S3 Ep113: Pwning Windows-kärnan – skurkarna som lurade Microsoft [Ljud + Text]

Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.

DOUG.  Trådlöst spionprogram, kreditkortsskimming och patchar i massor.

Allt det och mer i podden Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, hur gör du?

---

ANKA.  Jag mår mycket bra, Doug.

Kallt, men bra.

---

DOUG.  Det är kallt här också, och alla är sjuka... men det är december för dig.

På tal om december vill vi gärna börja föreställningen med vår Denna vecka i teknisk historia segmentet.

Vi har ett spännande inlägg den här veckan – den 16 december 2003 undertecknades CAN-SPAM-lagen av USA:s dåvarande president George W. Bush.

En bakronym för kontrollerar misshandeln av icke efterfrågad pornografi och marknadsföring, CAN-SPAM sågs som relativt tandlös av skäl som att inte kräva samtycke från mottagare för att ta emot marknadsföringsmejl, och att inte tillåta individer att stämma spammare.

Man trodde att 2004 var mindre än 1 % av skräpposten faktiskt i enlighet med lagen.

---

ANKA.  Ja, det är lätt att säga det här i efterhand...

…men som några av oss skämtade då, trodde vi att de kallade det CAN-SPAM eftersom det är *exakt* vad du kunde göra. [SKRATT]

---

DOUG.  "Du KAN spam!"

---

ANKA.  Jag antar att tanken var: "Låt oss börja med ett mycket mjukt-mjukt tillvägagångssätt."

Så det var början, visserligen, inte av så mycket.

---

DOUG.  [skrattar] Vi kommer dit så småningom.

På tal om dåligt och värre...

...Microsoft Patch Tuesday – inget att se här, om du inte räknar en signerad skadlig kärndrivrutin?!

Skadlig programvara för signerad drivrutin flyttar uppåt i förtroendekedjan för programvara

---

ANKA.  Tja, flera faktiskt – Sophos Rapid Response-teamet hittade dessa artefakter i engagemang som de gjorde.

Inte bara Sophos – åtminstone två andra forskningsgrupper för cybersäkerhet listas av Microsoft som att ha snubblat över dessa saker på sistone: kärndrivrutiner som i praktiken fick en digital godkännandestämpel av Microsoft.

Microsoft har nu ett råd som skyller på oseriösa partners.

Om de faktiskt skapade ett företag som låtsades göra hårdvara, särskilt för att gå med i drivrutinsprogrammet med avsikten att smyga igenom tvivelaktiga kärndrivrutiner?

Eller om de mutade ett företag som redan var med i programmet för att spela boll med dem?

Eller om de hackade sig in i ett företag som inte ens insåg att det användes som ett fordon för att säga till Microsoft, "Hej, vi måste producera den här kärndrivrutinen - kommer du att certifiera den?"...

Problemet med certifierade kärndrivrutiner är naturligtvis för att de måste signeras av Microsoft, och eftersom drivrutinssignering är obligatorisk på Windows betyder det att om du kan få din kärndrivrutin signerad behöver du inte hacka eller sårbarheter eller utnyttjar för att kunna ladda en som en del av en cyberattack.

Du kan bara installera drivrutinen och systemet kommer att säga: "Oj då, den är signerad. Det är därför tillåtet att ladda den.”

Och naturligtvis kan du göra mycket mer skada när du är inne i kärnan än du kan när du "bara" är administratör.

Noterbart får du insideråtkomst till processhantering.

Som administratör kan du köra ett program som säger "Jag vill döda XYZ-programmet", vilket kan vara, säg, ett antivirus eller ett hot-jaktverktyg.

Och det programmet kan motstå att stängas av, eftersom, förutsatt att det också är administratörsnivå, kan ingen process absolut göra anspråk på företräde framför den andra.

Men om du är inne i operativsystemet är det operativsystemet som hanterar start- och slutprocesser, så du får mycket mer kraft för att döda saker som säkerhetsprogramvara...

