができますが、すべての設定を完全に再検証しない限り…
…以前にハッキングされた場合、その後もハッキングされたままになり、マルウェアはどこにも見つかりません。
これは、データベースの構成変更にすぎません。
ダグ。 MDR サービスがあります。 他の多くの企業が MDR サービスを提供しています。
このようなものを積極的に探している人間がいる場合、これは MDR サービスでキャッチできたものでしょうか?
アヒル。 明らかに、あなたが望んでいることの XNUMX つは MDR サービスです。基本的に、サイバーセキュリティを管理し、それを安定させるために…
..私はそれを知っています ソフォス MDR チームはこれを推奨します。 少なくとも、そもそも詐欺師がシステムに侵入するのを困難にする、ある種のゼロトラスト システムを備えた何らかの中間ネットワークを介してアクセスできるようにしないのはなぜですか?」
ここでの本当の弱点は、これらの攻撃者 (詐欺師) が Digital Ocean のサーバーの IP スキャンを実行できたことにあるように見えるため、人々を許可するためのよりきめ細かいアプローチが必要です。
彼らは基本的に、この特定のサービスを実行しているサーバーを探してさまよっただけで、おそらく後で戻って、どのサーバーに侵入できるかを確認しようとしました.
そもそもセキュリティ設定を正しくしようとしないのであれば、MDR チームにお金を払ってセキュリティ対策をしてもらうのは得策ではありません。
そしてもちろん、優れた MDR チームに求められるもう XNUMX つのことは、人間の目で状況を監視し、自動ツールの助けを借りて、*ほとんど正しく見えるが正しくない*ものを検出することです。
そうです、次の条件が満たされていれば、できることはたくさんあります。 あなたはどこになりたいか知っています。 そして、良い振る舞いと悪い振る舞いを区別する何らかの方法があります。
ご想像のとおり、このような攻撃では、元の接続が予想外の IP 番号から発信された可能性があることを除けば、絶対に不都合なことは何もないからです。
詐欺師は、何かを埋め込んだり、アラームをトリガーした可能性のあるソフトウェアを変更したりしませんでした。
それらは脆弱性を引き起こしたので、ログにいくつかの副作用があります…
…問題は、何を探すことができるか知っていますか?
定期的に見ていますか?
何か異常を発見した場合、迅速かつ効果的に対応する良い方法はありますか?
ダグ。 よかった。
モノの発見について言えば、ゼロデイに関する XNUMX つのストーリーがあります。
まずは Chromeのゼロデイ 最初。
アヒル。 はい、この話は先週のポッドキャストを録音した直後の先週の半ばに発覚し、その時点で公開された 11 のセキュリティ修正プログラムでした。
そのうちの 2022 つが特に注目され、それが CVE-2856-XNUMX で、「Intents の信頼されていない入力の検証が不十分である」と説明されていました。
意図。 Android プログラミングを行ったことがある場合は、Web ページで次のようなアクションを実行するという考えです。 こういうことが起きたら、この別のローカルアプリで対応してほしい」
それは、「実は、私がやりたいのはこれをローカルで処理することです」という魔法の URL を持つのと同じような考えです。
しかし、Chrome と Android にはインテントと呼ばれる方法があり、Web ページ内の信頼されていないデータがローカル アプリをトリガーして、その信頼されていないデータで何かを実行することを許可するものは何でも想像できます…
…実際、非常にひどい結末になる可能性があります。
たとえば、「本当にやってはいけないことをしてください。」
「ねえ、セットアップを再開して、新しい管理ユーザーを作成してください」… コイン ATM サーバーで話していたのと同じように。
ここでの問題は、実際に悪用されたことが知られているため、Google がこれがゼロデイであることを認めたことです。
しかし、どのアプリがトリガーされるかについての詳細は明らかにされていません。 どのような種類のデータがトリガーを行うことができるか; それらのアプリがトリガーされた場合に何が起こるか。
そのため、どのような侵害の兆候 [IoC] を探すべきかが明確ではありませんでした。
明らかだったのは、ゼロデイ ホールのために、この更新が平均的な Chrome の更新よりも重要であったということです。
ちなみに、Microsoft Edge にも適用されました。
Microsoft は、「はい、調査しましたが、これは Edge にも当てはまります。 Chromium コード ベースからバグを継承しています。 このスペースをご覧ください。"
そして 19 年 2022 月 XNUMX 日に、Microsoft は Edge の更新プログラムを公開しました。
そのため、Chromium、Chrome、Edge、または Chromium 関連のブラウザーを使用しているかどうかに関係なく、最新バージョンを入手していることを確認する必要があります。
そして、18 年 2022 月 XNUMX 日以降の日付のものには、おそらくこの修正が含まれていると想像できます。
使用している Chromium ベースのブラウザーのリリース ノートを検索する場合は、CVE 2022-2856 を検索します。
ダグ。 OK、それでは リモートコード実行ホール Apple の WebKit HTML レンダリング ソフトウェアでは、カーネル実行ホールにつながる可能性があります…
アヒル。 はい、それはさらにエキサイティングな話でした!
