S3 Ep113: Pwning af Windows-kernen – skurkene, der lurede Microsoft [Lyd + Tekst]

Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Trådløs spyware, kreditkort skimming og patches i massevis.

Alt det, og mere, på Naked Security-podcasten.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det?

---

AND.  Jeg har det meget godt, Doug.

Koldt, men godt.

---

DOUG.  Det fryser også her, og alle er syge... men det er december for dig.

Apropos december begynder vi gerne showet med vores Denne uge i teknisk historie segment.

Vi har et spændende indlæg i denne uge – den 16. december 2003 blev CAN-SPAM-loven underskrevet af den daværende amerikanske præsident George W. Bush.

Et bagord for kontrollere overfaldet af ikke-anmodet pornografi og markedsføring, blev CAN-SPAM set som relativt tandløs af årsager som ikke at kræve samtykke fra modtagere for at modtage marketing-e-mail og ikke at tillade enkeltpersoner at sagsøge spammere.

Det blev antaget, at i 2004 var mindre end 1 % af spam faktisk i overensstemmelse med loven.

---

AND.  Ja, det er nemt at sige det med bagklogskab...

…men som nogle af os jokede på det tidspunkt, regnede vi med, at de kaldte det CAN-SPAM, fordi det er *præcis*, hvad du kunne gøre. [LATTER]

---

DOUG.  "Du KAN spam!"

---

AND.  Jeg gætter på, at ideen var: "Lad os starte med en meget blødt-blødt tilgang."

Så det var begyndelsen, indrømmet, ikke af så meget.

---

DOUG.  Vi når dertil til sidst.

Apropos dårligt og værre...

...Microsoft Patch Tuesday – intet at se her, medmindre du tæller en underskrevet ondsindet kernedriver?!

Signeret driver-malware bevæger sig op i softwaretillidskæden

---

AND.  Nå, flere faktisk - Sophos Rapid Response-teamet fandt disse artefakter i engagementer, som de gjorde.

Ikke kun Sophos - mindst to andre cybersikkerhedsforskningsgrupper er opført af Microsoft som at have stødt på disse ting på det seneste: kernedrivere, der effektivt fik et digitalt godkendelsesstempel af Microsoft.

Microsoft har nu en rådgivning, der giver skylden for slyngelstater.

Om de faktisk har oprettet et firma, der foregav at lave hardware, især for at deltage i driverprogrammet med den hensigt at snige risikable kernedrivere igennem?

Eller om de bestak en virksomhed, der allerede var en del af programmet, til at spille bold med dem?

Eller om de hackede sig ind i en virksomhed, der ikke engang var klar over, at den blev brugt som et middel til at sige til Microsoft, "Hey, vi skal producere denne kernedriver - vil du certificere den?"...

Problemet med certificerede kernedrivere er selvfølgelig fordi de skal signeres af Microsoft, og fordi driversignering er obligatorisk på Windows, betyder det, at hvis du kan få din kernedriver signeret, behøver du ikke hacks eller sårbarheder eller udnytter til at kunne indlæse en som en del af et cyberangreb.

Du kan bare installere driveren, og systemet vil sige: "Nå, den er underskrevet. Det er derfor tilladt at indlæse den.”

Og selvfølgelig kan du gøre meget mere skade, når du er inde i kernen, end du kan, når du "blot" er administrator.

Især får du insider-adgang til processtyring.

Som administrator kan du køre et program, der siger, "Jeg vil dræbe XYZ-program", som for eksempel kan være et antivirus eller et trusselsjagtværktøj.

Og det program kan modstå at blive lukket ned, fordi forudsat at det også er admin-niveau, kan ingen af ​​processerne absolut kræve forrang frem for den anden.

Men hvis du er inde i operativsystemet, er det operativsystemet, der beskæftiger sig med start- og afslutningsprocesser, så du får meget mere kraft til at aflive ting som sikkerhedssoftware...

…og det var tilsyneladende præcis, hvad disse skurke gjorde.

