הגליון השבעים ותשעה של Digital Whisper שוחרר!

ברוכים הבאים לגליון ה-79 של DigitalWhisper, הגליון הסוגר את הבאפר הציקלי של שנת 2016!

79 זה מספר טוב מאוד לסגור איתו את שנת 2016. גם מספר ראשוני, גם מספר ינושאר, גם מספר שמח, גם השנה בה מיטניק השיג לראשונה גישה לא חוקית לרשת מחשבים, גם השנה ממנה פורסם הראיון של Joe Trip עם Captain Crunch, מסתבר שזאת אפילו השנה בה נולד האנלייזר, קיצר - אחלה מספר.

אם אתם עוקבים אחרינו מספיק זמן, וגם אינם משתייכים לקבוצה של האלה שמדלגים על דברי הפתיחה (מי אתם אותם אנשים שמדלגים על דברי פתיחה?!), אתם בטח כבר מכירים את הפוסטים מסכמי-השנה שלנו: אנחנו נזכרים במספר אירועים חדשותיים מהתחום שפקדו אותנו בשנה החולפת וכותבים מה ניתן ללמוד מהם לקראת השנה הקרובה. זה נחמד, זה חביב, זה מאוד חינוכי, ו... כן... נראה לי שהפעם נדלג על זה, זה כבר מתחיל להיות מגוחך.

למה מתחיל להיות מגוחך? כי לפי איך שזה נראה מהצד, אירועים כמו האירוע שפורסם לאחרונה אצל !Yahoo ובמסגרתו נגנבו כמליארד רשומות מאחד ה-Database-ים המרכזיים שלהם לא עומדים להעלם. ונראה שכמעט כל ארגון מרגיש צורך לחוות על בשרו אירוע כזה כדי להבין שזה כנראה לא יעזור למוניטין שלו. כאילו יש איזו תחרות סמויה של "למי הולכים לגנוב הכי הרבה נתונים בפריצה הקרובה".

להפעם נזכר בצעצועים החדשים שקיבלנו השנה... כן, זה נשמע יותר כיף :). אז הינה סקירה של מספר חולשות מעניינות אשר פורסמו בשנה החולפת: 

בקטגוריית "זה למה חשוב לשמור את המידע שלך מוגן" הזוכה השנה היא ExtraBacon - חולשת Remote Code Execution במוצרי ASA ו-PIX של Cisco (פורסמה באוגוסט על ידי  TheShadowBrokersמטעם ה-Equation Group). על קצה המזלג: Stack-based buffer overflow בשרת ה-SNMPd של המוצרים. החולשה זכתה אצלנו בתואר זה כי כל מי שעושה פדיחה ל-NSA מקבל מקום של כבוד :) 

בקטגוריית "זה למה צריך לתקן Known Issues ולא להשאיר אותם 15 שנה!" הזוכה השנה היא Hot Potato - חולשת Privilege Escalation עם פוטנציאל ל- Remote Code Executionבכל מערכות ההפעלה הנתמכות של Microsoft. פורסמה בינואר השנה ע"י החבר'ה המוכשרים של FoxGloveSecurity. על קצה המזלג: שילוב של NTLM Over SMB over HTTP Relay ושל NBNS Spoofing/Reflection. 

בקטגוריית "כשאתם משאילים קוד - תדאגו לעדכן אותו" הזוכה השנה היא Egregious Blunder - חולשת Remote Code Execution / Authentication Bypass על מוצר הדגל של חברת Fortinet. פורסמה באוגוסט ע"י TheShadowBrokers מטעם ה-Equation Group. על קצה המזלג: מימוש של חולשת Buffer Overflow בפונקציית OpenLDAP שפורסמה ב-2006 וקיימת בשרת ה-HTTPd של הרכיב אשר אחראית על פרסור ה-Authentication Cookie.

בקטגוריית "זה פשוט מדהים" הזוכה השנה היא DirtyCow - חולשת Privilege Escalation לכל הפצות הלינוקס החל מקרנל 2.6.22. פורסמה באוקטובר ע"י Phil Oester, עובד חברת Internet Brands וחוקר אבטחה עצמאי. על קצה המזלג: חולשת Race Condition במדיניות שיתוף דפי הזיכרון בין תהליכים בעת מימוש המנגנון Copy-On-Write במערכת ההפעלה.

בקטגוריית "כחול-לבן" הזוכה / הזוכות השנה היא / הן חולשות ה-QuadRooter - ארבעה חולשות Prigilege Excalation על כל מכשירי ה-Android המורצים על מעבדים של Qualcomm. פורסמה באוגוסט ע"י Adam Donenfeld מחברת CheckPoint. על קצה המזלג: כל אחת מהחולשות הנ"ל מנצלת חולשה או מספר חולשות (Race Condition, Use After Free, בדיקה לא מספיקה לסוג משאב בשימוש, ועוד) ב-Chipset Drivers של Qualcomm ומאפשרת בסופו של דבר להריץ קוד בהרשאות גבוהות.