私たちがいつも言っているように、Apple のアップデートは到着したときに到着したばかりです。
しかし、これは突然現れ、これらXNUMXつの穴を修正しただけで、両方とも野生です.
あなたが言うように、2022つはWebKitのバグ、CVE-32893-32894であり、XNUMX番目の-XNUMXは、必要に応じて、カーネル自体の対応する穴です...両方が同時に修正され、両方野生で。
並行して悪用されていたので、同時に発見されたような匂いがします。
WebKitのバグが入り込み、カーネルのバグが起きてシステム全体を乗っ取る。
Apple からそのような修正を聞くと、彼らが同時に修正しているのは web-bug-plus-kernel-bug だけです。 今すぐパッチを当ててください!」…
..あなたの当面の考えは、うーん、これはジェイルブレイクを可能にする可能性があり、基本的にAppleのセキュリティ制限のすべてが削除されるか、スパイウェアです.
Apple は次のようなことしか言っていません。 それらは同時に発見され、匿名の研究者によって報告されました。 両方にパッチが適用されています。 サポートされているすべての iPhone、iPad、Mac に適用されます。」
そして興味深いのは、最新バージョンの macOS であるモントレーでは、オペレーティング システム レベル全体のパッチがすぐに適用されたことです。
以前サポートされていた Mac の 10 つのバージョン (つまり、Big Sur と Catalina、macOS 11 と XNUMX) は、オペレーティング システム レベルのパッチを取得していませんでした。カーネル エクスプロイトに対して脆弱ではなかったかのように。
しかし、彼らはモントレーのアップデートにバンドルされていた真新しいバージョンの Safari を入手しました。
これは、彼らがこの WebKit 乗っ取りのリスクに確実にさらされていることを示唆しています。
そして、前に言ったように、ダグ、Apple の WebKit の重大なバグに関する重要なことは XNUMX つあります。
(1) iPhone および iPad、すべてのブラウザー、およびすべての Web レンダリング ソフトウェアで、App Store へのアクセスを許可する場合は、*WebKit を使用する必要があります*。
Firefox であっても、Chrome であっても、Brave であっても、どのブラウザであっても… 使用する可能性のあるエンジンをすべて取り除き、その下に WebKit エンジンを挿入する必要があります。
したがって、iPhone で Safari を使用しないようにするだけでは、この問題を回避することはできません。 それが(1)です。
番号 (2) は、Mac と iDevice の多くのアプリが、ヘルプ画面や Windows についてのようなことを行うための非常に便利で効率的で美しい方法として HTML を使用していることです。
どうしてそうしませんか?
自分のデバイスに合わせてサイズを調整できる HTML ページを作成できるのに、独自のグラフィックスを作成する必要はありません。
そのため、*Web ブラウザーではない* 多くのアプリでは、画面表示の「言語」の一部として HTML を使用できます。特に、画面についてとヘルプ ウィンドウで特にそうです。
つまり、彼らはおそらく WebView と呼ばれる Apple の機能を使用しており、これが HTML レンダリングを行います。
そして、WebView は WebKit に基づいており、WebKit にはこのバグがあります!
したがって、これはブラウザだけの問題ではありません。
理論的には、たまたま HTML を使用しているすべてのアプリに対して悪用される可能性があります。
したがって、これらはこの特定の重大な問題に関する 1 つの重大な問題です。つまり、(2) WebKit のバグ、そしてもちろん、(XNUMX) モントレーと iPhone および iPad にはカーネルの脆弱性もあったという事実です。 、おそらくチェーンで悪用される可能性があります。
これは、詐欺師が侵入できるだけでなく、はしごを登って乗っ取ることができることを意味していました。
そして、それは確かに非常に悪いです。
ダグ。 わかりました、それはすべてのショーの終わりに読者の質問にうまくつながります.
Apple のダブル ゼロデイ ストーリーで、読者の Susan がシンプルに質問しますが、 素晴らしい質問: 「エクスプロイトが両方とも自分の電話で実行された場合、ユーザーはどのようにして知ることができますか?」
どうやって知る?