I "historien gentager sig selv", husker jeg, for år og år siden, da vi efterforskede software, som skurke brugte til at afslutte sikkerhedsprogrammer, havde de typisk lister med mellem 100 og 200 processer, som de var interesserede i at aflive: operativsystem processer, antivirusprogrammer fra 20 forskellige leverandører, alt den slags.

Og denne gang tror jeg, at der var 186 programmer, som deres chauffør var der for at dræbe.

Så lidt af en forlegenhed for Microsoft.

Heldigvis har de nu smidt disse useriøse kodere ud af deres udviklerprogram, og de har blokeret i det mindste alle de kendte risikable drivere.

---

DOUG.  Så det var ikke alt, der var afsløret på Patch Tuesday.

Der var også nogle nul-dage, nogle RCE-fejl og andre ting af den art:

Patch Tuesday: 0-dage, RCE-fejl og en nysgerrig fortælling om signeret malware

---

AND.  Ja.

Heldigvis var de nul-dages fejl, der blev rettet i denne måned, ikke det, der er kendt som RCE'er, eller fjern kodeudførelse huller.

Så de gav ikke en direkte rute for udefrakommende angribere bare til at hoppe ind i dit netværk og køre alt, hvad de ville.

Men der var en kernedriver-fejl i DirectX, som ville tillade nogen, der allerede var på din computer, dybest set at promovere sig selv til at have beføjelser på kerneniveau.

Så det er lidt ligesom at medbringe din egen signerede chauffør – du *ved* du kan indlæse den.

I dette tilfælde udnytter du en fejl i en driver, der er tillid til, og som lader dig gøre ting inde i kernen.

Det er klart, at det er den slags ting, der gør et cyberangreb, der allerede er dårlige nyheder, til noget meget, meget værre.

Så det vil du helt sikkert lappe imod.

Spændende nok ser det ud til, at det kun gælder for den allernyeste build, dvs. 2022H2 (andet halvår er hvad H2 står for) i Windows 11.

Du vil helt sikkert sikre dig, at du har det.

Og der var en spændende fejl i Windows SmartScreen, som dybest set er Windows-filtreringsværktøjet, der giver dig en advarsel, når du prøver at downloade noget, der kunne være eller er farligt.

Så selvfølgelig, hvis skurkene har fundet, "Åh, nej! Vi har fået dette malware-angreb, og det fungerede rigtig godt, men nu blokerer Smart Screen det, hvad skal vi gøre?”...

...enten kan de løbe væk og bygge et helt nyt angreb, eller også kan de finde en sårbarhed, der lader dem omgå Smart Screen, så advarslen ikke dukker op.

Og det er præcis, hvad der skete i CVE-2022-44698, Douglas.

Så det er nul-dagene.

Som du sagde, er der nogle fejl til fjernudførelse af kode i blandingen, men ingen af ​​dem er kendt for at være i naturen.

Hvis du lapper mod dem, kommer du foran skurkene i stedet for blot at indhente det.

---

DOUG.  OK, lad os blive ved emnet med patches...

...og jeg elsker den første del af dette overskrift.

Den siger bare, "Apple retter alt":

Apple retter alt, afslører endelig mysteriet om iOS 16.1.2

---

AND.  Ja, jeg kunne ikke komme i tanke om en måde at liste alle styresystemerne i 70 tegn eller mindre. [LATTER]

Så jeg tænkte: "Nå, dette er bogstaveligt talt alt."

Og problemet er, at sidste gang vi skrev om en Apple-opdatering, var det det kun iOS (iPhones), og kun iOS 16.1.2:

Apple skubber iOS-sikkerhedsopdatering ud, der er mere strammundet end nogensinde

Så hvis du havde iOS 15, hvad skulle du så gøre?

Var du i fare?

Skulle du få opdateringen senere?

Denne gang kom nyheden om den sidste opdatering endelig ud i vask.