בקטגוריית "הזאת עם אחד הפוטנציאלים הגבוהים אבל..." הזוכה היא CVE-2015-7547 - חולשת Stack-based Buffer Overflow ב-glibc מקרנל 2.9 עם יכולת טריגור מבחוץ. פורסמה בפברואר ע"י Robert Holiday מחברת Ciena ו-Google Security Team על קצה המזלג: חולשת Stack-based Buffer Overflow בפונקציה getaddrinfo של glibc שמהווה DNS Client בלינוקס.

בקטגוריית "חברת Juniper, מה נסגר איתכם?!" הזוכה היא CVE-2015-7755 - פחות חולשה אלא יותרBackdoor  שהתגלה ב-ScreenOS. פורסמה בדצמבר 2015 (אבל היא שם עוד מ-2012, אז עוד יום פחות יום...) ע"י Juniper בכבודם ובעצמם! (כל הכבוד על ה-Full Disclosure). על קצה המזלג: מאיפשהו, ללא ידיעת חברת Juniper (כך, לטענתם), התווסף קוד למוצר, שהאפקט שלו הוא שניתן להתחבר עם כל משתמש כאשר מקלידים את הסיסמה: <<< %s(un='%s') = %u. די מדהים.

בקטגוריית "One vulnerability to spy them all" הזוכה השנה היא חולשת Authentication Bypass בגרסאת ה-Mobile בשירות OAuth2.0 שאיפשרה למוצאה להתחבר לכל חשבון Facebook / Gmail ועוד בעצם כמעט כל אפליקציה שאיפשרה הזדהות באמצעות שירות זה. פורסמה בנובמבר ע"י שלושת חוקרי אבטחה הסינים Ronghai Yang,  Wing Cheong Lauו-Tianyu Liu. על קצה המזלג: בעקבות מימוש כושל בעת שלב הבדיקה של אחד מפרמטרי הזיהוי ב-OAuth2.0 ניתן להתחיל לבצע הזדהות עם חשבון אחד ולאחר שלב ההזדהות המוצלח - להחליף את פרמטר הזיהוי ב- IdPלחשבון שאותו רוצים לגנוב ולהתחבר אליו. בפועל: גישה לכמעט 5 מיליארד חשבונות Gmail,  Facebook ו-Sina (חברה שמפעילה רשת חברתית של בלוגים בסין, משהו קקיוני שמפעיל מעל מ-50% מהבלוגים בסין...).

בקטגוריית "ב-Windows זה לא היה קורה" הזוכה השנה היא CVE-2016-4484, חולשת Authentication Bypass ב-Cryptsetup (מעטפת ל-dm-crypt, מערכת Full Disk Dncryption מרכזית במספר הפצות לינוקס) שפורסמה בנובמבר, בכנס DeepSec ע"י שני חוקרי האבטחה Hector Marco ו- Ismael Ripollמ-CyberSecurity Group. על קצה המזלג: בעקבות טיפול לא נכון בשלב ה-"מקסימום נסיונות ניחוש סיסמה" וסינכרון בשני סקריפטי אתחול של Cryptsetup ניתן פשוט ללחוץ על המקש Enter עד 70 שניות (פחות במעבדים שהם לא x86) - ואתם פשוט מקבלים Busybox Shell על המערכת הנתקפת.

היו עוד לא מעט חולשות מגניבות השנה, אך נגמרו לנו הנושאים לקטגוריות.... :), מבטיחים שנחשוב על נושאים נוספים בשנה הבאה.

ובנוסף, ברצוננו להודות לכל מי שליווה אותנו השנה, לכל מי שלקח יוזמה, פנה אלינו וכתב מאמר, בלעדיכם לא היינו כאן! אז תודה רבה לחי מזרחי, תודה רבה לרזיאל בקר, תודה רבה לישראל (Sro) חורז'בסקי, תודה רבה ל-d4d, תודה רבה לגילי ינקוביץ', תודה רבה לשחק שלו, תודה רבה לצח ירימי, תודה רבה לליאור אופנהיים, תודה רבה ליניב בלמס, תודה רבה ל-Disscom, תודה רבה לעו"ד יהונתן קלינגר, תודה רבה ל-0x3d5157636b525761, תודה רבה ל-dexr4de, תודה רבה לאלכסנדר גצין, תודה רבה לשרון בריזינוב, תודה רבה לעידו נאור, תודה רבה לדני גולנד, תודה רבה לאופיר בק, תודה רבה לשחר גלעד, תודה רבה לעידו קנר, תודה רבה לאיתי כהן, תודה רבה לליאור ברש, תודה רבה לאיתי חורי, תודה רבה ליורי סלובודיאניוק, תודה רבה לאביחי כהן, תודה רבה ליובל סיני, תודה רבה לרועי חי, תודה רבה לעומר כספי, תודה רבה ל-0xDEAD6057, תודה רבה לעמית סרפר, תודה רבה לאילן דודניק, תודה רבה לעמרי בנארי, תודה רבה לגיא פרגל, תודה רבה ללירן פאר (reaction), תודה רבה לתומר זית, תודה רבה לטל ליברמן, תודה רבה לדור תומרקין, תודה רבה לאיזגייב זוהר, תודה רבה ל-Vellichor, תודה רבה למאור ניסן, תודה רבה למאיר בלוי-חנוכה, תודה רבה לינון שקדי ותודה רבה לרותם צדוק!

