Na semana passada, outro exercício sobre o tema aconteceu no acampamento do chapéu branco: o pesquisador David Buchanan encontrou uma maneira de compartilhar arquivos por meio de fotos no Twitter ( notícias , página do GitHub com descrição e código).
Não há vulnerabilidade aqui: você pode inserir dados em uma imagem PNG de diferentes maneiras e, neste caso, você nem precisa de uma ferramenta especial para decodificação. Basta renomear o arquivo .png para .zip e descompactar os dados do arquivo resultante.
O autor desse truque encontrou um recurso do processador de imagens no Twitter, que remove alguns dados redundantes do arquivo, mas não toca em uma das áreas do IDAT, onde a informação redundante está escondida. O método tem limitações: se o arquivo final tiver mais de 3 MB, o Twitter converterá a imagem em JPEG. Uma demonstração do método está disponível no Twitter.o autor, e a imagem daí dada acima: o truque também funciona em Habré (na época da publicação). Oculto dentro do arquivo zip da imagem está o código Python que permite ocultar dados arbitrários em PNGs.
Outra demonstração com um arquivo mais grosso: David não resistiu e fez um "rickroll" em uma única foto. Além do Twitter e do Habr, um método semelhante funciona na hospedagem de imagens Imgur e no repositório GitHub, mas não funciona, por exemplo, no Reddit.
O que mais aconteceu:
Grandes notícias da semana: as vulnerabilidades divulgadas anteriormente em dispositivos de rede de alto desempenho F5 BIG-IP e BIG-IQ são ativamente exploradas , a exploração para contornar os sistemas de autenticação é de domínio público.
A avaliação de danos de vulnerabilidades no Microsoft Exchange Server continua, inclusive fora dos Estados Unidos. O Belgian Cyber Threat Response Center relata 400 servidores de e-mail afetados (lidos, hackeados). O site da Microsoft publicou recomendações detalhadas para os administradores de sistema "curar" os servidores atacados. Um conjunto de atualizações regulares para o Exchange Server também foi lançado , incluindo uma que resolve problemas que podem surgir após o "patch de travamento".
Outro patch da Microsoft visa fechar todos os problemas de impressão no Windows 10 causados por atualizações malsucedidas lançadas anteriormente.
O fabricante do computador Acer foi supostamente atacado com sucesso por um ransomware. De acordo com a BleepingComputer, a empresa está exigindo US $ 50 milhões.
O Facebook montou sua própria equipe de pesquisadores de segurança da informação, um análogo do Google Project Zero e outros projetos.
Pesquisa por especialistas da Kaspersky Lab: análise de adware para macOS com código Rust e análise de código malicioso com suporte para a arquitetura Apple M1.
Uma vulnerabilidade foi descoberta no plugin do WordPress TutorLMS , ameaçando roubo de dados e escalonamento de privilégios.
A Netflix está introduzindo uma regra de que o uso simultâneo de uma conta em diferentes locais deve ser confirmado pelo proprietário. O serviço de streaming está lutando não tanto com usuários comuns que passam senhas para amigos, mas com o mercado negro de contas.