Vi har täckt en hel del historier om malware smyga in NPN och andra JavaScript förråd. Detta är lite annorlunda. Den här gången, en JS programmerare vandaliserat sina egna paket. Det är inte ens malware, kanske vi borde kalla det protestware? De två paket, färger och faker är båda populära, med en sammanlagd vecko nedladdning på nästan 23 miljoner. Deras författare, [Marak] lagt till en bryta uppdatering varje av dem. Dessa bibliotek nu skriva ut ett huvud av frihet Liberty Liberty, och sedan antingen slumpmässiga tecken, eller mycket dålig ASCII-konst. Det har bekräftats att detta inte var en extern angripare, men [Marak] bryta sina egna projekt med flit. Varför?
Det verkar som den här historien börjar tillbaka i slutet av 2020, när [Marak] förlorat en hel del i en brand, och var tvungen att be om pengar på Twitter. Edit: Tack vare commenter [Jack Dansen] för att peka ut en viktig detalj som saknades. Marak åtalades för framkallande av fara, och misstänktes för eventuella ambitioner terrorism, som bombtillverkning material hittades i hans utbränd lägenhet. Två veckor senare twittrade han att miljarder har gjorts av öppen källkod devs arbete, med hänvisning till en FAANG läcka. FAANG är en referens till de stora fem amerikanska teknikföretag: Facebook, Apple, Amazon, Netflix och Google. Samma dag öppnade han en fråga om Github för faker.js, kasta ner ett ultimatum: ”Ta detta som en möjlighet att skicka mig en sex siffra årliga kontrakt eller gaffel projektet och har någon annan arbete på det”
Om du befinner dig tycka synd om [Marak], det finns en rynka kvar att vända. Han har inte begått kod till colors.js sedan februari 2018. annan utvecklare, [DABH] har gjort underhåll sedan dess, fram till vandalism hände. Alla taget är det en enda röra. Båda projekten på NPM har återgått till sina unmolested utgåvor, och kommer sannolikt vridas officiella gafflar av projekten.
simulerade Startar
Den gemensamma uppfattningen är att när det finns flera iOS malware satser, som produceras av lik av från NSO-grupp, som malware kan faktiskt inte besegra Apples säker boot, så en telefon omstart är tillräckligt för att ”avinstallera” det. Problemet med detta är uppenbart när du hör det: Du litar på en komprometterad anordning för att faktiskt göra en ren omstart. Forskare vid ZecOps ha visat förmåga att avbryta omstarten processen i vad de kallar NoReboot. Deras kod krokar in avstängningsfunktion och istället dödar användargränssnittet. när strömbrytaren trycks in igen, är start animation visas och slutligen ett praktiskt system kommando startar användarrymden. Titta på demon inbäddad nedan.
Inga problem, eller hur? bara använda hårdvaran kraften omstartningsfunktion. volym upp, volym ner, håll strömbrytaren tills du får Apples logotyp. hur länge du håller det? tills logo dyker upp – rätt, det är trivialt att fejka en påtvingad omstart innan den riktiga händer. OK, så att veta att du får en riktig omstart du bara dra ut batteriet … Oh.
via The Record.
Microsoft Hacks MacOS
MacOS har en funktion som kallas Transparency, samtycke, och kontroll (TCC) som hanterar behörigheter för enskilda appar. Detta system förhindrar räknaren programmets åtkomst till systemets webbkameran, till exempel. Inställningarna lagras i en databas som lagras i hemkatalogen, med strikta kontroller förhindrar program från att ändra det direkt. Microsoft har meddelat att Powerdir sårbarhet, som kombinerar ett par quirks att övervinna skydd. Den utnyttjar är enkel: skapa en falsk TCC databas och sedan ändra användarens hemkatalog så att falsk databas är nu den aktiva. Det är lite mer komplicerat än så, eftersom en slumpmässig app egentligen inte ska kunna mappa hemkatalogen.
De fann två tekniker för att göra REMAP arbetet. första är katalogtjänster binärer, dsexport och dsimport. Samtidigt ändrar hemkatalogen direkt kräver root-access, kan denna export / import dans göras som en opriviligierad användare. Den andra tekniken är att åstadkomma en skadlig bunt till configd binära, vilket gör en kod-injektion attack. Det är intressant att se Microsoft fortsätta att göra säkerhetsforskningen riktar MacOS. Deras motivation kan vara mindre än ädelt, men det verkligen hjälper till att hålla alla våra enheter säkrare.
QNAP och UPnP
Vi har täckt en hel del NAS sårbarheter genom åren, och jag har noterat flera gånger att det verkligen inte är klokt att utsätta apparater som detta till internet. en av de föreslagna förklaringarna var UPnP, och idag har vi några officiell bekräftelse på att detta verkligen är en del av problemet. I en ny rådgivande rekommenderar QNAP officiellt stänga UPnP i QNAP enheter. Det verkar som detta borde ha rekommenderats ganska lång tid tillbaka, eller ännu bättre, dessa enheter levereras med UPnP inaktiverat som standard. Jag skulle gå ett steg längre och föreslår att stänga av funktionen i din router, även om du inte vet att du faktiskt behöver det för något.
Om du får en USB-enhet i Mail …
För Guds skull, Anslut inte det! Det verkar som att några företag inte fick det memo, eftersom det har funnits en framgångsrik Ransomware-kampanj av Fin7 med just det här tillvägagångssättet. Tricket är att de innehåller ett officiellt utseende brev, och kanske ett presentkort, frestande mottagaren att ansluta USB-enheten för att hävda sin lojalitetsbelöning. En 2020-kampanj från samma grupp som efterlyser bästa köp, där den här hävdar att det är från Amazon eller HHS.
Du kan ha samlat att dessa flash-enheter är mer än bara blixtlagring. Faktum är att de verkar vara BADUSB-enheter – små marker som registrerar sig som HID-enheter och skicka tangenttryckningar till datorn. När de en gång är inkopplad, öppnar de PowerShell och kör ett skadligt skript, vilket ger fjärråtkomst till angriparna. Om du får en av dessa, eller en liknande attack, ring FBI eller din lokala ekvivalent. Rapporter från företag och individer är det som leder till varning som den här.
Anmärkningsvärda uppdateringar
Den första omgången av Android-uppdateringar för det här året är ute, och det finns en fristående problem som påverkar en mängd enheter som sportar Qualcommsnapponen. CVE-2021-30285 är en vital nominell sårbarhet i Qualcomms slutna källprogramvara. Det kallas en “felaktig ingångsvalidering i kärnan”, men verkar vara ett minneshanteringsproblem i Qualcomm hypervisor. Det är klassificerat en 9,3 på CVSS-skalaen, men inga andra detaljer är tillgängliga just nu.
VMwares virtualiseringsprodukter har patchats mot CVE-2021-22045, en högflödes sårbarhet i sin virtuella CD-ROM-enhetskod. Utnyttjande kan resultera i en VM-flykt och godtycklig kod som körs på maskinhypervisor, ett värsta fall för VM-operatörer. Felaktigheterna är 7,7, och tack och lov måste det finnas en CD-bild som är aktivt ansluten till maskinen, så att lösningen är ganska lätt – ta bara bort CD-enheten eller bilden.