Esta semana en seguridad: Tegra Bootjacking, Leaking SSH, And StrandHogg

CVE-2019-5700 es una vulnerabilidad en el cargador de arranque Nvidia Tegra, descubierto por [Ryan Grachek], y que se rompió primero aquí en Digital Lithium. Para entender la vulnerabilidad, primero hay que entender un poco sobre el proceso de arranque de Tegra. Cuando se enciende el dispositivo, un firmware de irom carga la siguiente etapa del proceso de arranque desde la memoria flash del dispositivo, y valida la firma en ese binario. Como un aparte, hemos cubierto una vulnerabilidad similar en ese código de irom llamado selfblow.

En los dispositivos Tegra T4, irom carga un único bootloader.bin, que a su vez arranca la imagen del sistema. La pila de arranque K1 usa una etapa adicional de cargador de arranque, nvtboot, que carga el kernel seguro del sistema operativo antes de entregar el control a bootloader.bin. Los dispositivos posteriores añaden etapas adicionales, pero eso no es importante para entender esto. La vulnerabilidad utiliza una imagen de arranque Android, y la magia ocurre en la cabecera. Parte de esta imagen de arranque es un cargador de arranque opcional de segunda etapa, que se usa muy raramente en la práctica. La cabecera de esta imagen de arranque especifica el tamaño en bytes de cada elemento, así como la ubicación de memoria en la que se cargará ese elemento. De lo que [Ryan] se dio cuenta es que, aunque normalmente se ignora, la información sobre el gestor de arranque de segunda etapa es respetada por el gestor de arranque oficial de Nvidia bootloader.bin, pero no se comprueba ni el tamaño ni la ubicación de memoria. Las imágenes son copiadas a su posición final antes de que la verificación criptográfica ocurra. Como resultado, una imagen de Android puede sobreescribir el código del cargador de arranque en ejecución.

La forma más sencilla de utilizar esta vulnerabilidad es sustituir la rutina de verificación por instrucciones NoOp. Los dispositivos T4 más antiguos copian la imagen de Android antes de que se cargue el SO de confianza, por lo que es posible cargar código sin firmar como imagen del SO seguro. Si quieres profundizar un poco más en los detalles técnicos, [Ryan] ha publicado notas sobre el CVE.

Entonces, ¿qué significa esto para el aficionado? Permite cosas como ejecutar uboot en el equivalente al anillo 0. Permite ejecutar versiones más recientes de Android en dispositivos Tegra una vez que han llegado al final de su vida. Incluso podría ser posible cargar software casero Nintendo Switch en el televisor Nvidia Shield, ya que son piezas de hardware casi idénticas. Hacks como este son una gran ayuda para la comunidad de homebrew y modding.

Ya hemos visto esto antes, y sospecho que este estilo de vulnerabilidad aparecerá en el futuro, especialmente a medida que los dispositivos ARM continúen creciendo en popularidad. Sugiero que esta clase de vulnerabilidad se llame Bootjacking, ya que es un «highjack» del proceso de arranque, así como de las instrucciones de jacking en el cargador de arranque existente.


Certificados de SSH con fugas

Los certificados de SSH son una seria mejora con respecto a las contraseñas simples. Tanto es así, que servicios como Github y Gitlab han comenzado a ordenar claves SSH. Una de las peculiaridades de esos servicios: Cualquiera puede descargar claves públicas de SSH de Github. Cuando un cliente se conecta a un servidor SSH, éste lista las claves a las que tiene acceso, enviando las correspondientes claves públicas. En respuesta, si alguna de esas claves es confiable para el servidor, éste envía una notificación para que el cliente pueda autenticarse con la clave secreta.

[Artem Golubin] notó la potencial fuga de datos, y lo escribió en detalle. Podrías elegir un desarrollador en Github, tomar su clave pública de SSH, y comenzar a revisar los servidores de SSH de cara al público para encontrar dónde se reconoce esa clave pública. Esto parece estar integrado en el propio protocolo SSH, en lugar de ser sólo una peculiaridad de la implementación. Este no es el tipo de falla que puede ser convertida en un gusano, o que comprometerá directamente a un servidor, pero es una interesante herramienta de recolección de información.


