S3 Ep113: Pwning Windows-kjernen – kjeltringene som lurte Microsoft [lyd + tekst]

Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Trådløs spyware, kredittkortskimming og patcher i massevis.

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det?

---

AND.  Jeg har det veldig bra, Doug.

Kaldt, men godt.

---

DOUG.  Det er iskaldt her også, og alle er syke... men det er desember for deg.

Apropos desember, vi liker å begynne forestillingen med vår Denne uken i teknisk historie segment.

Vi har et spennende innlegg denne uken – den 16. desember 2003 ble CAN-SPAM-loven undertegnet av USAs daværende president George W. Bush.

Et bakronym for kontrollere angrep av ikke-oppfordret pornografi og markedsføring, ble CAN-SPAM sett på som relativt tannløs av grunner som å ikke kreve samtykke fra mottakere for å motta markedsførings-e-post, og ikke tillate enkeltpersoner å saksøke spammere.

Det ble antatt at innen 2004 var mindre enn 1 % av spam faktisk i samsvar med loven.

---

AND.  Ja, det er lett å si dette i ettertid...

…men som noen av oss spøkte på den tiden, regnet vi med at de kalte det CAN-SPAM fordi det er *nøyaktig* hva du kan gjøre. [LATTER]

---

DOUG.  "Du KAN spamme!"

---

AND.  Jeg antar at ideen var: "La oss starte med en veldig myk-myk tilnærming."

Så det var starten, riktignok ikke av så mye.

---

DOUG.  [LAUGGER] Vi kommer dit til slutt.

Apropos dårlig og verre...

...Microsoft Patch Tuesday – ingenting å se her, med mindre du teller en signert ondsinnet kjernedriver?!

Signert driverskadelig programvare beveger seg oppover i programvarekjeden

---

AND.  Vel, flere faktisk - Sophos Rapid Response-teamet fant disse artefaktene i engasjementer som de gjorde.

Ikke bare Sophos – minst to andre cybersikkerhetsforskningsgrupper er oppført av Microsoft som har snublet over disse tingene i det siste: kjernedrivere som effektivt ble gitt et digitalt godkjenningsstempel av Microsoft.

Microsoft har nå et råd som gir skylden på useriøse partnere.

Om de faktisk opprettet et selskap som utga seg for å lage maskinvare, spesielt for å bli med i driverprogrammet med den hensikt å snike skumle kjernedrivere gjennom?

Eller om de bestukket et selskap som allerede var en del av programmet for å spille ball med dem?

Eller om de hacket seg inn i et selskap som ikke engang skjønte at det ble brukt som et kjøretøy for å si til Microsoft, "Hei, vi må produsere denne kjernedriveren - vil du sertifisere den?"...

Problemet med sertifiserte kjernedrivere er selvfølgelig fordi de må signeres av Microsoft, og fordi driversignering er obligatorisk på Windows, betyr det at hvis du kan få kjernedriveren din signert, trenger du ikke hacks eller sårbarheter eller utnytter for å kunne laste en som en del av et nettangrep.

Du kan bare installere driveren og systemet vil si: «Oh vel, den er signert. Det er derfor tillatt å laste den.»

Og selvfølgelig kan du gjøre mye mer skade når du er inne i kjernen enn du kan når du "bare" er administrator.

Spesielt får du innsidetilgang til prosessstyring.

Som administrator kan du kjøre et program som sier "Jeg vil drepe XYZ-programmet", som kan være et antivirus eller et trusseljaktverktøy.

Og det programmet kan motstå å bli stengt, fordi, forutsatt at det også er admin-nivå, kan ingen av prosessene absolutt kreve forrang fremfor den andre.

Men hvis du er inne i operativsystemet, er det operativsystemet som tar seg av start- og fullføringsprosesser, så du får mye mer kraft til å drepe ting som sikkerhetsprogramvare...

…og det var tydeligvis akkurat det disse skurkene gjorde.