...och tydligen var det precis vad dessa skurkar gjorde.

I "historien som upprepar sig" minns jag att för år och år sedan, när vi undersökte programvara som skurkar använde för att avsluta säkerhetsprogram, hade de vanligtvis listor med mellan 100 och 200 processer som de var intresserade av att döda: operativsystem processer, antivirusprogram från 20 olika leverantörer, allt sånt.

Och den här gången tror jag att det var 186 program som deras förare var där för att döda.

Så lite pinsamt för Microsoft.

Lyckligtvis har de nu sparkat ut dessa oseriösa kodare från sitt utvecklarprogram, och de har blockerat åtminstone alla kända skumma drivrutiner.

---

DOUG.  Så det var inte allt som var avslöjades på Patch Tuesday.

Det fanns också några nolldagar, några RCE-buggar och andra saker av den typen:

Patch tisdag: 0-dagar, RCE-buggar och en nyfiken berättelse om signerad skadlig programvara

---

ANKA.  Ja.

Lyckligtvis var de nolldagars buggar som fixades denna månad inte vad som kallas RCE, eller extern kod exekvering hål.

Så de gav inte en direkt väg för utomstående angripare bara för att hoppa in i ditt nätverk och köra vad de ville.

Men det fanns en kärndrivrutin bugg i DirectX som skulle tillåta någon som redan fanns på din dator i princip att marknadsföra sig för att ha krafter på kärnnivå.

Så det är lite som att ta med din egen signerade förare – du *vet* att du kan ladda den.

I det här fallet utnyttjar du en bugg i en drivrutin som är pålitlig och som låter dig göra saker inuti kärnan.

Uppenbarligen är det den typen av saker som gör en cyberattack som redan är dåliga nyheter till något mycket, mycket värre.

Så du vill definitivt lappa mot det.

Spännande nog verkar det som att det bara gäller det allra senaste bygget, dvs 2022H2 (andra halvåret är vad H2 står för) i Windows 11.

Du vill definitivt se till att du har det.

Och det fanns en spännande bugg i Windows SmartScreen, som i grunden är Windows-filtreringsverktyget som ger dig en varning när du försöker ladda ner något som kan vara eller är farligt.

Så, uppenbarligen, om skurkarna har hittat, "Åh, nej! Vi har den här skadliga attacken och den fungerade riktigt bra, men nu blockerar Smart Screen det, vad ska vi göra?”...

…antingen kan de springa iväg och bygga en helt ny attack, eller så kan de hitta en sårbarhet som låter dem kringgå Smart Screen så att varningen inte dyker upp.

Och det är precis vad som hände i CVE-2022-44698, Douglas.

Så det är nolldagarna.

Som du sa, det finns några buggar för fjärrexekvering av kod i mixen, men ingen av dem är känd för att vara i naturen.

Om du lappar mot dem kommer du före skurkarna, snarare än att bara komma ikapp.

---

DOUG.  OK, låt oss hålla oss till ämnet patchar...

...och jag älskar den första delen av detta rubrik.

Det står bara, "Apple korrigerar allt":

Apple korrigerar allt, avslöjar äntligen mysteriet med iOS 16.1.2

---

ANKA.  Ja, jag kunde inte komma på ett sätt att lista alla operativsystem med 70 tecken eller mindre. [SKRATT]

Så jag tänkte, "Ja, det här är bokstavligen allt."

Och problemet är att förra gången vi skrev om en Apple-uppdatering så var det det endast iOS (iPhones) och endast iOS 16.1.2:

Apple släpper iOS-säkerhetsuppdateringen som är mer tajt än någonsin

Så, om du hade iOS 15, vad skulle du göra?

Var du i riskzonen?

Tänkte du få uppdateringen senare?

Den här gången kom äntligen nyheten om den senaste uppdateringen ut i tvätten.

