2FA、黑客攻击和补丁
下面没有音频播放器? 听 直接 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 云端远程代码执行、远程代码执行和 2FA 代码。
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。
我是道格·阿莫斯; 他是保罗·达克林。
[讽刺]保罗,快乐 远程代码执行日 给你,我的朋友。
鸭。 天,周,月,年,似乎,道格。
无论如何,本周有很多 RCE 故事。
道格。 当然…
但在我们开始之前,让我们深入研究一下我们的 技术历史 分割。
本周,即 26 年 1998 月 XNUMX 日,计算机世界遭到了 CIH病毒,也称为 SpaceFiller。
那个 空间填充器 名字可能是最贴切的。
这种大小约为 1KB 的病毒并没有在文件末尾写入额外代码(这是恶意活动的明显特征),而是填补了现有代码中的空白。
该病毒是一个 Windows 可执行文件,它会用零填充硬盘空间的第一个兆字节,从而有效地清除分区表。
然后,第二个有效负载将尝试写入 BIOS 以破坏它。
看起来很恶毒,保罗!
鸭。 确实如此。
令人着迷的是,26 月 XNUMX 日是它实际上*不是*病毒的一天——它在今年余下的时间里传播。
而且,事实上,不仅如您所说,它是否尝试擦除硬盘的第一块……
......你可能或可能恢复,但它取出了你的分区表,通常是你的文件分配表的一大块,所以如果没有认真的帮助,你的计算机肯定无法启动。
但是,如果它设法覆盖了您的 BIOS,它会故意在固件开头附近写入垃圾,这样当您下次打开计算机时,它在开机时尝试执行的第二条机器代码指令将导致它悬挂。
因此,您根本无法启动计算机来恢复固件或刷新固件。
那几乎是 BIOS 芯片不再位于插槽中的时代的开始,如果你知道自己在做什么,你可以将它们从主板上拔出,重新刷新它们,然后将它们放回原处。
它们被焊接到主板上。
如果你喜欢,“里面没有用户可维修的部件。”
所以很多倒霉的人被击中不仅他们的数据被清除并且他们的计算机物理上无法启动,但他们无法修复它并且基本上不得不去购买新的主板,道格。
道格。 这种病毒有多先进?
这似乎有很多东西可能是人们以前从未见过的,或者真的很极端。
鸭。 空间填充的想法并不新鲜……
…因为人们学会了记住某些关键系统文件的大小。
因此,如果您是 DOS 用户,您可能会记住 COMMAND.COM
,以防它增加。
或者你可以记住的大小,比方说, NOTEPAD.EXE
,然后你可以时不时地回顾一下,然后说,“它没有改变;它没有改变。” 一定没问题。”
因为,很明显,作为人类反病毒扫描程序,您并没有深入研究文件,您只是扫了一眼。
所以这个技巧是众所周知的。
我们之前没有看到的是这种蓄意的、有计划的尝试,不仅要擦除硬盘的内容(令人惊讶和遗憾的是,在那些日子里作为副作用非常普遍),而且实际上要摧毁你的整个计算机,并使计算机本身无法使用。
无法恢复。
并迫使您去五金店更换其中一个组件。
道格。 不好玩。
一点都不好玩!
那么,让我们来谈谈更快乐的事情吧。
我想备份我的 Google 身份验证器 2FA代码序列 到谷歌的云...
......我没有什么可担心的,因为它们在传输过程中是加密的,对吧,保罗?
鸭。 这是一个引人入胜的故事,因为 Google Authenticator 的使用非常广泛。
它从未有过的一个功能是能够将您的 2FA 帐户及其所谓的起始种子(帮助您生成六位数代码的东西)备份到云中,这样如果您丢失手机或购买新手机手机,您可以将它们同步回新设备,而无需重新设置所有内容。
谷歌最近宣布,“我们终于要提供这个功能了。”
我在网上看到一个故事,标题是 谷歌身份验证器在 13 年后添加了一项关键的、期待已久的功能。
所以每个人都为此感到非常兴奋!
[笑声]
它非常方便。
人们所做的是……
......你知道,那些让你首先为帐户建立种子的二维码?
道格。 [笑]当然,我一直在给自己拍照。
鸭。 [GROANS] 是的,你把你的相机对准它,它扫描它,然后你想,“如果我再次需要它怎么办? 在我离开那个屏幕之前,我要拍张照片,然后我有一个备份。”
好吧,不要那样做!
