Deze week krijgen we eindelijk de inside scoops van enkele oude verhalen, te beginnen met het Bitwarden Windows Hello-probleem van vorig jaar. U herinnert zich misschien dat Bitwarden een optie heeft om Windows Hello te gebruiken als optie voor het ontgrendelen van een kluis. Helaas versleutelt de Windows-referentie-API de inloggegevens niet op een manier waarvoor een extra Windows Hello-verificatie vereist is om te ontgrendelen. Een afgeleide sleutel wordt dus opgeslagen bij de credential manager en kan worden opgehaald via een eenvoudige API-aanroep. Geen aanvullende biometrie nodig. Zelfs als de Bitwarden-kluis vergrendeld is en de applicatie gesloten is.
Er is nog een gevaar, waarbij niet eens toegang tot de ingelogde machine vereist is. Op een machine die lid is van een domein, maakt Windows een back-up van deze coderingssleutels naar de domeincontroller. De gecodeerde kluis zelf is standaard beschikbaar op een domeinmachine via SMB. Een gecompromitteerde domeincontroller kan een Bitwarden-kluis te pakken krijgen zonder zelfs maar code op de doelcomputer uit te voeren. Het goede nieuws is dat dit specifieke probleem met Bitwarden en Windows Hello nu is opgelost, en dat dat sindsdien ook zo is versie 2023.10.1.
Omgekeerde RDP-exploitatie
Normaal gesproken beschouwen we het Remote Desktop Protocol als gevaarlijk om bloot te stellen aan internet. En het is. Zet uw RDP-service niet online. Maar omgekeerde RDP is het idee dat het ook gevaarlijk kan zijn om een RDP-client met een kwaadaardige server te verbinden. En natuurlijk hebben meerdere RDP-implementaties dit probleem. Er zijn rdesktop, FreeRDP en Microsoft’s eigen mstsc die allemaal kwetsbaarheden hebben met betrekking tot omgekeerde RDP.
De technische details hier zijn niet erg interessant. Het zijn allemaal variaties op het thema van het niet goed controleren van externe gegevens van de server, en dus het lezen of schrijven langs interne buffers. Dit resulteert in verschillende vormen van informatielekken en problemen met de uitvoering van code. Wat interessant is, zijn de verschillende reacties op de bevindingen, en vervolgens De afhaalmaaltijd van [Eyal Itkin]. over hoe beveiligingsonderzoekers de openbaarmaking van kwetsbaarheden moeten aanpakken.
Dus in de eerste plaats heeft Microsoft een kwetsbaarheid afgedaan als onwaardig voor onderhoud. En ging vervolgens verder met het intern onderzoeken ervan, en presenteerde het als een nieuwe aanval zonder [Eyal] correct toe te schrijven aan de oorspronkelijke vondst. rdesktop bevatte nogal wat van deze problemen, maar kon het probleem binnen een paar maanden oplossen. FreeRDP loste meteen een aantal problemen op, in wat beschreven zou kunnen worden als een mep-een-mole-stijl proces, maar er werd een patch bedacht die het probleem daadwerkelijk op een dieper niveau zou aanpakken: het veranderen van een API-waarde van de niet-ondertekende size_t naar een ondertekende sgrootte_t. Het duurde maar liefst twee jaar voordat die verandering daadwerkelijk in een release aan de wereld werd bekendgemaakt. Waarom zo lang?
Twee redenen voor die lange vertraging. Ten eerste was het een verhardende verandering, geen reactie op één enkele kwetsbaarheid. Het zou een aantal van deze problemen in één keer hebben voorkomen, maar het was geen vereiste verandering om ze allemaal afzonderlijk op te lossen. Maar nog belangrijker: dit was een API-wijziging. Het zou dingen kapot maken. Gooi het dus in de hoofdversiebranch en wacht. En hier is er een klein dilemma. Moet een onderzoeker het probleem online gooien, of geduldig wachten? Er is hier geen eenduidig antwoord, omdat elke situatie zijn eigen complexiteit heeft, maar [Eyal] bepleit dat beveiligingsonderzoekers zich meer zouden moeten bezighouden met het aanbrengen van oplossingen op projecten, en niet alleen met de inhoud om nog een CVE te scoren.