Det ser ud til, Doug, at grunden til, at vi fik den iOS 16.1.2-opdatering, er, at der var en in-the-wild udnyttelse, nu kendt som CVE-2022-42856, og det var en fejl i WebKit, webgengivelsesmotoren inde i Apples styresystemer.

Og tilsyneladende kunne den fejl udløses blot ved at lokke dig til at se noget booby-fanget indhold – hvad der i branchen er kendt som en drive-by-installation, hvor du bare kigger på en side, og "Åh, skat", i baggrunden bliver malware installeret.

Nu virkede den udnyttelse, der blev fundet, tilsyneladende kun på iOS.

Det er formentlig grunden til, at Apple ikke skyndte sig med opdateringer til alle de andre platforme, selvom macOS (alle tre understøttede versioner), tvOS, iPadOS... de faktisk alle indeholdt den fejl.

Det eneste system, der tilsyneladende ikke gjorde det, var watchOS.

Så den fejl var i stort set al Apples software, men tilsyneladende kunne den kun udnyttes, så vidt de vidste, via en in-the-wild udnyttelse på iOS.

Men nu, underligt nok, siger de, "Kun på iOS før 15.1", hvilket får dig til at spekulere på, "Hvorfor udgav de ikke en opdatering til iOS 15 i så fald?"

Vi ved det bare ikke!

Måske håbede de, at hvis de udgav iOS 16.1.2, ville nogle mennesker på iOS 15 alligevel opdatere, og det ville løse problemet for dem?

Eller måske var de endnu ikke sikre på, at iOS 16 ikke var sårbar, og det var hurtigere og nemmere at udgive opdateringen (som de har en veldefineret proces til), end at lave nok test til at fastslå, at fejlen kunne ikke let udnyttes på iOS 16.

Det får vi nok aldrig at vide, Doug, men det er en ret fascinerende historie i alt dette!

Men, som du sagde, er der en opdatering til alle med et produkt med et Apple-logo på.

Så: Udsæt ikke/gør det i dag.

---

DOUG.  Lad os flytte til vores venner på Ben-Gurion Universitet... de er tilbage på det igen.

De har udviklet noget trådløst spyware – en lille fiks trådløst spyware trick:

COVID-bit: det trådløse spyware-trick med et uheldigt navn

---

AND.  Ja... Jeg er ikke sikker på navnet; Jeg ved ikke, hvad de tænkte der.

De har kaldt det COVID-bit.

---

DOUG.  Lidt underligt.

---

AND.  Jeg tror, ​​vi alle er blevet bidt af COVID på en eller anden måde...

---

DOUG.  Måske er det det?

---

AND.   COV er beregnet til at stå for skjult, og de siger ikke hvad ID-bit står for.

Jeg gættede på, at det kunne være "informationsdisclosure bit for bit", men det er ikke desto mindre en fascinerende historie.

Vi elsker at skrive om den forskning, som denne afdeling laver, fordi, selvom det for de fleste af os er en lille smule hypotetisk...

…de kigger på, hvordan man overtræder netværksluftgab, hvilket er hvor du kører et sikkert netværk, som du bevidst holder adskilt fra alt andet.

Så for de fleste af os er det ikke et stort problem, i hvert fald derhjemme.

Men det, de kigger på, er, at *selvom du afspærrer et netværk fra et andet fysisk*, og i disse dage går ind og river alle de trådløse kort, Bluetooth-kortene, Near Field Communications-kortene ud eller klipper ledninger ud og går i stykker kredsløbsspor på printkortet for at stoppe enhver trådløs forbindelse med at fungere...

…er der stadig en måde, hvorpå enten en angriber, der får engangsadgang til det sikre område, eller en korrupt insider, kan lække data på en stort set usporbar måde?

Og desværre viser det sig, at det er meget sværere, end du tror, ​​at lukke ét netværk af computerudstyr helt fra et andet.

Regelmæssige læsere vil vide, at vi har skrevet om masser af ting, som disse fyre har fundet på før.