I "historien som gjentar seg selv", husker jeg, for år og år siden, da vi undersøkte programvare som skurker brukte til å avslutte sikkerhetsprogrammer, hadde de vanligvis lister med mellom 100 og 200 prosesser som de var interessert i å drepe: operativsystem prosesser, antivirusprogrammer fra 20 forskjellige leverandører, alt den slags.

Og denne gangen tror jeg det var 186 programmer som sjåføren deres var der for å drepe.

Så litt av en forlegenhet for Microsoft.

Heldigvis har de nå kastet de useriøse koderne ut av utviklerprogrammet deres, og de har blokkert i det minste alle de kjente tvilsomme driverne.

---

DOUG.  Så det var ikke alt som var avslørt på Patch Tuesday.

Det var også noen zero-days, noen RCE-feil og andre ting av den art:

Patch Tuesday: 0-dager, RCE-feil og en nysgjerrig historie om signert skadelig programvare

---

AND.  Ja.

Heldigvis var ikke nulldagsfeilene som ble fikset denne måneden det som er kjent som RCE-er, eller ekstern kjøring av kode hull.

Så de ga ikke en direkte rute for eksterne angripere bare for å hoppe inn i nettverket ditt og kjøre alt de ville.

Men det var en kjernedriverfeil i DirectX som ville tillate noen som allerede var på datamaskinen din i utgangspunktet å promotere seg selv til å ha krefter på kjernenivå.

Så det er litt som å ta med din egen signerte sjåfør – du *vet* at du kan laste den.

I dette tilfellet utnytter du en feil i en driver som er klarert og som lar deg gjøre ting inne i kjernen.

Det er åpenbart den typen ting som gjør et nettangrep som allerede er dårlige nyheter til noe veldig, veldig mye verre.

Så du vil definitivt lappe mot det.

Spennende nok ser det ut til at det bare gjelder den aller siste konstruksjonen, dvs. 2022H2 (andre halvår er hva H2 står for) av Windows 11.

Du vil definitivt være sikker på at du har det.

Og det var en spennende feil i Windows SmartScreen, som i utgangspunktet er Windows-filtreringsverktøyet som gir deg en advarsel når du prøver å laste ned noe som kan være eller er farlig.

Så, åpenbart, hvis skurkene har funnet, "Å, nei! Vi har dette malware-angrepet, og det fungerte veldig bra, men nå blokkerer Smart Screen det, hva skal vi gjøre?»...

...enten kan de stikke av og bygge et helt nytt angrep, eller så kan de finne en sårbarhet som lar dem omgå Smart Screen slik at advarselen ikke dukker opp.

Og det var akkurat det som skjedde i CVE-2022-44698, Douglas.

Så det er nulldagene.

Som du sa, er det noen feil for ekstern kjøring av kode i blandingen, men ingen av disse er kjent for å være i naturen.

Hvis du lapper mot dem, kommer du foran kjeltringene, i stedet for bare å ta igjen.

---

DOUG.  OK, la oss holde oss til emnet patcher...

...og jeg elsker den første delen av denne overskrift.

Den sier bare "Apple retter alt":

Apple retter alt, avslører endelig mysteriet med iOS 16.1.2

---

AND.  Ja, jeg kunne ikke tenke meg en måte å liste opp alle operativsystemene i 70 tegn eller mindre. [LATTER]

Så jeg tenkte: "Vel, dette er bokstavelig talt alt."

Og problemet er at forrige gang vi skrev om en Apple-oppdatering, var det det bare iOS (iPhones), og bare iOS 16.1.2:

Apple sender ut iOS-sikkerhetsoppdateringen som er mer ordknapp enn noen gang

Så hvis du hadde iOS 15, hva skulle du gjøre?

Var du i faresonen?

Skulle du få oppdateringen senere?

Denne gangen kom endelig nyhetene om siste oppdatering ut i vask.

