הגליון המאה עשרים ושישה של DigitalWhisper שוחרר!


ברוכים הבאים לגליון ה-126 של DigitalWhisper, גליון פברואר 2021!
 
אין ספק ששנת 2020 נגמרה בקליימקס כזה שמזכיר לנו, שבתחום שלנו אי-אפשר לשקוט על השמרים. שנת 2021 מתחילה ככזאת ששממשיכה באותה המגמה. למקרה שנרדמתם בשבועות האחרונים והתעוררתם רק הרגע: ב-26 לינואר, חוקרים מחברת Qualys פרסמו חולשה שמצאו במנגנון ה-sudo של רוב הפצות הלינוקס המובילות היום בשוק. החולשה CVE-2021-3156 (שקיבלה את השם "Baron Samedit") מנצלת כשל שקיים בקוד שנכנס עוד ביולי 2011! די היסטרי...
 
ואם זה לבד לא מספיק, אז באותו היום, חברת אפל פרסמה פרטים אודות עדכון ששחררה ל-iOS14.4 ול-iPadOS14.4 שבמסגרתו היא תיקנה 3 חולשות, אחת (CVE-2021-1782) בקרנל של מערכות ההפעלה האלה ושתי הנוספות (CVE-2021-1871 ו-CVE-2021-1870) הן למנוע ה-WebKit שלהם.
 
וגם למערכת ההפעלה של Microsoft לא חסר; פורסמו החודש עדכוני אבטחה לשלל כשלים שנמצאו, חלקם הוגדרו כקריטיים, כגון: CVE-2021-1647 (חולשה ב-mpengine.dll - מנוע ניתוח הקבצים של Defender שניצול מוצלח שלה מאפשר RCE), CVE-2021-1648 (PE באמצעות ניצול חולשת Arbitrary Pointer Dereference ב-splWOW64) או CVE-2021-1660 (גם RCE, הפעם במנגנון ה-RPC של כמעט כל מערכות הפעלה הנתמכות של Microsoft כולל Windows 2019).
 
לא מספיק? שלושת החולשות שתוקנו ע"י אפל פורסמו תחת ההודעה ש:
"Apple is aware of a report that this issue may have been actively exploited"
 
וכך גם החולשה במנוע של Defender (אין פרטים על המקרה) ולמעשה גם החולשה ב-splWOW64, דווחה שנה שעברה במסגרת הדו"ח של חברת קספרסקי על "Operation PowerFall" (מתקפה על חברה דרום-קוראנית שבוצעה ע"י קבוצת האקרים The Darkhotel) והחבר'ה של Project Zero, ותוקנה עוד ב-CVE-2020-0986 וכעת נמצא לה מעקף שמאפשר הטרגה של אותו קוד כושל.
 
רוצים עוד? ב-27 לינואר, פורסם ב-The Perl NOC (הבלוג התשתיות של Perl.org) שהדומיין perl[.]com נחטף ע"י האקרים ונכון לכתיבת שורות אלה הדומיין מפנה את הגולשים לכתובת IP שבעבר נצפתה ככזאת שהגישה את הכופרה Locky. בבלוג של השפה מבקשים לא לגלוש לאתר המדובר, שכן אין להם שליטה עליו, ופורט כיצד לעדכן את רשימת מקורות הספריות כך שלא תכלול את האתר הנ"ל.

קיצר... שנת 2020 לא הספיקה, החבר'ה בצד השני לא נחים לרגע וממשיכים לנסות בכל כוח, אז שווה שגם אתם לא, קדימה - לעדכן הכל! :)
וכמובן, איך אפשר בלי להגיד תודה לכל אותם חברים שהשקיעו החודש וכתבו מאמרים איכותיים ביותר, תודה רבה לדניאל אבלס, תודה רבה לשי שביט, תודה רבה לעידו פרנקנטל, תודה רבה לדניאל אבינועם, תודה רבה לבן קורמן ותודה רבה לאביב שבתאי!