De har haft GAIROSCOPE, som er, hvor du faktisk genbruger en mobiltelefons kompas chip som en low-fidelity mikrofon.

---

DOUG.  [griner] Jeg husker den:

Bryder luftgab-sikkerheden: Brug din telefons gyroskop som en mikrofon

---

AND.  Fordi de chips kan mærke vibrationer lige godt nok.

De har haft LANTENNA, som er hvor du sætter signaler på et kablet netværk, der er inde i det sikre område, og netværkskablerne fungerer faktisk som miniature radiostationer.

De lækker lige nok elektromagnetisk stråling til, at du muligvis kan opfange den uden for det sikre område, så de bruger et kablet netværk som en trådløs sender.

Og de havde en ting, som de spøgende kaldte FANSMITTEREN, og det er der, du går, "Nå, kan vi lave lydsignalering? Selvfølgelig, hvis vi bare spiller melodier gennem højttaleren, som [opkaldslyde] bip-bip-bip-bip-bip, vil det være ret indlysende."

Men hvad nu hvis vi varierer CPU-belastningen, så blæseren hastigheder op og sænker farten – kunne vi bruge den ændring i blæserhastighed næsten som en slags semaforsignal?

Kan din computerblæser bruges til at spionere på dig?

Og i dette seneste angreb tænkte de: "Hvordan kan vi ellers vende noget inde i næsten alle computere i verden, noget, der virker uskyldigt nok... hvordan kan vi gøre det til en meget, meget lav-effekt radiostation?"

Og i dette tilfælde var de i stand til at gøre det ved hjælp af strømforsyningen.

De var i stand til at gøre det i en Raspberry Pi, i en Dell bærbar computer og i en række forskellige stationære pc'er.

De bruger computerens egen strømforsyning, som dybest set laver meget, meget højfrekvent DC-switching for at skære en DC-spænding op, normalt for at reducere den, hundredtusindvis eller millioner af gange i sekundet.

De fandt en måde at få det til at lække elektromagnetisk stråling – radiobølger, som de kunne opfange op til 2 meter væk på en mobiltelefon...

… selvom mobiltelefonen havde alle sine trådløse ting slukket eller endda fjernet fra enheden.

Tricket, de fandt på, er: du skifter hastigheden, hvormed den skifter, og du registrerer ændringerne i skiftefrekvensen.

Forestil dig, at hvis du vil have en lavere spænding (hvis du f.eks. vil skære 12V ned til 4V), vil firkantbølgen være tændt i en tredjedel af tiden og slukket i to tredjedele af tiden.

Hvis du vil have 2V, så er du nødt til at ændre forholdet i overensstemmelse hermed.

Og det viser sig, at de moderne CPU'er varierer både deres frekvens og deres spænding for at håndtere strøm og overophedning.

Så ved at ændre CPU-belastningen på en eller flere af kernerne i CPU'en - ved blot at rampe op for opgaver og rampe ned opgaver med en forholdsvis lav frekvens, mellem 5000 og 8000 gange i sekundet - var de i stand til at få switched-mode strømforsyning til at *skifte omskiftningstilstande* ved de lave frekvenser.

Og det genererede meget lavfrekvente radioemanationer fra kredsløbsspor eller enhver kobberledning i strømforsyningen.

Og de var i stand til at detektere disse udstrålinger ved hjælp af en radioantenne, der ikke var mere sofistikeret end en simpel ledningsløkke!

Så hvad gør du med en ledningsløkke?

Nå, du foregiver, Doug, at det er et mikrofonkabel eller et hovedtelefonkabel.

Du tilslutter den til et 3.5 mm lydstik, og du tilslutter den til din mobiltelefon, som om det er et sæt hovedtelefoner...

---

DOUG.  Wow.

---

AND.  Du optager lydsignalet, der genereres fra ledningssløjfen – fordi lydsignalet dybest set er en digital repræsentation af det meget lavfrekvente radiosignal, du har opfanget.

