Security Week 18: bombe textuelle pour iOS

Si une collection imaginaire des meilleurs hits est collectée à partir de différents types de vulnérabilités, alors différents types d'erreurs de traitement d'entrée prendront la meilleure place là-bas. L'une des plus anciennes façons de désactiver un programme ou un système entier est une bombe zip - une petite archive qui est déployée, selon l'époque, en centaines de mégaoctets, gigaoctets ou pétaoctets de données. Mais ensuite l'archive, elle doit encore être téléchargée et essayer de la décompresser. Les bombes textuelles sont beaucoup plus intéressantes - les messages dont le format fait planter le programme ou planter tout le système. Dans le monde des messageries instantanées et des appareils mobiles, cela est particulièrement vrai.

La semaine dernière, un mécanisme de suspension de message unique pour les appareils mobiles a été découvert dans le système d'exploitation iOS pour les appareils mobiles Apple ( news ). iOS traite incorrectement au moins un caractère de la langue Sindhi , l'une des langues officielles du Pakistan, incluse dans la norme Unicode. Lors de l'affichage d'un tel symbole sur un téléphone ou une tablette, des échecs de degrés de difficulté variables se produisent, dans le pire des cas, un redémarrage de l'appareil est nécessaire. Un message avec un symbole difficile doit être affiché à l'écran, dans le client du réseau social ou dans le messager, mais un échec est également provoqué lorsque la notification est affichée, si l'aperçu du message est activé. En d'autres termes, après un redémarrage, vous pouvez rencontrer à nouveau la chute du logiciel ou du système entier si quelqu'un décide de vous contrôler complètement.

Le découvreur de la bombe textuelle est inconnu. Sur Reddit, dans la communauté des amoureux des iPhones de jailbreak, ils ont posté un patch fait maison de ce fléau, mentionnant les messages sur Twitter (comme dans la capture d'écran au début du condensé) qui ont été distribués la semaine dernière, pour une raison quelconque avec l'ajout du drapeau italien au symbole de la langue sindhi. Le drapeau ne participe pas au fonctionnement du bug. Pour éviter la pêche à la traîne de masse, la publication de personnages à la nature était strictement interdite dans cette communauté. Vous pouvez jeter un œil au code de caractère dans le codecorrectif pour les iPhones «piratés». Nous ne le publierons pas ici et nous ne vous conseillons pas. Pas drôle. Il s'agit d'un bug, mais pas d'une vulnérabilité: les plantages logiciels ne conduisent pas à l'exécution de code, du moins il n'y avait pas de tels messages. Dans la version bêta actuelle d'iOS, le problème est résolu, mais avant la sortie officielle de la mise à jour sur les réseaux sociaux et les messageries instantanées, un chant de réjouissances est probable.

La version bêta d'iOS 13.4.5 a également fermé deux bogues dans le client de messagerie Apple Mail ( news ). Selon l'équipe ZecOps , les deux vulnérabilités entraînent une fuite de données du client de messagerie lors de l'ouverture d'un message préparé. ZecOps affirme que l'ancienne version d'iOS 6 est également sensible et que depuis 2018, des vulnérabilités ont été exploitées par des attaquants non identifiés «sur le terrain». Apple, cependant, estime qu'il n'y a pas eu d'attaque active.: "Il n'y a pas de menace immédiate pour les utilisateurs."

Si la bombe textuelle dans iOS est ennuyeuse, qu'en est-il d'un GIF malveillant qui vous permet de voler l'accès à votre compte dans le service Microsoft Teams? CyberArk a découvert cette vulnérabilité ( actualités , étude) Les chercheurs ont trouvé un point faible non pas dans le processeur d'image, mais dans un mécanisme qui vous permet de suivre qui a partagé quoi dans cette plate-forme de collaboration. Étant donné que Microsoft Teams peut intégrer un service cloud, des serveurs d'entreprise privés et des logiciels sur les ordinateurs des utilisateurs, un système d'attribution d'images assez compliqué avec le transfert de jetons identifiant l'abonné était nécessaire. Ajoutez à ces deux sous-domaines sur le site Web de Microsoft, le trafic vers lequel théoriquement peut être basculé vers un attaquant à l'aide de la procédure de prise de contrôle de sous-domaine, et nous obtenons le scénario suivant. Vous envoyez le GIF préparé à l'utilisateur. L'image est enregistrée dans le service avec le transfert des jetons utilisateur vers le sous-domaine * .microsoft.com. L'attaquant redirige le trafic vers ce sous-domaine vers lui-même et reçoit un jeton. À l'aide de clés d'autorisation, vous pouvez déjà accéder à l'API du service cloud au nom de l'utilisateur concerné et recevoir diverses informations privées sur la structure interne de l'entreprise.

Que s'est-il passé d'autre

Nintendo a confirmé le piratage de 160 000 comptes via un identifiant Nintendo Network. Il s'agit d'un système hérité, utilisé en particulier pour les comptes des consoles Nintendo 3DS et Wii U. Mais grâce à cet ancien compte, vous pouvez également accéder au service réseau moderne de l'entreprise, par exemple, Nintendo Switch. Le piratage de NNID a déjà conduit au vol d'argent virtuel dans les comptes d'utilisateurs.

Le code source des jeux multijoueurs Team Fortress 2 et CS: GO a été divulgué . Les codes source, généralement distribués à titre privé et uniquement parmi les partenaires du développeur, Valve Software, étaient accessibles au public. Selon Valve, il s'agit d'un «rechargement» des sources qui ont déjà fait surface dans le réseau en 2018, vous ne devez donc pas vous attendre à l'émergence de nouveaux exploits pour attaquer les joueurs. La fuite a

été largement discutée la semaine dernièreune base de données de 25 000 adresses e-mail et mots de passe appartenant à des employés de l'Organisation mondiale de la santé, de la Fondation Bill et Melinda Gates et de l'Institut de virologie de Wuhan. Très probablement, il s'agit d'un échantillon d'une énorme base de données de fuites antérieures de services réseau, que quelqu'un a faites pour le bien de la journée. Pendant ce temps, selon Google Threat Analysis Group (et d'autres sociétés), le sujet COVID-19 est activement utilisé dans les attaques de phishing contre les agences gouvernementales dans différents pays.

Un exemple intéressant de phishing de mot de passe plausible pour le messager Skype a été découvert .

Palo Alto Networks a enquêté sur un botnet ciblant les périphériques NAS Zyxel vulnérables. Et dans ESET analysévulnérabilités dans les hubs pour une maison intelligente de trois fabricants différents. La mauvaise nouvelle: il existe la possibilité d'intercepter à distance le contrôle de l'ensemble de l'infrastructure IoT domestique. La bonne nouvelle est que les vulnérabilités étudiées ont déjà été corrigées par les fabricants, dont certains il y a longtemps. La mauvaise nouvelle est que tous les propriétaires de hubs ne fournissent pas les mises à jour à temps.