וכמובן, לפני שניגש לסיבה שבגינה אתם כאן, נרצה להודות למי שתרם לנו מאמרים לגליון הנוכחי, למי שישב וכתב החודש, השקיע ונתן מעצמו לטובת הקהילה, תודה רבה לינון שקדי, תודה רבה ליובל סיני, תודה רבה לישראל (Sro) חורז'בסקי ותודה רבה לרותם צדוק!


 

החודש, הגליון כולל את המאמרים הבאים: 

  • שבירת האנונימיות באפליקציית Blindspot (מאת ינון שקדי)
               אפליקציית Blindspot הינה אפליקצייה לשליחת מסרים אנונימיים. Blindspot החלה את דרכה בסוף 2015, בליווי מסע
               פרסום אגרסיבי הכלל שלטי חוצות באיילון, וזכתה ליותר מחצי מיליון הורדות. המאפיין הבולט ביותר באפליקציה זו הוא
               היכולת לשלוח הודעות באופן אנונימי. במאמר זה מציג ינון כיצד גילה חולשה באפליקציה אשר מאפשרת לו לשבור
               מאפיין זה ולהתחכות אחר מקור ההודעה.

  • מבוא ל-Side Channel Attacks (מאת יובל סיני)
               מערכות המחשוב פועלות באינטרקציה הדדית מול הסביבה החיצונית, ומתוך כך הן עשויות להשפיע על סביבה זו בצורה
               עקיפה. לדוגמא - לפלוט אוויר חם או רעש מרכיבים מכניים המובנים במערכת המחשוב. בהתאם למחקרים אקדמים
               שונים, נמצא כי מדידה של אותם משתנים 'חיצוניים' / 'צדדיים' הנפלטים לסביבה, ולאחר מכן ביצוע פעולות הסקה
               ישירות ו/או עקיפות (כדוגמת ניתוח סטטיטסטי) על סמך אותם משתנים, ניתן לאבחן את המצב (State) של מערכת
               המחשוב ברגע נתון. על בסיס עקרון זה מבוססת התקפת ערוץ צדדי (באנגלית: Side-Channel Attack); ניצול העובדה
               כי ניתן למדוד משתנים 'חיצוניים' / 'צדדים' בפעילות מערכת מחשוב, ובכך לקבל מידע ערכי לגבי המצב (State) של
               מערכת המחשוב. מאמר זה מתמקד בהצגת מבוא ראשוני לנושא זה, וזאת תוך שימוש בדוגמאות שכיחות מתחום המחקר,
               במטרה להראות את הקלות היחסית לביצוע דלף מידע ממערכות מחשוב באמצעות התקפה זו.

  • Self-XSS - Make it critical (מאת ישראל (Sro) חורז'בסקי  ורותם צדוק)
               כל קורא שמכיר את תקיפת XSS ומצא במהלך הקריירה שלו כמה וכמה כאלה, נתקל בסוגים שונים ותרחישים שונים
               שחלקם נותרו "בלתי נצילים". אחד התרחישים המוכרים ביותר ל-XSS שאינו נציל הוא סוג של Self/Private XSS שיכול
               לרוץ רק בחשבונו של התוקף שהכניס את ה-Payload. במאמר זה ישראל ורותם יציגו דוגמא לקונספט שכזה, ויראו כיצד
               ניתן לשדרג Self XSS שבו התוקף - תוקף את עצמו לממצא ברמת חומרה Medium / High.
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל. 
 


תגובות על 'הגליון השבעים ותשעה של Digital Whisper שוחרר!':



#1 

Dor (אורח):
גיליון מעניין כמו תמיד!
חג שמח.
31.12.2016 18:30:18

#2 

שמיל (אורח):
תודה רבה על עוד גליון! ותודה על כל השנים! חג שמח!
31.12.2016 20:38:28

#3 

kt nabv (אורח):
תודה רבה! וחג שמח
01.01.2017 00:38:16

#4 

אלי (אורח):
גיליון יפה מאד
01.01.2017 07:19:53

#5 

מגיב אנונימי (אורח):
גליון נהדר! תודה רבה לכל הכותבים ושנה טובה לכולם!
01.01.2017 07:33:59

#6 

DrWho (אורח):
תודה! קצר יחסית אבל מעולה! תעדכנו את הFooter ל-2017!
02.01.2017 08:44:33

#7 

TurboZZ (אורח):
רעיון דומה שמממש self-xss
https://whitton.io/articles/uber-turning-self-xss-into-good-xss/
02.01.2017 14:12:02

#8 

Sro (אורח):
זה למה => That's why
נשמע לי פשוט ונכון יותר לכתוב: לכן
03.01.2017 10:34:26

#9 

cp77fk4r:
Sro, ברור שמבחינת עברית אתה צודק, אבל זה סיגנון דיבור וזה בכוונה שם ככה :)
07.01.2017 13:25:51

#10 

cp77fk4r:
DrWho - עודכן, תודה!
09.01.2017 21:01:29



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.