De var i stand til at udtrække data fra den med en hastighed på alt mellem 100 bits i sekundet, når de brugte den bærbare computer, 200 bits i sekundet med Raspberry Pi, og hvor som helst op til 1000 bits i sekundet, med en meget lav fejlrate, fra de stationære computere.

Du kan få ting som AES-nøgler, RSA-nøgler, selv små datafiler ud med den slags hastighed.

Jeg syntes, det var en fascinerende historie.

Hvis du kører et sikkert område, vil du helt sikkert holde trit med det her, for som det gamle ordsprog siger: "Angreb bliver kun bedre eller smartere."

---

DOUG.  Og lavere tech. [LATTER]

Alt er digitalt, bortset fra at vi har denne analoge lækage, der bliver brugt til at stjæle AES-nøgler.

Det er fascinerende!

---

AND.  Bare en påmindelse om, at du skal tænke over, hvad der er på den anden side af den sikre væg, for "ude af syne er absolut ikke nødvendigvis ude af sind."

---

DOUG.  Nå, det hænger fint sammen med vores sidste historie – noget, der er ude af syne, men ikke ude af sind:

Kreditkortskimming – den lange og snoede vej med forsyningskædesvigt

Hvis du nogensinde har bygget en webside, ved du, at du kan slippe analysekode – en lille linje JavaScript – derind til Google Analytics eller lignende virksomheder for at se, hvordan din statistik klarer sig.

Der var et gratis analysefirma ved navn Cockpit i begyndelsen af ​​2010'erne, og så folk satte denne Cockpit-kode - denne lille linje JavaScript - på deres websider.

Men Cockpit lukkede i 2014, og lod domænenavnet bortfalde.

Og så, i 2021, tænkte cyberkriminelle: "Nogle e-handelswebsteder lader stadig denne kode køre; de kalder dette stadig for JavaScript. Hvorfor køber vi ikke bare domænenavnet, og så kan vi injicere, hvad vi vil, på disse websteder, der stadig ikke har fjernet den linje af JavaScript?"

---

AND.  Ja.

Hvad kunne gå rigtigt, Doug?

---

DOUG.  [GLAT] Præcis!

---

AND.  Syv år!

De ville have haft en indtastning i alle deres testlogfiler, der sagde, Could not source the file cockpit.js (eller hvad det nu var) from site cockpit.jp, tror jeg det var.

Så, som du siger, da skurkene tændte domænet op igen og begyndte at lægge filer derop for at se, hvad der ville ske...

…de lagde mærke til, at masser af e-handelssider blot blindt og gladeligt forbrugte og eksekverede skurkenes JavaScript-kode i deres kunders webbrowsere.

---

DOUG.  [LUAGHING] "Hey, mit websted giver ikke længere en fejl, det virker."

---

AND.  [UTROLIG] "De må have rettet det"... for en speciel forståelse af ordet "fixed", Doug.

Selvfølgelig, hvis du kan injicere vilkårlig JavaScript i nogens webside, så kan du stort set få den webside til at gøre alt, hvad du vil.

Og hvis du især målretter mod e-handelswebsteder, kan du indstille, hvad der i det væsentlige er spywarekode til at søge efter bestemte sider, der har bestemte webformularer med bestemte navngivne felter på dem...

…som pasnummer, kreditkortnummer, CVV, hvad end det er.

Og du kan bare dybest set suge alle de ukrypterede fortrolige data ud, de personlige data, som brugeren lægger ind.

Den er ikke gået ind i HTTPS-krypteringsprocessen endnu, så du suger den ud af browseren, du HTTPS-krypterer den *selv* og sender den ud til en database, der drives af skurke.

Og selvfølgelig er den anden ting, du kan gøre, at du aktivt kan ændre websider, når de ankommer.

Så du kan lokke nogen til en hjemmeside – en der er den *rigtige* hjemmeside; det er en hjemmeside, de har gået på før, som de ved, at de kan stole på (eller de tror, ​​de kan stole på).