Crawl netwerken met SSH-Snake
Deze slimme tool hebben we deze week pas ontdekt: SSH-slang. Het concept is eenvoudig. Het script zoekt naar eventuele SSH-privésleutels en probeert deze vervolgens uit de lijst met bekende SSH-hosts. Voor elke host die een sleutel accepteert, wordt het script opnieuw uitgevoerd. Het zet geen bestanden neer op het bestandssysteem en wordt automatisch uitgevoerd zonder tussenkomst, waarbij aan het einde een handige grafiek van toegankelijke systemen wordt samengesteld. Absoluut een waardevol hulpmiddel om in uw digitale gereedschapskist te bewaren.
Bits en bytes
In een leuke wending van online spelen, Mandiant verloor deze week een tijdje de controle over hun X-account. Het was een leuk kat-en-muisspel waarbij berichten die cryptofraude aanmoedigden, verschenen, verdwenen en weer verschenen. Je kunt je alleen maar een voorstelling maken van het verwoede werk dat achter de schermen werd verricht terwijl dit zich afspeelde. Hopelijk kunnen we hierover over een paar weken een Mandiant blogpost delen. En ja, daar is een XKCD over.
As you likely noticed, yesterday, Mandiant lost control of this X account which had 2FA enabled. Currently, there are no indications of malicious activity beyond the impacted X account, which is back under our control. We’ll share our investigation findings once concluded.
— Mandiant (@Mandiant) 4 januari 2024
Als u nog een Lastpass-account heeft, heeft u deze week mogelijk e-mails ontvangen er is een wijziging in de vereiste hoofdwachtwoord in de maak. De TL:DR is dat Lastpass eerder een wachtwoord van 12 tekens “vereiste”. Binnenkort moeten alle wachtwoorden 12 tekens lang zijn, inclusief die van oudere accounts. Het is waarschijnlijk het beste om die wijziging toch voor te zijn, als je een korter wachtwoord hebt.
Het lijkt een beetje toondoof, dat 23andMe geeft de slachtoffers de schuld van de recente accountinbreuken daar. “gebruikers gebruikten dezelfde gebruikersnamen en wachtwoorden die op 23andMe.com werden gebruikt als op andere websites die onderhevig waren aan eerdere beveiligingsinbreuken, en gebruikers hebben na deze eerdere beveiligingsincidenten nalatig hun wachtwoorden gerecycled en niet bijgewerkt”. Behalve dat dat technisch correct is. Gebruikers hergebruikten echt wachtwoorden. En gebruikers hebben er echt voor gekozen om details met hun genetische matches te delen. De enige echte mislukking was dat niemand bij 23andMe de credential stuffing-aanval had opgemerkt terwijl deze plaatsvond, maar dat is weliswaar moeilijk te onderscheiden in vergelijking met normaal verkeer. Dus waarschijnlijk een A- voor het technische punt. En een D voor de bezorging.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://hackaday.com/2024/01/05/this-week-in-security-bitwarden-reverse-rdp-and-snake/
- : heeft
- :is
- :niet
- :waar
- $UP
- 1
- 10
- 12
- 2023
- 2FA
- a
- in staat
- Over
- Accepteert
- toegang
- beschikbaar
- Account
- accounts
- activiteit
- werkelijk
- Extra
- adres
- weer
- vooruit
- Alles
- ook
- an
- en
- Nog een
- beantwoorden
- elke
- api
- verschijnen
- Aanvraag
- toegepast
- nadering
- ZIJN
- AS
- At
- aanvallen
- webmaster.
