Esta semana en seguridad: Tegra Bootjacking, Leaking SSH, And StrandHogg

CVE-2019-5700 es una vulnerabilidad en el cargador de arranque Nvidia Tegra, descubierto por [Ryan Grachek], y que se rompió primero aquí en Digital Lithium. Para entender la vulnerabilidad, primero hay que entender un poco sobre el proceso de arranque de Tegra. Cuando se enciende el dispositivo, un firmware de irom carga la siguiente etapa del proceso de arranque desde la memoria flash del dispositivo, y valida la firma en ese binario. Como un aparte, hemos cubierto una vulnerabilidad similar en ese código de irom llamado selfblow.

En los dispositivos Tegra T4, irom carga un único bootloader.bin, que a su vez arranca la imagen del sistema. La pila de arranque K1 usa una etapa adicional de cargador de arranque, nvtboot, que carga el kernel seguro del sistema operativo antes de entregar el control a bootloader.bin. Los dispositivos posteriores añaden etapas adicionales, pero eso no es importante para entender esto. La vulnerabilidad utiliza una imagen de arranque Android, y la magia ocurre en la cabecera. Parte de esta imagen de arranque es un cargador de arranque opcional de segunda etapa, que se usa muy raramente en la práctica. La cabecera de esta imagen de arranque especifica el tamaño en bytes de cada elemento, así como la ubicación de memoria en la que se cargará ese elemento. De lo que [Ryan] se dio cuenta es que, aunque normalmente se ignora, la información sobre el gestor de arranque de segunda etapa es respetada por el gestor de arranque oficial de Nvidia bootloader.bin, pero no se comprueba ni el tamaño ni la ubicación de memoria. Las imágenes son copiadas a su posición final antes de que la verificación criptográfica ocurra. Como resultado, una imagen de Android puede sobreescribir el código del cargador de arranque en ejecución.

La forma más sencilla de utilizar esta vulnerabilidad es sustituir la rutina de verificación por instrucciones NoOp. Los dispositivos T4 más antiguos copian la imagen de Android antes de que se cargue el SO de confianza, por lo que es posible cargar código sin firmar como imagen del SO seguro. Si quieres profundizar un poco más en los detalles técnicos, [Ryan] ha publicado notas sobre el CVE.

Entonces, ¿qué significa esto para el aficionado? Permite cosas como ejecutar uboot en el equivalente al anillo 0. Permite ejecutar versiones más recientes de Android en dispositivos Tegra una vez que han llegado al final de su vida. Incluso podría ser posible cargar software casero Nintendo Switch en el televisor Nvidia Shield, ya que son piezas de hardware casi idénticas. Hacks como este son una gran ayuda para la comunidad de homebrew y modding.

Ya hemos visto esto antes, y sospecho que este estilo de vulnerabilidad aparecerá en el futuro, especialmente a medida que los dispositivos ARM continúen creciendo en popularidad. Sugiero que esta clase de vulnerabilidad se llame Bootjacking, ya que es un «highjack» del proceso de arranque, así como de las instrucciones de jacking en el cargador de arranque existente.


Certificados de SSH con fugas

Los certificados de SSH son una seria mejora con respecto a las contraseñas simples. Tanto es así, que servicios como Github y Gitlab han comenzado a ordenar claves SSH. Una de las peculiaridades de esos servicios: Cualquiera puede descargar claves públicas de SSH de Github. Cuando un cliente se conecta a un servidor SSH, éste lista las claves a las que tiene acceso, enviando las correspondientes claves públicas. En respuesta, si alguna de esas claves es confiable para el servidor, éste envía una notificación para que el cliente pueda autenticarse con la clave secreta.

[Artem Golubin] notó la potencial fuga de datos, y lo escribió en detalle. Podrías elegir un desarrollador en Github, tomar su clave pública de SSH, y comenzar a revisar los servidores de SSH de cara al público para encontrar dónde se reconoce esa clave pública. Esto parece estar integrado en el propio protocolo SSH, en lugar de ser sólo una peculiaridad de la implementación. Este no es el tipo de falla que puede ser convertida en un gusano, o que comprometerá directamente a un servidor, pero es una interesante herramienta de recolección de información.


HackerOne Exposed

HackerOne es un servicio que representa a un grupo de empresas de tecnología. Recientemente anunciaron que se había encontrado una vulnerabilidad en la propia infraestructura de HackerOne. Un investigador de seguridad que utiliza la plataforma, [Haxta4ok00], recibió accidentalmente la clave de sesión de un empleado durante un vaivén sobre un informe de error no relacionado, y descubrió que la clave de sesión le permitía acceder a la infraestructura de HackerOne con los mismos permisos que el empleado.