Det verkar, Doug, att anledningen till att vi fick den iOS 16.1.2-uppdateringen är att det fanns en in-the-wild exploatering, nu känd som CVE-2022-42856, och det var en bugg i WebKit, webbrenderingsmotorn inne i Apples operativsystem.

Och uppenbarligen kan den buggen utlösas helt enkelt genom att locka dig att titta på något innehåll som är fångat i smuts – vad som i branschen kallas en driveby-installation, där du bara tittar på en sida och "Åh, kära", i bakgrunden installeras skadlig programvara.

Nu fungerade tydligen exploateringen som hittades bara på iOS.

Det är förmodligen därför Apple inte skyndade på med uppdateringar för alla andra plattformar, även om macOS (alla tre versioner som stöds), tvOS, iPadOS... de alla faktiskt innehöll den buggen.

Det enda systemet som tydligen inte gjorde det var watchOS.

Så den buggen fanns i i stort sett all Apples mjukvara, men uppenbarligen kunde den bara utnyttjas, så vitt de visste, via en in-the-wild exploatering, på iOS.

Men nu, konstigt nog, säger de, "Endast på iOS före 15.1", vilket får dig att undra, "Varför lade de inte ut en uppdatering för iOS 15, i så fall?"

Vi vet bara inte!

Kanske hoppades de att om de lade ut iOS 16.1.2 skulle vissa personer på iOS 15 ändå uppdatera, och det skulle lösa problemet för dem?

Eller så kanske de ännu inte var säkra på att iOS 16 inte var sårbar, och det var snabbare och lättare att lägga ut uppdateringen (som de har en väldefinierad process för), än att göra tillräckligt många tester för att fastställa att buggen kunde inte lätt att utnyttja på iOS 16.

Vi kommer förmodligen aldrig att veta, Doug, men det är en ganska fascinerande bakgrund i allt detta!

Men faktiskt, som du sa, det finns en uppdatering för alla med en produkt med en Apple-logotyp på.

Så: Dröj inte/gör det idag.

---

DOUG.  Låt oss flytta till våra vänner på Ben-Gurion University... de är tillbaka på det igen.

De har utvecklat en del trådlösa spionprogram – en tjusig liten trådlöst spionprogram trick:

COVID-bit: det trådlösa spionprogramtricket med ett olyckligt namn

---

ANKA.  Ja... Jag är inte säker på namnet; Jag vet inte vad de tänkte där.

De har kallat det COVID-bit.

---

DOUG.  Lite konstigt.

---

ANKA.  Jag tror att vi alla har blivit bitna av covid på något eller annat sätt...

---

DOUG.  Kanske är det det?

---

ANKA.  Smakämnen COV är tänkt att stå för hemlig, och de säger inte vad ID-bit står för.

Jag gissade att det kan vara "informationslämnande bit för bit", men det är ändå en fascinerande historia.

Vi älskar att skriva om forskningen som den här avdelningen gör eftersom, även om det för de flesta av oss är lite hypotetiskt...

…de tittar på hur man bryter mot nätverkets luftgap, vilket är där du driver ett säkert nätverk som du medvetet håller åtskilt från allt annat.

Så för de flesta av oss är det inte ett stort problem, åtminstone hemma.

Men vad de tittar på är att *även om du stänger av ett nätverk från ett annat fysiskt*, och nuförtiden går in och river ut alla trådlösa kort, Bluetooth-kort, Near Field Communications-kort, eller klipper ledningar och bryter kretsspår på kretskortet för att stoppa alla trådlösa anslutningar att fungera...

…finns det fortfarande ett sätt att antingen en angripare som får engångsåtkomst till det säkra området, eller en korrupt insider, kan läcka data på ett i stort sett ospårbart sätt?

Och tyvärr visar det sig att det är mycket svårare att stänga av ett nätverk av datorutrustning helt från ett annat.

Regelbundna läsare kommer att veta att vi har skrivit om massor av saker som de här killarna har kommit på tidigare.