 
 
 
      קריאה נעימה,                             
אפיק קסטיאל וניר אדר                        

 
 
החודש, הגליון כולל את המאמרים הבאים: 
  • איך ניתן למנף התקפות Web באמצעות Service Workers? - מאת דניאל אבלס ושי שביט
    דפדפנים מודרניים (כמו Chrome, Firefox וכו׳) מציעים מגוון אפשרויות וכלים למפתחים על מנת לשפר את ביצועיהם, נראתם וחווית המשתמש של אפליקציות ה-Web שלהם. אפשרויות אילו נקראותWeb APIs, והן משמשות אבני בניין לאפליקציות Web מודרניות. במחקר הבא, בחרו דניאל ושי להתמקד ב-Web API ספציפי בשם Service Workers.  ובמאמר זה הם מציגים מספר דרכים בהם תוקף פוטנציאלי יכול לשלב חולשות בדרגת חומרה נמוכה-בינונית ובשילוב עם Service Workers לייצר התקפה משמעותית ורחבה הרבה יותר.

  • פתרון אתגרי ה-Web של אתגר השב"כ 2021 - מאת עידו פרנקנטל
    ב-10.01.2021 עלה לאוויר אתגר ה-CTF של השב"כ. השנה האתגר היה בסגנון Jeopardy, בו לכל אתגר יש מספר מסוים של נקודות לפי רמת הקושי וניתן לקפוץ בין אתגרים וקטגוריות לבחירתך (הקטוגריות היו: Pwn ,AI Research ,Signal Processing ,Reversing ,WEB ו-Data Science). במאמר זה עידו מציג את הפתרונות שלו לשלושת האתגרים בקטגוריית ה-Web. תוך כדי המאמר עידו מסביר את צורת החשיבה שאיתה יש לגשה בעת פתירת אתגרים מסוג זה וכן ומושגים חשובים שעלו במהלך הפתרון.

  • BlackEnergy V.2 - Full Driver Reverse Engineering - מאת דניאל אבינועם, בן קורמן ואביב שבתאי
    בשנת 2008 פורסם Rootkit בשם BlackEnergy אשר לקח חלק במתקפת סייבר ששוגרה נגד מדינת גאורגיה במסגרת הסכסוך הרוסי/גאורגי שהתרחש באותה שנה. במסמך זה, מציגים דניאל, בן ואביב את תהליך החקירה שהם ביצעו ל-Driver של הגרסה השניה של הפוגען שיצאה בשנת 2010, מתוך זיכרון של עמדת קצה נגועה.
 
 
 
 
                                                                    קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל   


תגובות על 'הגליון המאה עשרים ושישה של DigitalWhisper שוחרר!':



#1 

t1 (אורח):
"...מציגים דניאח, בן ואביב..."
התכוונת ל-"...מציגים דניאל, בן ואביב..."
31.01.2021 19:48:48

#2 

cP (אורח):
תוקן, תודה רבה!
31.01.2021 21:52:03

#3 

fit_predict (אורח):
היי אשמח אם מי מהקוראים פתר או מכיר פתרון לאתגר השבכ לDS ומוכן לשתף אותו כאן בתגובות
02.02.2021 23:43:34

#4 

cP (אורח):
ללא התחייבות, אבל ככל הנראה פתרונות לשאר האתגרים יפורסמו בגליון הקרוב :)
03.02.2021 07:11:51

#5 

שמואל (אורח):
משהו משובש בקובץ. הוא לא נפתח
07.02.2021 05:58:20

#6 

cP (אורח):
תודה, תוקן!
07.02.2021 07:35:28

#7 

Max (אורח):
נטחף ע"י האקרים -> נחטף
25.02.2021 12:49:45

#8 

cP (אורח):
תוקן, תודה!
26.02.2021 07:23:16



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2021 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.