El secuestro de claves de sesión no es un problema nuevo; es uno de los ataques que condujo al enfoque HTTPS en todas partes que vemos hoy en día. Una vez que un usuario se ha autentificado en un sitio web, ¿cómo se «pega» esa autenticación al usuario? Enviar un nombre de usuario y una contraseña con cada carga de la página no es una gran idea. La solución es la clave de sesión. Una vez que un usuario se autentica, el servidor genera una larga cadena aleatoria, y la pasa de nuevo al navegador. Esta cadena es el token acordado que autentica a ese usuario para toda la comunicación posterior, hasta que se alcanza un límite de tiempo, o el token es invalidado por otra razón.

No hace mucho tiempo, la mayoría de los servicios web sólo utilizaban conexiones HTTPS para el inicio de sesión del usuario, y volvían a utilizar conexiones no cifradas para la mayor parte de la transferencia de datos. Esta clave de sesión formaba parte de la carga útil sin cifrar, y si podía ser capturada, un atacante podía secuestrar la sesión legítima y actuar como el usuario. La extensión del navegador Firesheep dejó claro lo fácil que era llevar a cabo este ataque, y empujó a muchos servicios a arreglar finalmente el problema a través de conexiones HTTPS de tiempo completo.

HTTPS en todas partes es un gran paso adelante para prevenir el secuestro de sesiones, pero como se ha visto en HackerOne, no cubre todos los casos. El empleado de HackerOne estaba usando una clave de sesión válida como parte de una línea de comandos curl, y accidentalmente la incluyó en una respuesta. [Haxta4ok00] notó la clave, y rápidamente confirmó lo que era, y que le permitía acceder a la infraestructura interna de HackerOne.

La fuga fue reportada y la llave fue rápidamente revocada. Debido a que se filtró en un informe privado, sólo [Haxta4ok00] tuvo acceso. Dicho esto, se accedió a varios otros informes privados de vulnerabilidad. Vale la pena mencionar que HackerOne manejó esto tan bien como pudo, otorgando 20.000 dólares por el informe. Actualizaron sus directrices para los investigadores y ahora restringen esas claves de sesión a la dirección IP que las generó.

Via Ars Technica


StrandHogg

Una de las historias más notables de la semana pasada fue la de Android y las aplicaciones maliciosas que se hacen pasar por legítimas. StrandHogg ha sido explotado de una forma u otra desde 2017, y fue teorizado por primera vez en un documento de Usenix a partir de 2015. En cierto modo, es un ataque extremadamente simple, pero hace algunas cosas muy ingeniosas.

Entonces, ¿cómo funciona? Una vez instalada, una aplicación maliciosa se ejecuta en segundo plano esperando a que se inicie una aplicación de destino. Una vez que la aplicación de destino es detectada, la aplicación maliciosa salta al primer plano, disfrazada como el objetivo. A partir de aquí, un ataque de phishing es trivial. Sin embargo, más interesante es el ataque de permisos. Su aplicación benigna parece solicitar permisos del sistema de archivos, permisos de cámara, etc. No es evidente de inmediato que la aplicación maliciosa es la que realmente está solicitando permisos.

La única vulnerabilidad real aquí parece ser la capacidad de una aplicación maliciosa de renombrarse y «repararse» a sí misma, con el fin de simular ser parte de la aplicación objetivo. Ten en cuenta que al menos en las ventanas emergentes de permisos, el nombre de la aplicación solicitante está en blanco durante un ataque StrandHogg.


Pago sin contacto

Los pagos sin contacto parecen mágicos la primera vez que los ves. Sólo tienes que pasar una tarjeta o un dispositivo móvil compatible por el terminal de pago y el pago se realiza a través de NFC. Ya que estás leyendo esta columna, es seguro asumir que rápidamente después de que ese primer momento de asombro desaparezca, empiezas a preguntarte cómo se hace todo esto de forma segura. Eso es lo que [Leigh-Anne Galloway] y [Tim Yunusov] también querían saber. Acaban de publicar su investigación y se las arreglaron para encontrar varios trucos desagradables. Un sombrero de hojalata puede ser una exageración, pero tal vez sea hora de invertir en una cartera de bloqueo de la NFC.

Manipularon los datos en tránsito, lo que permitió realizar pagos mucho más grandes sin necesidad de introducir un PIN, realizaron compras a través de un proxy NFC e incluso ilustraron un práctico ataque pre-pago en el que se podía leer una tarjeta, realizar una transacción falsa y luego reproducir esa transacción falsa para un terminal de pago real.


¿Regresa Superfish?