因为这意味着在你的电子邮件中、在你的照片中、在你的云帐户中的某个地方,本质上是该种子的未加密副本。
这是您帐户的绝对关键。
所以这有点像把你的密码写在一张纸上然后拍张照片——这可能不是一个好主意。
因此,Google 最终将此功能(您希望安全地)构建到他们的 Authenticator 程序中,这被许多人视为胜利。
[戏剧性的停顿]
输入@mysk_co(我们的好朋友 Tommy Mysk,我们之前在播客中多次谈到过他)。
他们想,“肯定有某种你独有的加密方式,比如密码……但是当我进行同步时,应用程序并没有要求我输入密码; 它没有让我选择是否放入一个,就像 Chrome 浏览器在同步密码和帐户详细信息时所做的那样。”
而且,你瞧,@mysk_co 发现,当他们获取应用程序的 TLS 流量并对其进行解密时,就像它到达 Google 时发生的那样……
……里面有种子!
令我惊讶的是,谷歌没有内置这样的功能,“你愿意用你选择的密码加密它,这样即使我们也无法获得你的种子吗?”
因为,否则,如果这些种子泄露或被盗,或者如果它们根据合法搜查令被扣押,那么从您的云中获取数据的任何人都将能够获得您所有帐户的起始种子。
通常这不是事情的运作方式。
您不必成为无法无天的恶棍,就可以对所有人和任何人保密您的密码和 2FA 种子等信息。
所以他们的建议,@mysk_co 的建议(我赞同)是,“在 Google 带着你可以添加的密码短语参加聚会之前,不要使用该功能。”
这意味着这些内容*在*被加密以放入 HTTPS 连接以将其发送给 Google 之前*由您加密。
这意味着 Google 无法读取您的起始种子,即使他们想要读取也是如此。
道格。 好吧,我最喜欢在这个播客上说的话:我们会密切关注它。
我们的下一个故事是关于一家名为 PaperCut 的公司。
这也是关于一个 远程代码执行.
但这对这家公司来说更像是一个小费,因为它是如此透明。
这个故事发生了很多事情。 保罗……让我们深入挖掘,看看我们能找到什么。
鸭。 让我做一个 MEA过失 到 PaperCut 公司。
当我看到 PaperCut 这个词时,我看到人们在说,“哦,脆弱性; 远程代码执行; 攻击; 网剧”…
道格。 [笑] 我知道这是怎么回事!
鸭。 ……我认为 PaperCut 是一个 BWAIN,一个名字令人印象深刻的 Bug。
我想,“这是一个很酷的名字; 我敢打赌它与打印机有关,它会像 Heartbleed、LogJam、ShellShock 或 PrintNightmare 一样——它是 PaperCut!”
事实上,这只是公司的名称。
我认为这个想法是通过在您的网络中提供打印机管理来帮助您减少纸张使用中的浪费、不必要的开支和不环保。
“削减”意味着您正在削减开支。
不幸的是,在这种情况下,这意味着攻击者可以切入网络,因为最近在他们服务器的管理工具中发现了两个漏洞。
其中一个错误(如果你想追踪它,它是 CVE-2023-27350)允许远程代码执行:
此漏洞可能允许未经身份验证的攻击者在 Papercut 应用程序服务器上远程执行代码。 这可以远程完成,无需登录。
基本上,告诉它你想运行的命令,它就会为你运行。
好消息:他们修补了这两个漏洞,包括这个超级危险的漏洞。
远程代码执行漏洞……他们在 2023 年 XNUMX 月底修复了漏洞。
当然,并不是每个人都应用了补丁。
而且,你瞧,大约在 2023 年 XNUMX 月中旬,他们收到报告说有人在处理此事。
我假设骗子看了补丁,弄清楚发生了什么变化,然后想,“哦,这比我们想象的更容易利用,让我们使用它吧! 多方便啊!”
攻击开始了。
我相信他们迄今为止发现的最早的一个是 14 年 2023 月 XNUMX 日。
因此,该公司不遗余力,甚至在其网站顶部放了一条横幅,上面写着:“给我们客户的紧急信息:请安装补丁。”
骗子已经上当了,而且进展不顺利。
根据 Sophos X-Ops 团队的威胁研究人员的说法,我们已经有证据表明不同的骗子团伙正在使用它。
所以我相信我们知道一次看起来像是 Clop 勒索软件团队的攻击; 另一个我认为是 LockBit 勒索软件团伙所为; 在第三次攻击中,骗子滥用漏洞进行加密劫持——他们烧掉你的电,但他们拿走了加密货币。
更糟糕的是,就在今天早上 [2023-04-26],我从我们的一位威胁研究人员那里收到通知,有人,祝福他们的心,已经决定“为了防御目的和学术研究”,我们都拥有访问 97 行 Python 脚本……
......这让你可以随意利用它,[讽刺] 只是为了让你了解它是如何工作的。
道格。 [呻吟]啊啊啊。
鸭。 所以如果你还没有打补丁……
道格。 请快点!