Det ser ut til, Doug, at grunnen til at vi fikk den iOS 16.1.2-oppdateringen er at det var en in-the-wild utnyttelse, nå kjent som CVE-2022-42856, og det var en feil i WebKit, webgjengivelsesmotoren inne i Apples operativsystemer.

Og tilsynelatende kan den feilen utløses ganske enkelt ved å lokke deg til å se noe booby-fanget innhold – det som er kjent i bransjen som en driveby install, hvor du bare ser på en side og "Å, kjære", i bakgrunnen blir skadelig programvare installert.

Nå, tilsynelatende, fungerte utnyttelsen som ble funnet bare på iOS.

Det er antagelig grunnen til at Apple ikke forhastet seg oppdateringer for alle de andre plattformene, selv om macOS (alle tre støttede versjoner), tvOS, iPadOS ... de faktisk inneholdt den feilen.

Det eneste systemet som tilsynelatende ikke gjorde det, var watchOS.

Så den feilen var i stort sett all Apples programvare, men tilsynelatende kunne den bare utnyttes, så vidt de visste, via en i-the-wild utnyttelse, på iOS.

Men nå, merkelig nok, sier de: "Bare på iOS før 15.1", noe som får deg til å lure på: "Hvorfor la de ikke ut en oppdatering for iOS 15, i så fall?"

Vi vet bare ikke!

Kanskje de håpet at hvis de la ut iOS 16.1.2, ville noen personer på iOS 15 oppdatere uansett, og det ville fikse problemet for dem?

Eller kanskje de ennå ikke var sikre på at iOS 16 ikke var sårbar, og det var raskere og enklere å legge ut oppdateringen (som de har en veldefinert prosess for), enn å gjøre nok testing til å fastslå at feilen kunne kan ikke utnyttes på iOS 16 enkelt.

Vi får nok aldri vite det, Doug, men det er en ganske fascinerende historie i alt dette!

Men, som du sa, det er en oppdatering for alle med et produkt med en Apple-logo på.

Så: Ikke utsett/gjør det i dag.

---

DOUG.  La oss flytte til vennene våre ved Ben-Gurion-universitetet... de er tilbake på det igjen.

De har utviklet noe trådløst spionprogram – en kjekk liten trådløst spyware triks:

COVID-bit: det trådløse spyware-trikset med et uheldig navn

---

AND.  Ja... Jeg er ikke sikker på navnet; Jeg vet ikke hva de tenkte der.

De har kalt det COVID-bit.

---

DOUG.  Litt rart.

---

AND.  Jeg tror vi alle har blitt bitt av COVID på en eller annen måte...

---

DOUG.  Kanskje det er det?

---

AND.  De COV er ment å stå for covert, og de sier ikke hva ID-bit står for.

Jeg tippet at det kunne være "informasjonsavsløring bit for bit", men det er likevel en fascinerende historie.

Vi elsker å skrive om forskningen som denne avdelingen gjør fordi, selv om det for de fleste av oss er litt hypotetisk...

…de ser på hvordan man kan bryte nettverks luftgap, som er der du kjører et sikkert nettverk som du bevisst holder atskilt fra alt annet.

Så for de fleste av oss er det ikke et stort problem, i hvert fall hjemme.

Men det de ser på er at *selv om du tetter et nettverk fra et annet fysisk*, og i disse dager går inn og river ut alle de trådløse kortene, Bluetooth-kortene, Near Field Communications-kortene, eller kutter ledninger og bryter kretsspor på kretskortet for å stoppe enhver trådløs tilkobling som fungerer...

…er det fortsatt en måte at enten en angriper som får engangstilgang til det sikre området, eller en korrupt innsidemann, kan lekke data på en stort sett usporbar måte?

Og dessverre viser det seg at det er mye vanskeligere å lukke et nettverk av datautstyr helt fra et annet enn du tror.

Vanlige lesere vil vite at vi har skrevet om massevis av ting som disse gutta har funnet på før.