Twitter es un lugar fascinante. A veces las simples observaciones resultan ser CVEs. Una interacción interesante tuvo lugar cuando [SwiftOnSecurity] señaló un extraño nombre DNS, «atlassian-domain-for-localhost-connectionss-only.com», con la descripción de que permitía una conexión HTTPS segura a un servicio que se ejecutaba en localhost. Nuestro amigo del Proyecto Cero de Google, [Tavis Ormandy], señaló que un certificado https válido instalado en localhost significa que Atlassian debe enviar un certificado privado para ese nombre de dominio como parte de su software. Siga el enlace, y usted también puede alojar este extraño dominio con un certificado HTTPS válido.

Esto es una mala idea por varias razones, pero no es lo peor que podría pasar. El peor escenario para este estilo de error probablemente pertenece a Superfish. En 2014 se preinstaló un programa de adware con un nombre muy apropiado en muchas máquinas de Lenovo, con la útil función de mostrarle anuncios más personalizados. Para ello, el software simplemente añadió su propia información de autoridad de certificación al paquete de CA de confianza del sistema… y envió el certificado y la clave privados junto con el software. Sí, ha leído bien, cualquier certificado HTTPS puede ser perfectamente falsificado por un usuario de Lenovo.

Al observar el dominio Atlassian, otro usuario observó que el software Aspera de IBM tenía un dominio y un certificado de host local similar. De acuerdo con [Tavis], ese software también incluye un certificado y una clave de CA completos. Si una iteración del software de IBM realmente añadió esa CA a la confianza de la raíz de un sistema, entonces es otro súper pez: Cualquier certificación HTTPS podría ser falsificada con éxito.

El Festival RepRap de la Costa Este cobra vida en su segundo año

El Festival RepRap de la Costa Este cobra vida en su segundo año

Por casi cualquier medida que usted se preocupe por usar, el Festival de RepRap de la Costa Este (ERRF) inaugural ...
Leer Más
Construcción de un panel frontal para el ordenador RC2014

Construcción de un panel frontal para el ordenador RC2014

El RC2014 es un ingenioso kit de ordenador Z80 que ha adornado estas páginas varias veces en el pasado. Permite ...
Leer Más
El reloj de la fecha no requiere (casi) ninguna interacción

El reloj de la fecha no requiere (casi) ninguna interacción

Muchas ofertas comerciales de tecnología dirigida a ayudar a los ancianos parecen hacer un buen trabajo en la superficie, pero ...
Leer Más
Insecto robot sobrevive al aplastamiento

Insecto robot sobrevive al aplastamiento

Hay un viejo refrán que dice que "la mano es más rápida que el ojo, pero algo más lenta que ...
Leer Más
Impresión de inyección de tinta en el barato con un sistema de tinta continua

Impresión de inyección de tinta en el barato con un sistema de tinta continua

Las impresoras de inyección de tinta son baratas de comprar, pero caras de usar. Los cartuchos de repuesto pueden costar ...
Leer Más
La cocina de código abierto le ayuda a vigilar lo que come

La cocina de código abierto le ayuda a vigilar lo que come

Cada negocio de electrodomésticos quiere ser el que invente el estándar patentado, licenciable y rentable que todas las demás empresas ...
Leer Más
Linux Fu: Depuración de los scripts de bash

Linux Fu: Depuración de los scripts de bash

Un reciente post sobre la depuración de construcciones me sorprendió. Hubo bastantes comentarios sobre cómo no necesitabas un depurador, siempre ...
Leer Más
Cómo ejecutar aplicaciones de ML en hardware de partículas

Cómo ejecutar aplicaciones de ML en hardware de partículas

Con el lanzamiento de TensorFlow Lite en Google I/O 2019, la biblioteca de aprendizaje de máquinas accesible ya no se ...
Leer Más
Intercambio de las ROMs en armarios de mini arcadas

Intercambio de las ROMs en armarios de mini arcadas

Probablemente haya visto algunos de estos juegos de arcade en miniatura en línea o en grandes tiendas: por unos 20 ...
Leer Más
Hoja de cálculo del DSP: Hablar con uno mismo usando IQ

Hoja de cálculo del DSP: Hablar con uno mismo usando IQ

Hemos hecho bastante con Google Sheets y el procesamiento de señales: hemos generado señales, creado filtros y calculado señales de ...
Leer Más
Hackaday Links: 8 de diciembre de 2019

Hackaday Links: 8 de diciembre de 2019

Ahora que ha pasado noviembre de 2019, es una pena que algunas de las predicciones hechas en Blade Runner para ...
Leer Más
El escudo de aislamiento del micrófono es un gran "hack" de IKEA; definitivamente no es un huevo de Xenomorfo

El escudo de aislamiento del micrófono es un gran «hack» de IKEA; definitivamente no es un huevo de Xenomorfo

Como cualquier creador de contenidos sabe, un buen audio es la clave para mantener una audiencia. Tener un micrófono de ...
Leer Más
Reemplazo de un teclado de computadora portátil no reemplazable