HackerOne Exposed

HackerOne es un servicio que representa a un grupo de empresas de tecnología. Recientemente anunciaron que se había encontrado una vulnerabilidad en la propia infraestructura de HackerOne. Un investigador de seguridad que utiliza la plataforma, [Haxta4ok00], recibió accidentalmente la clave de sesión de un empleado durante un vaivén sobre un informe de error no relacionado, y descubrió que la clave de sesión le permitía acceder a la infraestructura de HackerOne con los mismos permisos que el empleado.

El secuestro de claves de sesión no es un problema nuevo; es uno de los ataques que condujo al enfoque HTTPS en todas partes que vemos hoy en día. Una vez que un usuario se ha autentificado en un sitio web, ¿cómo se «pega» esa autenticación al usuario? Enviar un nombre de usuario y una contraseña con cada carga de la página no es una gran idea. La solución es la clave de sesión. Una vez que un usuario se autentica, el servidor genera una larga cadena aleatoria, y la pasa de nuevo al navegador. Esta cadena es el token acordado que autentica a ese usuario para toda la comunicación posterior, hasta que se alcanza un límite de tiempo, o el token es invalidado por otra razón.

No hace mucho tiempo, la mayoría de los servicios web sólo utilizaban conexiones HTTPS para el inicio de sesión del usuario, y volvían a utilizar conexiones no cifradas para la mayor parte de la transferencia de datos. Esta clave de sesión formaba parte de la carga útil sin cifrar, y si podía ser capturada, un atacante podía secuestrar la sesión legítima y actuar como el usuario. La extensión del navegador Firesheep dejó claro lo fácil que era llevar a cabo este ataque, y empujó a muchos servicios a arreglar finalmente el problema a través de conexiones HTTPS de tiempo completo.

HTTPS en todas partes es un gran paso adelante para prevenir el secuestro de sesiones, pero como se ha visto en HackerOne, no cubre todos los casos. El empleado de HackerOne estaba usando una clave de sesión válida como parte de una línea de comandos curl, y accidentalmente la incluyó en una respuesta. [Haxta4ok00] notó la clave, y rápidamente confirmó lo que era, y que le permitía acceder a la infraestructura interna de HackerOne.

La fuga fue reportada y la llave fue rápidamente revocada. Debido a que se filtró en un informe privado, sólo [Haxta4ok00] tuvo acceso. Dicho esto, se accedió a varios otros informes privados de vulnerabilidad. Vale la pena mencionar que HackerOne manejó esto tan bien como pudo, otorgando 20.000 dólares por el informe. Actualizaron sus directrices para los investigadores y ahora restringen esas claves de sesión a la dirección IP que las generó.

Via Ars Technica


StrandHogg

Una de las historias más notables de la semana pasada fue la de Android y las aplicaciones maliciosas que se hacen pasar por legítimas. StrandHogg ha sido explotado de una forma u otra desde 2017, y fue teorizado por primera vez en un documento de Usenix a partir de 2015. En cierto modo, es un ataque extremadamente simple, pero hace algunas cosas muy ingeniosas.

Entonces, ¿cómo funciona? Una vez instalada, una aplicación maliciosa se ejecuta en segundo plano esperando a que se inicie una aplicación de destino. Una vez que la aplicación de destino es detectada, la aplicación maliciosa salta al primer plano, disfrazada como el objetivo. A partir de aquí, un ataque de phishing es trivial. Sin embargo, más interesante es el ataque de permisos. Su aplicación benigna parece solicitar permisos del sistema de archivos, permisos de cámara, etc. No es evidente de inmediato que la aplicación maliciosa es la que realmente está solicitando permisos.

La única vulnerabilidad real aquí parece ser la capacidad de una aplicación maliciosa de renombrarse y «repararse» a sí misma, con el fin de simular ser parte de la aplicación objetivo. Ten en cuenta que al menos en las ventanas emergentes de permisos, el nombre de la aplicación solicitante está en blanco durante un ataque StrandHogg.


Pago sin contacto

Los pagos sin contacto parecen mágicos la primera vez que los ves. Sólo tienes que pasar una tarjeta o un dispositivo móvil compatible por el terminal de pago y el pago se realiza a través de NFC. Ya que estás leyendo esta columna, es seguro asumir que rápidamente después de que ese primer momento de asombro desaparezca, empiezas a preguntarte cómo se hace todo esto de forma segura. Eso es lo que [Leigh-Anne Galloway] y [Tim Yunusov] también querían saber. Acaban de publicar su investigación y se las arreglaron para encontrar varios trucos desagradables. Un sombrero de hojalata puede ser una exageración, pero tal vez sea hora de invertir en una cartera de bloqueo de la NFC.