听起来很糟糕!
鸭。 “请快点”……我认为这是最冷静的表达方式,道格。
道格。 我们将留在远程代码执行列车上,下一站是 Chromium Junction。
A 双零日,一个涉及图像,一个涉及 JavaScript,Paul。
鸭。 确实如此,道格。
如果您想找到它们,我会读出来。
我们有 CVE-2023-2033,也就是说,用行话来说, Google Chrome 中的 V8 类型混淆。
我们有 CVE-2023-2136, Google Chrome 中的 Skia 整数溢出。
解释一下,V8 是 Chromium 浏览器核心的开源 JavaScript“引擎”的名称,而 Skia 是 Chromium 项目用于呈现 HTML 和图形内容的图形处理库。
您可以想象浏览器的图形渲染部分或 JavaScript 处理部分中的可触发错误问题......
……这些正是设计用于消费、处理和呈现*来自不受信任的网站*的内容的部分,即使您只是查看它们也是如此。
因此,只要浏览器为您准备好它,您就不会挑逗一个,而是两个 bug。
我的理解是其中之一,即 JavaScript,本质上提供了远程代码执行,您可以让浏览器运行它不应该运行的代码。
另一个允许所谓的沙箱逃逸。
所以,你让你的代码运行,然后你跳出应该限制代码在浏览器内运行的限制。
尽管这些错误是分别发现的,并且分别在 14 年 2023 月 18 日和 2023 年 XNUMX 月 XNUMX 日分别进行了修补,但您不禁怀疑(因为它们是零日漏洞)是否真的被某人组合使用了。
因为您可以想象:一个让您*进入*浏览器,另一个让您*脱离*浏览器。
所以当我们最近谈论这些时,你处于同样的情况 Apple 零日漏洞,其中一个位于浏览器渲染器 WebKit 中,这意味着您的浏览器可能会在您查看页面时被破解……
……另一个是在内核中,浏览器中的代码可能会突然跳出浏览器并将自己埋在系统的主要控制部分中。
现在,我们不知道,在 Chrome 和 Edge 错误案例中,它们是否一起使用,但这肯定意味着非常非常值得检查您的自动更新是否真的通过了!
道格。 是的,我会注意到我检查了我的 Microsoft Edge,它会自动更新。
但这可能是默认情况下关闭的更新切换 - 如果您有按流量计费的连接,即如果您的 ISP 有上限,或者如果您使用的是移动网络 - 这样您就不会自动获取更新,除非你主动打开它。
在您重新启动浏览器之前,切换不会生效。
因此,如果您是那些不断打开浏览器,从不关闭或重新启动浏览器的人中的一员,那么……
…是的,值得检查!
这些浏览器在自动更新方面做得很好,但这不是给定的。
鸭。 这是一个很好的观点,道格。
我没有想过这一点。
如果您关闭了按流量计费的连接,您可能根本收不到更新。
道格。 好的,所以来自谷歌的 CVE 有点模糊,因为它们通常来自任何公司。
所以,Phil(我们的一位读者)问道……他说 CVE 的一部分说的是某些事情可能会发生 “通过精心制作的 HTML 页面。”
他说这还是太含糊了。
所以,在某种程度上,他说:
我想我应该假设,因为 V8 是弱点所在,JavaScript-plus-HTML,而不仅仅是一些损坏的 HTML 本身,可以控制 CPU 指令指针吗? 对还是错?
然后他继续说 CVE 是 “到目前为止,对我来说,获得这方面的线索毫无用处。”
所以 Phil 有点困惑,我们在座的许多人可能也是如此。
保罗?
鸭。 是的,我认为这是一个很好的问题。
在这种情况下,我理解为什么 Google 不想过多地谈论这些错误。
他们在野外; 他们是零日; 骗子已经知道他们; 让我们试着把它藏起来一段时间。
现在,我认为他们刚才说“精心制作的 HTML 页面”的原因并不是说 HTML 本身(纯粹的“尖括号/标签/尖括号”HTML 代码,如果你愿意的话)可以触发这个错误。
我认为谷歌试图警告你的是,仅仅看——“只读”浏览——仍然会给你带来麻烦。
像这样的错误的想法,因为它是远程代码执行,是:你看; 浏览器试图以其受控的方式呈现某些东西; 它应该是 100% 安全的。
但在这种情况下,它可能是 100% *危险的*。
我认为这就是他们想要表达的意思。
不幸的是,“CVE 对我来说‘无用’”的想法很遗憾,我发现这种情况经常发生。
道格。 [笑] 你并不孤单,菲尔!