アヒル。 ダグ…この場合のトリッキーなことは、おそらくそうしないということです。
つまり、明らかな副作用がある可能性があります。たとえば、以前は完全に信頼性が高かったアプリを実行すると、携帯電話が突然クラッシュし始めます。そのため、疑わしくなり、専門家に調べてもらいます。誰かがあなたの電話をクラックしようとする危険性が高いと考えてください。
しかし、平均的なユーザーにとって、ここでの問題は、Apple が次のように言ったことです。 カーネルにこのバグがあります。」
侵害の痕跡は提供されていません。 概念実証コードはありません。 もしあれば、どのような副作用が取り残される可能性があるかについての正確な説明はありません.
したがって、これらのバグが永久に残す可能性のある目に見える副作用を正確に見つける唯一の方法であるかのようです. あなたが行って探すことができること…
…本質的には、これらのバグを自分で再発見し、それらがどのように機能するかを理解し、レポートを作成することです。
そして、私の知る限りでは、携帯電話で検索できる侵害の兆候 (または信頼できるもの) はありません。
本質的に「既知の良好な」状態に戻す唯一の方法は、Apple の DFU システム (Device Firmware Update の略だと思います) の使い方を調べることです。
基本的に、押す特別なキー シーケンスがあり、デバイスを USB ケーブルで信頼できるコンピューターにテザリングする必要があります。基本的には、ファームウェア全体を再インストールします...最新のファームウェア – Apple はダウングレードを許可しません。人々がそれを脱獄のトリックに使用していること)。 [笑う]
つまり、基本的には最新のファームウェアをダウンロードします。これは更新ではなく、再インストールです。
基本的にデバイスをワイプし、すべてを再度インストールすることで、既知の良好な状態に戻ります。
しかし、これは携帯電話を捨てて新しい携帯電話を購入するようなものです。最初から設定する必要があるため、すべてのデータが消去されます。
そして、重要なことに、そこに 2FA コード生成シーケンスが設定されている場合、*それらのシーケンスは消去されます*。
そのため、すべてが消去されるデバイス ファームウェア アップデートを実行する前に、アカウントを復元する方法や 2FA を新たに設定する方法があることを確認してください。
その DFU を実行すると、電話にプログラムした可能性のある認証シーケンスが失われ、回復できなくなるためです。
ダグ。 わかった。 [物思いにふける] 私は…
アヒル。 それはあまり良い答えではありませんでした、ダグ…
ダグ。 いいえ、それはこれとは何の関係もありません – 単なる補足です。
Pixel スマートフォンを Android 13 にアップグレードしたところ、スマートフォンが機能しなくなり、2FA の機能が失われました。これは非常に大きな問題でした。
アヒル。 *ブリック* [MADE IT FOREVER UNBOOTABLE] または単に消去しただけですか?
電話まだ動いてる?
ダグ。 いいえ、点灯しません。
フリーズして電源を切ったのですが、元に戻すことができませんでした。
アヒル。 ああ、本当ですか?
ダグ。 だから彼らは私に新しいものを送ってくれています。
通常、新しい電話を入手すると、古い電話を使用して新しい電話を設定できますが、古い電話の電源が入らない…
…というわけで、この話はちょっと身近なところに当てはまりました。
バックアップとして持っていた唯一の電話である元の Pixel XL を現在使用しているため、少し憂鬱になりました。
そして、それは大きく、不格好で、遅く、バッテリーは良くありません… それが私の人生です.
アヒル。 ええと、ダグ、あなたは電話ショップに行って、Apple [彼は Android ファンブイだからダグは笑い始める] iPhone SE 2022 を自分で購入することができます!
ダグ。 [驚] まさか!
番号! 番号! 番号!
私の場合は XNUMX 日で発送されます。
アヒル。 薄くて軽くて安くてゴージャス。
どの Pixel スマートフォンよりもはるかに見栄えがよく、それぞれ XNUMX つずつ持っています。
Pixel フォンは素晴らしいですが…
[故意に咳をし、囁く] …iPhoneの方がマシだ、ダグ!
ダグ。 OK、別の話はまた別の機会に!
スーザン、質問を送ってくれてありがとう。
それはその記事へのコメントでした。それは素晴らしいことです。 だから行って それをチェックしてください.
投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。
メールでtips@sophos.comに送信できます。 あなたは私たちの記事のいずれかにコメントすることができます。 または、ソーシャルで私たちを襲うことができます:@NakedSecurity。
それが今日の私たちのショーです–聞いてくれてありがとう。
ポール・ダックリンの場合、私はダグ・アーモスです。次回まで、次のことを思い出させてください…
どちらも。 安全を確保してください!
【ミュージックモデム】