De har hatt GAIROSCOPE, som er der du faktisk gjenbruker en mobiltelefon kompassbrikke som en low-fidelity-mikrofon.

---

DOUG.  [LETER] Jeg husker den:

Bryter luftgapsikkerheten: bruk telefonens gyroskop som mikrofon

---

AND.  Fordi disse brikkene kan føle vibrasjoner akkurat godt nok.

De har hatt LANTENNA, som er der du setter signaler på et kablet nettverk som er innenfor det sikre området, og nettverkskablene fungerer faktisk som miniatyrradiostasjoner.

De lekker akkurat nok elektromagnetisk stråling til at du kanskje kan plukke den opp utenfor det sikre området, så de bruker et kablet nettverk som en trådløs sender.

Og de hadde en ting som de spøkefullt kalte FANSMITTEREN, som er dit du går, "Vel, kan vi gjøre lydsignalering? Selvfølgelig, hvis vi bare spiller låter gjennom høyttaleren, som [oppringingslyder] pip-pip-pip-pip-pip, vil det være ganske åpenbart."

Men hva om vi varierer CPU-belastningen, slik at viften øker hastigheten og bremser ned - kan vi bruke den endring i viftehastighet nesten som et slags semaforsignal?

Kan datamaskinviften din brukes til å spionere på deg?

Og i dette siste angrepet skjønte de: "Hvordan kan vi ellers gjøre noe inne i nesten alle datamaskiner i verden, noe som virker uskyldig nok ... hvordan kan vi gjøre det om til en radiostasjon med veldig lav effekt?"

Og i dette tilfellet klarte de det ved å bruke strømforsyningen.

De var i stand til å gjøre det i en Raspberry Pi, i en bærbar Dell og i en rekke stasjonære PC-er.

De bruker datamaskinens egen strømforsyning, som i utgangspunktet gjør veldig, veldig høyfrekvent DC-svitsjing for å kutte opp en likespenning, vanligvis for å redusere den, hundretusenvis eller millioner av ganger i sekundet.

De fant en måte å få det til å lekke elektromagnetisk stråling – radiobølger som de kunne fange opp opptil 2 meter unna på en mobiltelefon...

… selv om mobiltelefonen hadde alle sine trådløse ting slått av, eller til og med fjernet fra enheten.

Trikset de kom opp med er: du bytter hastigheten den skifter med, og du oppdager endringene i byttefrekvensen.

Tenk deg, hvis du vil ha en lavere spenning (hvis du for eksempel vil kutte 12V ned til 4V), vil firkantbølgen være på i en tredjedel av tiden, og av i to tredjedeler av tiden.

Hvis du vil ha 2V, må du endre forholdet tilsvarende.

Og det viser seg at de moderne CPU-ene varierer både frekvens og spenning for å håndtere strøm og overoppheting.

Så ved å endre CPU-belastningen på en eller flere av kjernene i CPU-en – ved bare å øke oppgaver og rampe ned oppgaver med en relativt lav frekvens, mellom 5000 og 8000 ganger i sekundet – var de i stand til å få byttet modus strømforsyning for å *bytte byttemodus* ved de lave frekvensene.

Og det genererte svært lavfrekvente radioemanasjoner fra kretsspor eller kobbertråder i strømforsyningen.

Og de var i stand til å oppdage disse utstrålingene ved å bruke en radioantenne som ikke var mer sofistikert enn en enkel ledningssløyfe!

Så, hva gjør du med en wireløkke?

Vel, du later som om det er en mikrofonkabel eller en hodetelefonkabel.

Du kobler den til en 3.5 mm lydkontakt, og du kobler den til mobiltelefonen din som om det er et sett med hodetelefoner...

---

DOUG.  Wow.

---

AND.  Du tar opp lydsignalet som genereres fra ledningssløyfen – fordi lydsignalet i utgangspunktet er en digital representasjon av det svært lavfrekvente radiosignalet du har fanget opp.