De har haft GAIROSCOPE, vilket är där du faktiskt återanvänder en mobiltelefons kompasschip som en lågfientlig mikrofon.

---

DOUG.  [SKratt] Jag kommer ihåg den där:

Bryter mot luftgapsäkerheten: använd telefonens gyroskop som mikrofon

---

ANKA.  Eftersom dessa chips kan känna av vibrationer precis tillräckligt bra.

De har haft LANTENNA, vilket är där du sätter signaler på ett trådbundet nätverk som är inom det säkra området, och nätverkskablarna fungerar faktiskt som miniatyrradiostationer.

De läcker precis tillräckligt med elektromagnetisk strålning så att du kanske kan plocka upp den utanför det säkra området, så de använder ett trådbundet nätverk som en trådlös sändare.

Och de hade en sak som de skämtsamt kallade FANSMITTERN, vilket är dit du går, "Ja, kan vi göra ljudsignalering? Självklart, om vi bara spelar låtar genom högtalaren, som [uppringningsljud] pip-pip-pip-pip-pip, kommer det att vara ganska uppenbart."

Men tänk om vi varierar CPU-belastningen så att fläkten snabbar upp och saktar ner – skulle vi kunna använda den förändring i fläkthastighet nästan som en sorts semaforsignal?

Kan din datorfläkt användas för att spionera på dig?

Och i den här senaste attacken tänkte de: "Hur kan vi annars förvandla något inuti nästan varje dator i världen, något som verkar oskyldigt nog... hur kan vi förvandla det till en radiostation med mycket, mycket låg effekt?"

Och i det här fallet kunde de göra det med hjälp av strömförsörjningen.

De kunde göra det i en Raspberry Pi, i en bärbar dator från Dell och i en mängd olika stationära datorer.

De använder datorns egen strömförsörjning, som i princip gör mycket, mycket högfrekvent DC-växling för att kapa en DC-spänning, vanligtvis för att minska den, hundratusentals eller miljoner gånger per sekund.

De hittade ett sätt att få det att läcka elektromagnetisk strålning – radiovågor som de kunde fånga upp till 2 meter bort på en mobiltelefon...

… även om mobiltelefonen hade alla sina trådlösa grejer avstängda eller till och med borttagna från enheten.

Knepet de kom på är: du ändrar hastigheten med vilken den växlar, och du upptäcker förändringarna i växlingsfrekvensen.

Föreställ dig, om du vill ha en lägre spänning (om du vill, säg, kapa 12V ner till 4V), kommer fyrkantvågen att vara på en tredjedel av tiden och av i två tredjedelar av tiden.

Om du vill ha 2V, måste du ändra förhållandet därefter.

Och det visar sig att de moderna CPU:erna varierar både sin frekvens och sin spänning för att hantera ström och överhettning.

Så genom att ändra processorbelastningen på en eller flera av kärnorna i processorn – genom att bara rampa upp uppgifter och rampa ner uppgifter med en jämförelsevis låg frekvens, mellan 5000 8000 och XNUMX XNUMX gånger i sekunden – kunde de få det switchade läget strömförsörjning för att *växla växlingslägen* vid de låga frekvenserna.

Och det genererade mycket lågfrekventa radioemanationer från kretsspår eller någon koppartråd i strömförsörjningen.

Och de kunde upptäcka dessa strålar med en radioantenn som inte var mer sofistikerad än en enkel trådslinga!

Så vad gör man med en trådslinga?

Tja, du låtsas, Doug, att det är en mikrofonkabel eller en hörlurskabel.

Du ansluter den till ett 3.5 mm ljudjack och ansluter den till din mobiltelefon som om det vore en uppsättning hörlurar...

---

DOUG.  Wow.

---

ANKA.  Du spelar in ljudsignalen som genereras från trådslingan – eftersom ljudsignalen i grunden är en digital representation av den mycket lågfrekventa radiosignalen som du har plockat upp.