Reemplazo de un teclado de computadora portátil no reemplazable

Derramar una bebida en un portátil es una experiencia aterradora. Si tiene suerte, arruinará sólo un teclado, y si no, ...
Leer Más
Charla de Supercon: Emily Velasco quiere que trabajes raro

Charla de Supercon: Emily Velasco quiere que trabajes raro

Emily Velasco parece deleitarse absolutamente con lo raro, y creemos que eso es maravilloso. Lo raro nos une. Si puedes ...
Leer Más
La impresora de línea hace su mejor impresión de teletipo

La impresora de línea hace su mejor impresión de teletipo

En los primeros días de la computación, las terminales de usuario utilizaban impresoras de línea para la salida. Naturalmente, esto ...
Leer Más
La historia del aceleramiento: Metal Mercurial

La historia del aceleramiento: Metal Mercurial

De todos los metales conocidos, el mercurio es probablemente uno de los más famosos, aunque sólo sea por su forma ...
Leer Más
El Interruptor de Nintendo funciona también como interruptor de red

El Interruptor de Nintendo funciona también como interruptor de red

Viniendo directamente a ti desde el "Departamento de Redundancias" viene este ingenioso hack que convierte un Switch en un switch ...
Leer Más
Escher: Etch-a-Sketch como servicio

Escher: Etch-a-Sketch como servicio

Para bien o para mal, el mundo de la tecnología se ha comprometido plenamente a empujar tantos de sus productos ...
Leer Más
Un desgarro de magnetrón

Un desgarro de magnetrón

Los hornos de microondas están en todas partes, y en el corazón de ellos hay un magnetrón - un dispositivo ...
Leer Más
Te veo en el lado oscuro de la luna: Observatorio de la Radio Lunar de China

Te veo en el lado oscuro de la luna: Observatorio de la Radio Lunar de China

Durante casi todo el tiempo que ha habido radio, ha habido antenas entrenadas en el cielo, mirando el universo de ...
Leer Más
Las simples placas de acrílico hacen que la fotografía de Kirlian sea una brisa

Las simples placas de acrílico hacen que la fotografía de Kirlian sea una brisa

Lo sabemos, lo sabemos - "Fotografía Kirlian" es un término cargado de bagaje pseudocientífico. Los investigadores de lo paranormal han ...
Leer Más
Restaurando un radio de garganta dorada de 1949

Restaurando un radio de garganta dorada de 1949

El Sr. Carlson tiene una hermosa radio antigua de 1949 que debe restaurar y pueden verlo hacerlo en un video ...
Leer Más
Hackaday Links: 22 de diciembre de 2019

Hackaday Links: 22 de diciembre de 2019

Es difícil de creer, pero el Raspberry PI ha estado en el mercado por sólo siete años. El ordenador monoplaca ...
Leer Más
La antigua tarjeta WAN de Cisco se convirtió en un patio de recreo FPGA

La antigua tarjeta WAN de Cisco se convirtió en un patio de recreo FPGA

Muchos de nosotros pensamos que las FPGAs son una nueva tecnología de vanguardia, pero el hecho es que existen desde ...
Leer Más
Hackaday Links: 15 de diciembre de 2019

Hackaday Links: 15 de diciembre de 2019

Cuando tienes razón, tienes razón. En enero, predijimos que los exoesqueletos estaban a punto de estallar como producto principal, y ...
Leer Más
Rápido y sucio: Operar un intercomunicador vía telegrama

Rápido y sucio: Operar un intercomunicador vía telegrama

Nunca subestimes el rápido y sucio hackeo. Es muy satisfactorio resolver rápidamente un problema real con cualquier cosa que tengas ...
Leer Más
Circuito DIYEl cerebro de una pitón serpentea en espacios pequeños

Circuito DIYEl cerebro de una pitón serpentea en espacios pequeños

Tanto si eres nuevo en la electrónica y la programación, como si te has dedicado al metal desnudo mucho antes ...
Leer Más
Supercon: Las cosas que trajiste, y algunas que olvidaste

Supercon: Las cosas que trajiste, y algunas que olvidaste

Parte de la diversión de Supercon es que hay tanto disponible en un solo lugar. Por el precio de la ...
Leer Más
Alimentación de filamentos y electrones a través de un conector D-Sub personalizado

Alimentación de filamentos y electrones a través de un conector D-Sub personalizado

A veces olvidamos que las impresoras 3D son sólo plataformas CNC con un hotend acoplado, y que hay toda una ...
Leer Más
¡Jackpot!: Las pruebas y tribulaciones de convertir una tragaperras en un cajero automático

¡Jackpot!: Las pruebas y tribulaciones de convertir una tragaperras en un cajero automático

¿Alguna vez has deseado que las máquinas tragaperras dispensen dinero tan fácilmente como un cajero automático? Bueno, también lo deseaba ...
Leer Más

Deja un comentario