De var i stand til å trekke ut data fra den med en hastighet hvor som helst mellom 100 biter per sekund når de brukte den bærbare datamaskinen, 200 biter per sekund med Raspberry Pi, og hvor som helst opptil 1000 biter per sekund, med en svært lav feilrate, fra de stasjonære datamaskinene.

Du kan få ut ting som AES-nøkler, RSA-nøkler, til og med små datafiler med den typen hastighet.

Jeg syntes det var en fascinerende historie.

Hvis du driver et sikkert område, vil du definitivt holde tritt med dette, for som det gamle ordtaket sier: "Angrep blir bare bedre eller smartere."

---

DOUG.  Og lavere teknologi. [LATTER]

Alt er digitalt, bortsett fra at vi har denne analoge lekkasjen som brukes til å stjele AES-nøkler.

Det er fascinerende!

---

AND.  Bare en påminnelse om at du må tenke på hva som er på den andre siden av den sikre veggen, fordi "ute av syne er definitivt ikke nødvendigvis ute av sinnet."

---

DOUG.  Vel, det passer fint inn i vår siste historie – noe som er ute av syne, men ikke ute av sinn:

Kredittkortskimming – den lange og kronglete veien med feil i forsyningskjeden

Hvis du noen gang har bygget en nettside, vet du at du kan slippe analysekode – en liten linje med JavaScript – der inne for Google Analytics, eller lignende selskaper, for å se hvordan statistikken din gjør det.

Det var et gratis analyseselskap kalt Cockpit på begynnelsen av 2010-tallet, og derfor la folk denne Cockpit-koden – denne lille linjen med JavaScript – på nettsidene sine.

Men Cockpit la ned i 2014, og lot domenenavnet falle bort.

Og så, i 2021, tenkte nettkriminelle: «Noen e-handelssider lar fortsatt denne koden kjøre; de kaller dette fortsatt JavaScript. Hvorfor kjøper vi ikke bare opp domenenavnet og så kan vi injisere hva vi vil på disse nettstedene som fortsatt ikke har fjernet den linjen med JavaScript?»

---

AND.  Ja.

Hva kan gå riktig, Doug?

---

DOUG.  [LETER] Akkurat!

---

AND.  Syv år!

De ville ha hatt en oppføring i alle testloggene sine som sa: Could not source the file cockpit.js (eller hva det nå var) from site cockpit.jp, tror jeg det var.

Så, som du sier, da skurkene tente opp domenet igjen, og begynte å legge filer der oppe for å se hva som ville skje...

… de la merke til at mange e-handelssider bare blindt og lykkelig konsumerte og utførte skurkenes JavaScript-kode i kundenes nettlesere.

---

DOUG.  [LUAGHING] "Hei, siden min gir ingen feil lenger, den fungerer."

---

AND.  [UTTROLIG] "De må ha fikset det"... for en spesiell forståelse av ordet "fiksert", Doug.

Selvfølgelig, hvis du kan injisere vilkårlig JavaScript i noens nettsider, kan du ganske mye få den nettsiden til å gjøre hva du vil.

Og hvis du spesielt retter deg mot e-handelssider, kan du angi hva som egentlig er spionvarekode for å se etter bestemte sider som har bestemte nettskjemaer med bestemte navngitte felt på dem ...

…som passnummer, kredittkortnummer, CVV, uansett hva det er.

Og du kan bare i utgangspunktet suge ut alle de ukrypterte konfidensielle dataene, de personlige dataene, som brukeren legger inn.

Den har ikke gått inn i HTTPS-krypteringsprosessen ennå, så du suger den ut av nettleseren, du HTTPS-krypterer den *selv* og sender den ut til en database drevet av skurker.

Og, selvfølgelig, den andre tingen du kan gjøre er at du aktivt kan endre nettsider når de kommer.

Så du kan lokke noen til en nettside – en som er den *riktige* nettsiden; det er et nettsted de har gått til før, som de vet at de kan stole på (eller de tror de kan stole på).