鸭。 它们只是网络安全行话和行话的几句话。
我的意思是,有时,对于 CVE,您转到该页面,它只是说,“此错误标识符已被保留,稍后将提供详细信息”,这几乎比无用更糟糕。 [笑声]
所以这实际上是想用一种行话的方式告诉你,*只是看*,只是查看一个网页,这应该是安全的(你没有选择下载任何东西;你没有选择执行任何操作;您还没有授权浏览器保存文件)……只是在您看到页面之前准备页面的过程就足以让您处于危险之中。
我认为,这就是“精心制作的 HTML 内容”的意思。
道格。 好吧,保罗,非常感谢你解决了这个问题。
非常感谢你,菲尔,把它寄来。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@nakedsecurity。
这就是我们今天的节目; 非常感谢您的聆听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒您下次……
两个都。 保持安全!
[音乐调制解调器]
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/04/27/s3-ep132-proof-of-concept-lets-anyone-hack-at-will/
- :具有
- :是
- :不是
- :在哪里
- $UP
- 100%安全
- 13
- 14
- 1998
- 2023
- 26
- 2FA
- a
- 对,能力--
- Able
- 关于
- 绝对
- 学者
- ACCESS
- 根据
- 账号管理
- 账户
- 要积极。
- 活动
- 通
- 加
- 添加
- 管理员
- 管理
- 高级
- 忠告
- 后
- 驳
- 前
- 所有类型
- 分配
- 允许
- 单
- 已经
- 好的
- 还
- am
- 其中包括
- an
- 和
- 公布
- 另一个
- 任何
- 任何人
- 分析数据
- 应用
- Apple
- 应用领域
- 应用的
- 使用
- 四月
- APT
- 保健
- 刊文
- AS
- At
- 攻击
- 攻击
- 尝试
- 音频
- 作者
- 自动表
- 自动
- 背部
- 备份工具
- 旗帜
- 基本上
- BE
- 因为
- 很
- before
- 开始
- 作为
- 相信
- 如下。
- 打赌
- 大
- 位
- 都
- 午休
- 浏览器
- 浏览器
- 浏览
- 问题
- 虫子
- 建立
- 燃烧
- 但是
- 购买
- by
- 计算
- 被称为
- 相机
- CAN
- 可以得到
- 帽
- 案件
- 例
- 原因
- 一定
- 当然
- 查
- 检查
- 检查
- 碎屑
- 选择
- 选择
- 铬
- chrome浏览器
- 铬
- 清除
- 云端技术
- 簇
- 码
- COM的
- 组合
- 如何
- 购买的订单均
- 评论
- 相当常见
- 公司
- 组件
- 一台
- 计算
- 困惑
- 混乱
- 地都
- 连接
- 经常
- 消耗
- 内容
- Contents
- 控制
- 受控
- 便捷
- Cool
- 核心
- 已损坏
- 可以
- 情侣
- 课程
- 外壳
- 中央处理器
- 危急
- 克鲁克斯
- Cryptojacking
- 合作伙伴
- 切
- 切割
- CVE
- 网络安全
- data
- 天
- 一年中的
- 决定
- 默认
- 防卫
- 设计
- 摧毁
- 详情
- 设备
- DID
- 不同
- DIG
- 发现
- do
- 不
- 不会
- 做
- 完成
- 别
- DOS
- 向下
- 下载
- 显着
- 下降
- 更容易
- 边缘
- 效果
- 只
- 或
- 电力
- 邮箱地址
- 电子邮件
- 加密
- 加密
- 结束
- 更多
- 时代
- 逃生
- 本质上
- 建立
- 甚至
- 所有的
- 每个人
- 一切
- 证据
- 兴奋
- 执行
- 执行
- 现有
- 开支
- 说明
- 利用
- 额外
- 极端
- 眼
- 迷人
- 专栏
- 少数
- 想通
- 文件
- 档
- 填
- 满
- 终于
- 找到最适合您的地方
- 姓氏:
- 固定
- 遵循
- 针对
- 力
- 发现
- 朋友
- 止
- 开玩笑
- 刚
- 通常
- 生成
- 得到
- 越来越
- 特定
- 给
- Go
- GOES
- 去
- 非常好
- 好工作
- 谷歌
- Google Chrome
- 谷歌的
- 图像
- 大
- 破解
- 黑客
- 民政事务总署
- 处理