- Beschikbaar
- weg
- terug
- ruggen
- BE
- geweest
- achter
- Achter de schermen
- BEST
- Verder
- biometrie
- Beetje
- BeginnersWeb
- Tak
- inbreuken
- Breken
- Bos
- maar
- by
- Bellen
- CAN
- geval
- verandering
- veranderende
- karakter
- tekens
- controleren
- klant
- CLOSED
- code
- COM
- complexiteit
- Aangetast
- concept
- betrokken
- gesloten
- Verbinden
- bevatte
- content
- onder controle te houden
- controleur
- gekookt
- te corrigeren
- kon
- cursus
- IDENTIFICATIE
- referentie vulling
- Geloofsbrieven
- crypto
- crypto-zwendel
- Op dit moment
- CVE
- GEVAAR
- gevaarlijk
- gegevens
- diepere
- Standaard
- definitief
- levering
- Afgeleid
- beschreven
- desktop
- gegevens
- DEED
- anders
- moeilijk
- digitaal
- verdwijnen
- onderscheiden
- onthulling
- ontdekt
- doet
- Nee
- domein
- gedaan
- Dont
- dr
- Val
- elk
- beide
- e-mails
- ingeschakeld
- versleutelde
- encryptie
- einde
- Zelfs
- OOIT
- Alle
- Behalve
- Mislukt
- Storing
- weinig
- Bestanden
- Tot slot
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- bevindingen
- Voornaam*
- Bepalen
- vast
- vast
- volgend
- Voor
- formulieren
- oppompen van
- leuke
- spel
- genetisch
- krijgen
- het krijgen van
- goed
- diagram
- HAD
- handvol
- Happening
- Hebben
- Vandaar
- hier
- Hopelijk
- gastheer
- hosts
- Hoe
- HTTPS
- idee
- if
- beeld
- beïnvloed
- implementaties
- belangrijker
- in
- Inclusief
- indicaties
- individueel
- informatie
- binnen
- interessant
- intern
- inwendig
- Internet
- tussenkomst
- in
- onderzoek
- problemen
- IT
- HAAR
- zelf
- toegetreden
- jpg
- voor slechts
- Houden
- sleutel
- toetsen
- bekend
- Achternaam*
- LastPass
- Lekken
- Niveau
- Waarschijnlijk
- Lijst
- ll
- opgesloten
- lang
- lange tijd
- LOOKS
- verloren
- machine
- groot
- maken
- MERKEN
- kwaadaardig
- Malwarebytes
- manager
- meester
- lucifers
- Mei..
- Microsoft
- macht
- maanden
- meer
- meervoudig
- nodig
- netwerken
- nieuws
- handig
- geen
- een
- normaal
- roman
- nu
- of
- korting
- Oud
- ouder
- on
- eens
- EEN
- online.
- Slechts
- Keuze
- or
- origineel
- Overige
- onze
- uit
- over
- het te bezitten.
- bijzonder
- Wachtwoord
- wachtwoorden
- verleden
- Patch
- geduldig
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- gespeeld
- punt
- Berichten
- presenteren
- verhinderd
- die eerder
- Voorafgaand
- privaat
- Privésleutels
- waarschijnlijk
- probleem
- problemen
- projecten
- naar behoren
- protocol
- voortvarend
- zetten
- heel
- lezing
- vast
- werkelijk
- redenen
- recent
- gerecycled
- los
- niet vergeten
- vanop
- vereisen
- nodig
- vereiste
- vereist
- onderzoek
- onderzoeker
- onderzoekers
- antwoord
- reacties
- Resultaten
- omkeren
- rechts
- lopend
- loopt
- dezelfde
- oplichting
- Scenes
- partituur
- script
- veiligheid
- beveiligingsinbreuken
- beveiligingsonderzoekers
- lijken
- server
- service
- servicing
- Delen
- delen
- moet
- Gesigneerd
- Eenvoudig
- sinds
- single
- situatie
- SMB
- So
- solide
- sommige
- Spoedig
- Start
- Still
- opgeslagen
- Blog
- vulling
- stijl
- onderwerpen
- Systems
- doelwit
- Technisch
- technisch
- dat
- De
- de wereld
- hun
- Ze
- thema
- harte
- Er.
- Deze
- spullen
- denken
- dit
- deze week
- die
- Door
- niet de tijd of
- naar
- nam
- tools
- Toolbox
- verkeer
- waar
- BEURT
- voor
- helaas
- openen
- bijwerken
- .
- gebruikt
- gebruikers
- waarde
- variaties
- divers
- Gewelf
- Verificatie
- versie
- slachtoffers
- vs
- kwetsbaarheden
- kwetsbaarheid
- wachten
- was
- Manier..
- we
- websites
- week
- weken
- waren
- Whack-a-mole
- Wat
- welke
- en
- Waarom
- wil
- ruiten
- Met
- zonder
- WordPress
- Mijn werk
- wereld
- de moeite waard
- zou
- het schrijven van
- X
- jaar
- ja
- gisteren
- u
- Your
- zephyrnet