Hvis det er et nettskjema på det nettstedet som for eksempel vanligvis ber dem om navn og kontoreferansenummer, vel, du bare stikker inn et par ekstra felt, og gitt at personen allerede stoler på nettstedet...

… hvis du sier navn, ID og [legg til] fødselsdato?

Det er veldig sannsynlig at de bare kommer til å angi fødselsdatoen sin fordi de regner med: "Jeg antar at det er en del av identitetskontrollen deres."

---

DOUG.  Dette kan unngås.

Du kan begynne med gjennomgang av dine nettbaserte forsyningskjedekoblinger.

---

AND.  Ja.

Kanskje en gang hvert syvende år ville være en start? [LATTER]

Hvis du ikke leter, er du virkelig en del av problemet, ikke en del av løsningen.

---

DOUG.  Du kan også, å, jeg vet ikke... sjekk loggene dine?

---

AND.  Ja.

Igjen, en gang hvert syvende år kan det være start?

La meg bare si det vi har sagt før på podcasten, Doug...

…hvis du skal samle logger du aldri ser på, *bare ikke bry deg med å samle dem i det hele tatt*.

Slutt å tuller med deg selv, og ikke samle inn dataene.

For faktisk er det beste som kan skje med data hvis du samler inn det og ikke ser på det, at feil folk ikke kommer til det ved en feiltakelse.

---

DOUG.  Utfør så selvfølgelig testtransaksjoner regelmessig.

---

AND.  Bør jeg si: "En gang hvert syvende år ville være en start"? [LATTER]

---

DOUG.  Selvfølgelig, ja ... [WRY] det kan være regelmessig nok, antar jeg.

---

AND.  Hvis du er et e-handelsselskap og du forventer at brukerne skal besøke nettstedet ditt, venne deg til et bestemt utseende og preg og stole på det...

…så skylder du dem å teste at utseendet og følelsen er riktig.

Regelmessig og ofte.

Lett som det.

---

DOUG.  Ok veldig bra.

Og når showet begynner å avta, la oss høre fra en av våre lesere om denne historien.

Larry kommenterer:

Se gjennom dine nettbaserte forsyningskjedekoblinger?

Skulle ønske Epic Software hadde gjort dette før de sendte Meta-sporingsfeilen til alle kundene deres.

Jeg er overbevist om at det er en ny generasjon utviklere som tror utvikling handler om å finne kodefragmenter hvor som helst på internett og ukritisk lime dem inn i arbeidsproduktet sitt.

---

AND.  Hvis vi bare ikke utviklet kode på den måten...

…hvor du går, “Jeg vet, jeg skal bruke dette biblioteket; Jeg skal bare laste den ned fra denne fantastiske GitHub-siden jeg fant.

Å, den trenger en hel haug med andre ting!?

Å, se, det kan tilfredsstille kravene automatisk ... vel, la oss bare gjøre det da!»

Dessverre må du *eie forsyningskjeden din*, og det betyr å forstå alt som går inn i den.

Hvis du tenker langs Software Bill of Materials [SBoM], veibanen, der du tenker: "Ja, jeg skal liste opp alt jeg bruker", er det ikke bare nok å liste opp det første nivået av ting du bruker.

Du må også vite, og kunne dokumentere, og vite at du kan stole på, alle tingene som disse tingene er avhengige av, og så videre og så videre:

Små lopper har mindre lopper På ryggen for å bite dem Og mindre lopper har mindre lopper Og så i det uendelige.

*Det er* slik du må jage ned forsyningskjeden din!

---

DOUG.  Bra sagt!

Ok, tusen takk, Larry, for at du sendte inn den kommentaren.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan kontakte oss på sosiale medier: @NakedSecurity.

Det er showet vårt for i dag; tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på, inntil neste gang, om å...

---

BÅDE.  Hold deg trygg!

[MUSIKK MODEM]