Semana de la seguridad 18: bomba de texto para iOS

Si se recopila una colección imaginaria de los mejores resultados de diferentes tipos de vulnerabilidades, varios tipos de errores de procesamiento de entrada ocuparán los mejores lugares allí. Una de las formas más antiguas de deshabilitar un programa o un sistema completo es una bomba zip : un pequeño archivo que se implementa, según la era del tiempo, en cientos de megabytes, gigabytes o petabytes de datos. Pero luego el archivo, aún necesita ser descargado e intentar descomprimirlo. Las bombas de texto son mucho más interesantes: mensajes cuyo formato hace que el programa bloquee o bloquee todo el sistema. En el mundo de la mensajería instantánea y los dispositivos móviles, esto es especialmente cierto.

La semana pasada, se descubrió un mecanismo de suspensión de un solo mensaje para dispositivos móviles en el sistema operativo iOS para dispositivos móviles de Apple ( noticias ). iOS procesa incorrectamente al menos un carácter del idioma sindhi , uno de los idiomas oficiales en Pakistán, incluido en el estándar Unicode. Cuando se muestra dicho símbolo en un teléfono o tableta, se producen fallas de diversos grados de dificultad, en el peor de los casos, se requiere reiniciar el dispositivo. Se debe mostrar un mensaje con un símbolo difícil en la pantalla, en el cliente de la red social o en el messenger, pero también se produce un error cuando se muestra la notificación, si la vista previa del mensaje está habilitada. En otras palabras, después de un reinicio, puede encontrarse con la caída del software o de todo el sistema nuevamente si alguien decide controlarlo por completo.

El descubridor de la bomba de texto es desconocido. En Reddit, en la comunidad de amantes de los iPhone con jailbreak, publicaron un parche casero de este flagelo, mencionando mensajes de Twitter (como en la captura de pantalla al comienzo del resumen) que se distribuyeron la semana pasada, por alguna razón con la adición de la bandera italiana al símbolo del idioma sindhi. La bandera no participa en la operación del error. Para evitar el curricán en masa, la publicación de personajes a la naturaleza estaba estrictamente prohibida en esta comunidad. Puedes echar un vistazo al código de personaje en el códigoparche para iPhones "pirateados". No lo publicaremos aquí y no le asesoramos. No es divertido. Esto es un error, pero no una vulnerabilidad: los bloqueos de software no conducen a la ejecución del código, al menos no hubo tales mensajes. En la versión beta actual de iOS, el problema está resuelto, pero antes del lanzamiento oficial de la actualización en redes sociales y mensajería instantánea, es probable que haya un canto de juerga.

La versión beta de iOS 13.4.5 también cerró dos errores en el cliente de correo Apple Mail ( noticias ). Según el equipo de ZecOps , ambas vulnerabilidades conducen a la fuga de datos del cliente de correo al abrir un mensaje preparado. ZecOps afirma que la versión anterior de iOS 6 también es susceptible y que desde 2018, las vulnerabilidades han sido explotadas por atacantes no identificados "en los campos". Apple, sin embargo, cree que no hubo un ataque activo.: "No existe una amenaza inmediata para los usuarios".

Si la bomba de texto en iOS es simplemente molesta, ¿qué pasa con un GIF malicioso que le permite robar acceso a su cuenta en el servicio Microsoft Teams? CyberArk descubrió esta vulnerabilidad ( noticias , estudio)) Los investigadores encontraron un punto débil no en el procesador de imágenes, sino en un mecanismo que le permite rastrear quién compartió qué en esta plataforma para la colaboración. Dado que Microsoft Teams puede integrar un servicio en la nube, servidores corporativos privados y software en la computadora de un usuario, se necesitaba un sistema bastante complicado de atribución de imágenes con la transferencia de tokens que identifiquen al suscriptor. Agregue a estos dos subdominios en el sitio web de Microsoft, el tráfico al que teóricamente puede cambiarse a un atacante mediante el procedimiento de adquisición de subdominios, y obtenemos el siguiente escenario. Envía el GIF preparado al usuario. La imagen se registra en el servicio con la transferencia de tokens de usuario al subdominio * .microsoft.com. El atacante redirige el tráfico a este subdominio y recibe un token. Con las claves de autorización, ya puede acceder a la API del servicio en la nube en nombre del usuario afectado y recibir diversa información privada sobre la estructura interna de la empresa.

Que mas paso

Nintendo confirmó la piratería de 160,000 cuentas a través de Nintendo Network ID. Este es un sistema heredado, utilizado, en particular, para cuentas en las consolas Nintendo 3DS y Wii U. Pero a través de esta antigua cuenta también podría ingresar al servicio de red moderno de la compañía, por ejemplo, Nintendo Switch. Hackear NNID ya ha llevado al robo de dinero virtual de las cuentas de usuario.

El código fuente de los juegos multijugador de Team Fortress 2 y CS: GO se ha filtrado . Los códigos fuente, generalmente distribuidos de forma privada y solo entre los socios del desarrollador, Valve Software, estaban disponibles públicamente. Según Valve, esta es una "recarga" de las fuentes que ya han surgido en la red en 2018, por lo que no debe esperar la aparición de nuevas hazañas para atacar a los jugadores. La fuga

fue ampliamente discutida la semana pasadauna base de datos de 25,000 direcciones de correo electrónico y contraseñas, supuestamente propiedad de empleados de la Organización Mundial de la Salud, la Fundación Bill y Melinda Gates y el Instituto de Virología Wuhan. Lo más probable es que esta sea una muestra de una enorme base de datos de filtraciones anteriores de servicios de red, que alguien hizo por el bien del día. Mientras tanto, según Google Threat Analysis Group (y otras compañías), el tema COVID-19 se usa activamente en ataques de phishing contra agencias gubernamentales en diferentes países.

Se descubrió un ejemplo interesante de phishing de contraseña plausible para el messenger de Skype.

Palo Alto Networks investigó una botnet dirigida a dispositivos NAS Zyxel vulnerables. Y en ESET analizadovulnerabilidades en los centros para una casa inteligente de tres fabricantes diferentes. La mala noticia: existe la posibilidad de interceptar de forma remota el control de toda la infraestructura de IoT en el hogar. La buena noticia es que los fabricantes ya han cerrado las vulnerabilidades investigadas, algunas de ellas hace mucho tiempo. La mala noticia es que no todos los propietarios de centros ofrecen actualizaciones a tiempo.