De kunde extrahera data från den med en hastighet var som helst mellan 100 bitar per sekund när de använde den bärbara datorn, 200 bitar per sekund med Raspberry Pi, och var som helst upp till 1000 bitar per sekund, med en mycket låg felfrekvens, från stationära datorer.

Du kan få ut saker som AES-nycklar, RSA-nycklar, till och med små datafiler med den typen av hastighet.

Jag tyckte det var en fascinerande historia.

Om du driver ett säkert område vill du definitivt hänga med i det här, för som det gamla ordspråket säger: "Attacker blir bara bättre eller smartare."

---

DOUG.  Och lägre tech. [SKRATT]

Allt är digitalt, förutom att vi har det här analoga läckaget som används för att stjäla AES-nycklar.

Det är fascinerande!

---

ANKA.  Bara en påminnelse om att du måste tänka på vad som finns på andra sidan av den säkra väggen, eftersom "utom synhåll är absolut inte nödvändigtvis utom sinnet."

---

DOUG.  Tja, det passar bra in i vår sista berättelsen – något som är utom synhåll, men inte utom sinne:

Kreditkortskimning – den långa och slingrande vägen för fel i leveranskedjan

Om du någonsin har byggt en webbsida vet du att du kan släppa analyskod – en liten rad JavaScript – där för Google Analytics, eller liknande företag, för att se hur det går för din statistik.

Det fanns ett gratis analysföretag som heter Cockpit i början av 2010-talet, och så folk lade in den här Cockpit-koden – den här lilla raden av JavaScript – på sina webbsidor.

Men Cockpit stängdes av 2014 och lät domännamnet förfalla.

Och sedan, 2021, tänkte cyberkriminella: "Vissa e-handelssajter låter fortfarande den här koden köras; de kallar fortfarande detta för JavaScript. Varför köper vi inte bara upp domännamnet och sedan kan vi injicera vad vi vill på de här webbplatserna som fortfarande inte har tagit bort den raden av JavaScript?”

---

ANKA.  Ja.

Vad skulle kunna gå rätt, Doug?

---

DOUG.  [SKratt] Exakt!

---

ANKA.  Sju år!

De skulle ha haft en post i alla sina testloggar som säger, Could not source the file cockpit.js (eller vad det nu var) from site cockpit.jp, Jag tror det var.

Så, som du säger, när skurkarna tände upp domänen igen och började lägga upp filer där för att se vad som skulle hända...

…de märkte att massor av e-handelssajter bara blint och glatt konsumerade och körde skurkarnas JavaScript-kod i sina kunders webbläsare.

---

DOUG.  [LUAGHING] "Hej, min sida ger inget fel längre, den fungerar."

---

ANKA.  [OTROLIGT] "De måste ha fixat det"... för en speciell förståelse av ordet "fixad", Doug.

Naturligtvis, om du kan injicera godtycklig JavaScript i någons webbsida, kan du i stort sett få den webbsidan att göra vad du vill.

Och om du i synnerhet riktar in dig på e-handelswebbplatser, kan du ställa in vad som i huvudsak är spionprogramkod för att leta efter särskilda sidor som har särskilda webbformulär med särskilda namngivna fält på dem...

…som passnummer, kreditkortsnummer, CVV, vad det nu är.

Och du kan bara i princip suga ut all okrypterad konfidentiell data, den personliga informationen, som användaren lägger in.

Den har inte gått in i HTTPS-krypteringsprocessen än, så du suger ut den ur webbläsaren, du HTTPS-krypterar den *själv* och skickar ut den till en databas som drivs av skurkar.

Och, naturligtvis, det andra du kan göra är att du aktivt kan ändra webbsidor när de kommer.

Så du kan locka någon till en webbplats – en som är den *rätt* webbplatsen; det är en webbplats de har besökt förut, som de vet att de kan lita på (eller de tror att de kan lita på).

