A notícia interessante da semana passada foi um conjunto de vulnerabilidades na infraestrutura da Apple, que foram descobertas por uma equipe de cinco pessoas em três meses. Por 55 vulnerabilidades, incluindo 11 críticas, a gigante da TI pagará a pesquisadores independentes 237 mil dólares. Esse valor é resultado de uma análise parcial dos relatórios, a recompensa total pode ultrapassar 500 mil dólares. O registro agregado de pagamento corresponde ao perigo dos problemas encontrados: diversos bugs possibilitaram hackear contas do serviço de nuvem iCloud, ter acesso a recursos fechados da Apple e até mesmo à rede local da empresa.
Para um observador externo, o evento é interessante pela descrição mais detalhada de 11 vulnerabilidades críticas publicadas no bloglíder da equipe de pesquisa, Sam Curry. Todas as vulnerabilidades de uma forma ou de outra estão relacionadas aos serviços de rede da empresa: um dos relatórios chega a mencionar que os invasores nem tinham iPhones e iPads diretamente à mão. De acordo com Sam Curry, os funcionários da Apple resolveram todos os problemas muito rapidamente, alguns horas após o envio do relatório.
A corrida para hackear a Apple começou escaneando os servidores da empresa acessíveis a partir da web. Ao mesmo tempo, soube-se que a empresa detém inteiramente a faixa de endereços IP 17.0.0.0/8. Já neste estágio, 22 nós surgiram com a vulnerabilidade CVE-2020-3452 em servidores Cisco VPN: ele pode ser usado para ler arquivos arbitrários. Entre as 11 vulnerabilidades críticas, duas das mais interessantes são dignas de nota.
Primeiro, os pesquisadores conseguiram hackear o fórum do programa fechado AppleDistinguishedEducators. O fórum usou o software Jive Intranet , ao qual o sistema de autorização unificado da Apple foi anexado. Para acessar o fórum, você tinha que deixar um pedido no servidor. Como ficou claro a partir da análise das solicitações após o preenchimento do formulário, o servidor manteve um rudimento de seu próprio sistema de autorização Jive, no qual o sistema aplicativo estava rodando. Cada aplicativo basicamente criou uma nova conta no fórum, com a senha padrão ### INvALID #%! 3. De fato, afinal, o login então ocorre através do Signin withApple, sendo possível não lidar com o correto design das contas internas da Jive.
Foi um erro de quem configurou o servidor. Sam Curry e seus colegas naturalmente encontraram uma maneira de usar o sistema de autenticação padrão, mas não puderam entrar no fórum porque suas contas não receberam a aprovação do administrador. Eles executaram uma enumeração de todos os logins de três letras, e um deles funcionou - com a mesma senha padrão. Assim, os pesquisadores entraram no fórum, após o que examinaram a lista de usuários, identificaram os administradores e se logaram da mesma forma em uma conta com direitos estendidos. Depois de alguma experimentação, eles foram capazes de executar código arbitrário no servidor. Parece ser "hackeado o fórum e pronto", nada de interessante. Mas a execução de código arbitrário abriu o acesso ao serviço LDAP e a uma porção bastante grande da rede interna da Apple.
A segunda vulnerabilidade interessante foi encontrada no serviço iCloud, mais precisamente no cliente de e-mail, ou mais precisamente, em sua versão web. Aqui, os pesquisadores buscavam uma vulnerabilidade XSS - uma maneira de executar código com acesso aos dados pessoais de um usuário para que, no pior dos casos, pudesse ser roubado para a vítima. E ela foi encontrada! Em primeiro lugar, descobriu-se que novas mensagens chegam ao cliente da web como um dado no formato JSON e, em seguida, são processadas localmente. Após várias experiências com a tag "style", tornou-se possível executar um script arbitrário na seguinte configuração:
Isso abriu o acesso a qualquer serviço iCloud do navegador da vítima. Para um ataque bem-sucedido, bastava enviar um e-mail preparado. Se o usuário o abrir em um cliente da web, um script malicioso será executado. O modelo de PoC dos hackers acabou sendo elegante e malévolo: como temos acesso total ao iCloud em nome de um usuário conectado e o recebemos por meio de um cliente de e-mail, vamos baixar um monte de fotos da vítima, enviá-las para nosso e-mail e, ao mesmo tempo, enviar uma mensagem infectada para todos livro de endereços. Se essa falha não fosse encontrada por pesquisadores, mas por cibercriminosos, outro vazamento massivo de dados privados poderia ter ocorrido (com a alteração de que nem todo mundo usa o cliente web, é claro). PoC no vídeo:
Outras vulnerabilidades críticas incluem comprometer o sistema de controle de fabricação industrial DelmiaAlpriso, executar código arbitrário no servidor para receber e processar conteúdo de editores e obter chaves de acesso a servidores hospedados pela AmazonWebServices. Nesta história, é precisamente a descrição detalhada das vulnerabilidades por pesquisadores que é valiosa, uma vez que os fornecedores não estão interessados em tal divulgação de informações e geralmente estão limitados a frases secas como "sob algumas condições, a execução de código é possível."
O que mais aconteceu
Repórteres da ArsTechnica escrevem sobre uma vulnerabilidade "irrecuperável" no chip T2 em desktops e laptops da Apple. Eles conseguiram hackear este sistema de segurança de hardware usando a portabilidade condicional do exploit Checkm8 usado para desbloquear dispositivos iOS.
Combinado com outra vulnerabilidade descoberta anteriormente em T2, o novo buraco tem o potencial de contornar os principais mecanismos de segurança, como autenticação de impressão digital e criptografia de dados. A escala das consequências ainda não foi determinada com precisão: em sua forma atual, o conjunto de explorações pode ser aplicado apenas localmente, a vulnerabilidade não sobrevive a uma reinicialização e eles não mostraram exemplos de roubo de dados prático.
Pesquisadores da ImmersiveLabs descobriramuma forma de roubar dados pessoais de smartwatches Fitbit e pulseiras de fitness por meio de um aplicativo malicioso.
Britânicos
O Facebook está mudando as regras do programa bugbounty e está tentando motivar os pesquisadores a trabalhar constantemente para encontrar vulnerabilidades na rede social. Em troca de dinheiro: a antiguidade no programa se transforma em bônus para pagamentos por buracos descobertos.
A Microsoft está investigando um cavalo de Troia de ransomware Android, em idioma russo (veja a imagem acima), conhecido como MalLocker. O malware não criptografa os dados, mas bloqueia o acesso ao dispositivo e usa um módulo de "aprendizado de máquina" disponível publicamente (!) Para redimensionar automaticamente a imagem para caber na tela.