Hvis der er en webformular på det websted, som f.eks. normalt beder dem om navn og kontoreferencenummer, ja, så stikker du bare ind i et par ekstra felter, og da personen allerede har tillid til webstedet...

… hvis du siger navn, ID og [tilføj] fødselsdato?

Det er meget sandsynligt, at de bare vil angive deres fødselsdato, fordi de regner med, "Jeg formoder, at det er en del af deres identitetskontrol."

---

DOUG.  Dette kan undgås.

Du kunne starte med gennemgang af dine webbaserede forsyningskædelinks.

---

AND.  Ja.

Måske en gang hvert syvende år ville være en start? [LATTER]

Hvis du ikke kigger, så er du virkelig en del af problemet, ikke en del af løsningen.

---

DOUG.  Du kan også, åh, jeg ved det ikke... tjek dine logfiler?

---

AND.  Ja.

Igen, en gang hvert syvende år kan det være start?

Lad mig bare sige, hvad vi har sagt før på podcasten, Doug...

…hvis du skal samle logfiler, som du aldrig ser på, *bare slet ikke gider at samle dem*.

Lad være med at lave sjov med dig selv, og indsaml ikke dataene.

For faktisk er det bedste, der kan ske med data, hvis du indsamler det og ikke ser på det, at de forkerte mennesker ikke kommer til det ved en fejl.

---

DOUG.  Udfør derefter selvfølgelig testtransaktioner regelmæssigt.

---

AND.  Skal jeg sige: "En gang hvert syvende år ville være en begyndelse"? [LATTER]

---

DOUG.  Selvfølgelig, ja ... [WRY] det kan være regelmæssigt nok, formoder jeg.

---

AND.  Hvis du er en e-handelsvirksomhed, og du forventer, at dine brugere besøger dit websted, skal du vænne dig til et bestemt udseende og have tillid til det...

…så skylder du dem at teste, at udseendet og følelsen er korrekt.

Regelmæssigt og ofte.

Let som det.

---

DOUG.  Okay, meget godt.

Og når showet begynder at afvikles, lad os høre fra en af ​​vores læsere om denne historie.

Larry kommenterer:

Gennemgå dine webbaserede supply chain links?

Ønske, at Epic Software havde gjort dette, før de sendte Meta-sporingsfejlen til alle deres kunder.

Jeg er overbevist om, at der er en ny generation af udviklere, der tror, ​​at udvikling handler om at finde kodefragmenter overalt på internettet og ukritisk indsætte dem i deres arbejdsprodukt.

---

AND.  Hvis bare vi ikke udviklede kode på den måde...

…hvor du går, “Jeg ved det, jeg vil bruge dette bibliotek; Jeg vil bare downloade det fra denne fantastiske GitHub-side, jeg fandt.

Åh, der skal en hel masse andre ting til!?

Åh, se, det kan opfylde kravene automatisk... ja, lad os bare gøre det!

Desværre skal du *eje din forsyningskæde*, og det betyder, at du forstår alt, hvad der går ind i den.

Hvis du tænker langs Software Bill of Materials [SBoM], vejbanen, hvor du tænker, "Ja, jeg vil liste alt, hvad jeg bruger", er det ikke bare nok at liste det første niveau af ting, du bruger.

Du skal også vide, og være i stand til at dokumentere og vide, at du kan stole på, alle de ting, som disse ting afhænger af, og så videre og så videre:

Små lopper har mindre lopper På ryggen for at bide dem. Og mindre lopper har mindre lopper Og så i det uendelige.

*Sådan* skal du jage din forsyningskæde ned!

---

DOUG.  Godt sagt!

Okay, mange tak, Larry, for at sende den kommentar.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.

Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af ​​vores artikler, eller du kan kontakte os på socialt: @NakedSecurity.

Det er vores show for i dag; mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang, at...

---

BEGGE.  Hold dig sikker!

[MUSIK MODEM]