Om det finns ett webbformulär på den webbplatsen som, t.ex., brukar fråga dem om namn och kontoreferensnummer, ja, du lägger bara in ett par extra fält, och med tanke på att personen redan litar på webbplatsen...

… om du säger namn, ID och [lägg till] födelsedatum?

Det är mycket troligt att de bara kommer att ange sitt födelsedatum eftersom de tror, ​​"Jag antar att det är en del av deras identitetskontroll."

---

DOUG.  Detta går att undvika.

Du kan börja med granska dina webbaserade länkar i leveranskedjan.

---

ANKA.  Ja.

Kanske en gång vart sjunde år skulle vara en början? [SKRATT]

Om du inte letar är du verkligen en del av problemet, inte en del av lösningen.

---

DOUG.  Du kan också, åh, jag vet inte... kontrollera dina loggar?

---

ANKA.  Ja.

Återigen, en gång vart sjunde år kan det vara start?

Låt mig bara säga vad vi har sagt tidigare i podden, Doug...

…om du ska samla loggar som du aldrig tittar på, *besvär dig bara inte med att samla dem alls*.

Sluta skämta med dig själv och samla inte in data.

För, faktiskt, det bästa som kan hända med data om du samlar in den och inte tittar på den, är att fel personer inte kommer åt det av misstag.

---

DOUG.  Utför sedan självklart testtransaktioner regelbundet.

---

ANKA.  Ska jag säga, "En gång vart sjunde år skulle vara en början"? [SKRATT]

---

DOUG.  Naturligtvis, ja... [WRY] det kan vara tillräckligt regelbundet, antar jag.

---

ANKA.  Om du är ett e-handelsföretag och du förväntar dig att dina användare ska besöka din webbplats, vänja dig vid ett visst utseende och känsla och lita på det...

…då är du skyldig dem att testa att utseendet och känslan är korrekt.

Regelbundet och ofta.

Lätt som det.

---

DOUG.  OK, mycket bra.

Och när programmet börjar avta, låt oss höra från en av våra läsare om den här historien.

Larry kommenterar:

Se över dina webbaserade länkar i leveranskedjan?

Önskar att Epic Software hade gjort detta innan Meta-spårningsfelet skickades till alla deras kunder.

Jag är övertygad om att det finns en ny generation av utvecklare som tror att utveckling handlar om att hitta kodfragment var som helst på internet och okritiskt klistra in dem i sin arbetsprodukt.

---

ANKA.  Om vi ​​bara inte utvecklade kod så...

…vart du går, ”Jag vet, jag kommer att använda det här biblioteket; Jag ska bara ladda ner den från denna fantastiska GitHub-sida jag hittade.

Åh, det behövs en hel massa annat!?

Åh, se, det kan uppfylla kraven automatiskt... ja, låt oss bara göra det då!”

Tyvärr måste du *äga din försörjningskedja*, och det betyder att du förstår allt som ingår i den.

Om du tänker längs Software Bill of Materials [SBoM], vägen, där du tänker, "Ja, jag ska lista allt jag använder", räcker det inte bara att lista den första nivån av saker som du använder.

Du behöver också veta, och kunna dokumentera, och veta att du kan lita på, alla saker som dessa saker beror på, och så vidare och så vidare:

Små loppor har mindre loppor På ryggen för att bita dem Och mindre loppor har mindre loppor Och så i oändlighet.

*Det är* så du måste jaga ner din försörjningskedja!

---

DOUG.  Bra sagt!

Okej, tack så mycket, Larry, för att du skickade in den kommentaren.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.

Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar, eller så kan du kontakta oss på sociala: @NakedSecurity.

Det är vår show för idag; tack så mycket för att du lyssnade.

För Paul Ducklin, jag är Doug Aamoth, påminner dig, tills nästa gång, att...

---

BÅDE.  Håll dig säker!

[MUSIKALT MODEM]