- 便利
- 挂
- 发生
- 快乐
- 硬
- 硬件
- 帽子
- 有
- 有
- he
- 标题
- 心脏出血漏洞
- 帮助
- 此处
- 击中
- 举行
- 抱有希望
- 创新中心
- HTML
- HTTPS
- 人
- i
- 主意
- 识别码
- if
- 图片
- 想像
- 重要
- 有声有色
- in
- 包含
- 增加
- 代替
- 有趣
- 成
- ISP
- IT
- 它的
- 本身
- 行话
- JavaScript的
- 工作
- 跳
- 只是
- 保持
- 键
- 类
- 知道
- 已知
- 名:
- 后来
- 飞跃
- 学习用品
- 知道
- 离开
- 让
- 自学资料库
- 谎言
- 喜欢
- 听力
- 小
- 日志
- 期待已久
- 看
- 看着
- 寻找
- LOOKS
- 失去
- 占地
- 爱
- 机
- 制成
- 主要
- 使
- 管理
- 许多
- 三月
- 意味着
- 手段
- 的话
- 微软
- 微软边缘
- 中间
- 可能
- 联络号码
- 月
- 更多
- 早晨
- 最先进的
- 许多
- 音乐
- 音乐
- 裸体安全
- 裸播安全播客
- 姓名
- 近
- 需求
- 网络
- 虽然
- 全新
- 消息
- 下页
- 通常
- 没什么
- 通知
- 现在
- of
- 折扣
- 提供
- 经常
- on
- 一
- 在线
- 仅由
- 打开
- 开放源码
- or
- 秩序
- 其他名称
- 除此以外
- 我们的
- 输出
- 学校以外
- 超过
- 页
- 纸类
- 部分
- 部分
- 党
- 密码
- 密码
- 打补丁
- 补丁
- 保罗
- 员工
- PHIL
- 电话
- 图片
- 物理
- 图片
- 片
- 地方
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- 播放机
- 请
- 播客
- 播客
- 点
- 或者
- 帖子
- 可能
- 准备
- 当下
- 大概
- 市场问题
- 过程
- 处理
- 曲目
- 项目
- 提供
- 优
- 目的
- 放
- 把
- 蟒蛇
- QR码
- 题
- 勒索
- 阅读
- 读者
- 真
- 原因
- 最近
- 恢复
- 远程
- 翻译
- 更换
- 业务报告
- 研究人员
- 保留的
- 分别
- REST的
- RSS
- 运行
- 运行
- 安全
- 说
- 同
- 沙箱
- 保存
- 说
- 说
- 屏风
- 搜索
- 其次
- 秘密
- 安全
- 保安
- 看到
- 种子
- 种子
- 似乎
- 看到
- 段
- 查获
- 提交
- 发送
- 严重
- 集
- 设置
- 几个
- 商城
- 应该
- 显示
- 关闭
- 只是
- 自
- 情况
- 尺寸
- 尺寸
- 捕捉
- So
- 至今
- 社会
- 一些
- 东西
- 某处
- 的SoundCloud
- 太空
- Spotify
- 传播
- 间谍
- 开始
- 开始
- 开始
- 留
- 仍
- 被盗
- Stop 停止
- 停止
- 故事
- 故事
- 提交
- 这样
- 应该
- 奇怪
- 系统
- 表
- 采取
- 服用
- 谈论
- 说
- 团队
- 展示
- 比
- 谢谢
- 这
- 世界
- 其
- 他们
- 然后
- 那里。
- 博曼
- 他们
- 事
- 事
- 认为
- 第三
- Free Introduction
- 本星期
- 那些
- 思想
- 威胁
- 次
- 时
- TLS
- 至
- 今晚
- 一起
- 也有
- 工具
- 最佳
- 跟踪时
- 交通
- 培训
- 过境
- 透明
- 尝试
- 触发
- 麻烦
- 转身
- 类型
- 一般
- 下
- 理解
- 理解
- 不幸
- 独特
- 更新
- 更新
- 最新动态
- 冲动
- 网址
- us
- 用法
- 使用
- 用过的
- 用户
- 运用
- 供应商
- 非常
- 查看
- 病毒
- 漏洞
- 漏洞
- 想
- 认股证
- 是
- 废物回收
- 方法..
- we
- 虚弱
- 卷筒纸
- 网络套件
- 您的网站
- 周
- 井
- 为
- 什么是
- ,尤其是
- 是否
- 这
- 而
- WHO
- 谁
- 为什么
- 广泛
- Wild!!!
- 将
- 窗户
- 擦
- 也完全不需要
- 话
- 工作
- 合作
- 世界
- 更坏
- 价值
- 将
- 写
- 写作
- 错误
- 年
- 年
- 但
- 您
- 您一站式解决方案
- 和风网
- 零