Manipularon los datos en tránsito, lo que permitió realizar pagos mucho más grandes sin necesidad de introducir un PIN, realizaron compras a través de un proxy NFC e incluso ilustraron un práctico ataque pre-pago en el que se podía leer una tarjeta, realizar una transacción falsa y luego reproducir esa transacción falsa para un terminal de pago real.


¿Regresa Superfish?

Twitter es un lugar fascinante. A veces las simples observaciones resultan ser CVEs. Una interacción interesante tuvo lugar cuando [SwiftOnSecurity] señaló un extraño nombre DNS, «atlassian-domain-for-localhost-connectionss-only.com», con la descripción de que permitía una conexión HTTPS segura a un servicio que se ejecutaba en localhost. Nuestro amigo del Proyecto Cero de Google, [Tavis Ormandy], señaló que un certificado https válido instalado en localhost significa que Atlassian debe enviar un certificado privado para ese nombre de dominio como parte de su software. Siga el enlace, y usted también puede alojar este extraño dominio con un certificado HTTPS válido.

Esto es una mala idea por varias razones, pero no es lo peor que podría pasar. El peor escenario para este estilo de error probablemente pertenece a Superfish. En 2014 se preinstaló un programa de adware con un nombre muy apropiado en muchas máquinas de Lenovo, con la útil función de mostrarle anuncios más personalizados. Para ello, el software simplemente añadió su propia información de autoridad de certificación al paquete de CA de confianza del sistema… y envió el certificado y la clave privados junto con el software. Sí, ha leído bien, cualquier certificado HTTPS puede ser perfectamente falsificado por un usuario de Lenovo.

Al observar el dominio Atlassian, otro usuario observó que el software Aspera de IBM tenía un dominio y un certificado de host local similar. De acuerdo con [Tavis], ese software también incluye un certificado y una clave de CA completos. Si una iteración del software de IBM realmente añadió esa CA a la confianza de la raíz de un sistema, entonces es otro súper pez: Cualquier certificación HTTPS podría ser falsificada con éxito.

IRENE va por ahí

IRENE va por ahí

Los equipos de lapso de tiempo son increíbles porque puedes darle sabor a tus vídeos con tomas de lapso de ...
Leer Más
Superconferencia Hackaday: Un ingeniero analógico se sumerge en la radiofrecuencia

Superconferencia Hackaday: Un ingeniero analógico se sumerge en la radiofrecuencia

Aquellos de nosotros que trabajamos con la electrónica normalmente llegamos al arte a través de una vía particular que dominamos ...
Leer Más
Motorizar un cortador de plasma en el barato

Motorizar un cortador de plasma en el barato

Un cortador de plasma manual es una excelente herramienta para tener si usted está trabajando con láminas de metal, pero ...
Leer Más
Justo a tiempo para la Navidad: Prototipo de Apple Macintosh en venta

Justo a tiempo para la Navidad: Prototipo de Apple Macintosh en venta

Nos encanta un poco de retrotecnología en nuestro espacio de trabajo. Pero tenemos que admitir que este año queremos encontrar ...
Leer Más
Nuevo día de la fiesta: El transistor Bizen

Nuevo día de la fiesta: El transistor Bizen

Si tuviéramos un dólar por cada nuevo y excitante aparato que promete cambiarlo todo pero del que nunca oímos hablar ...
Leer Más
La réplica del paquete de protones es una gran construcción de Halloween

La réplica del paquete de protones es una gran construcción de Halloween

En 1984, los Cazafantasmas defendieron a la ciudad de Nueva York de un ataque de fenómenos sobrenaturales. En su honor, ...
Leer Más
John McMaster explica las teclas del teléfono con ignición por criptografía y cómo reproducirlas

John McMaster explica las teclas del teléfono con ignición por criptografía y cómo reproducirlas

Cuando eres una nación estado, las comunicaciones seguras son clave para proteger tu soberanía y mantener tus mejores planes en ...
Leer Más
Anillo del Amazonas: Vecinos filtran datos sobre sus vecinos

Anillo del Amazonas: Vecinos filtran datos sobre sus vecinos

Desde hace un tiempo han estado circulando una serie de historias sobre el timbre de la puerta de Amazon, una ...
Leer Más
David Williams es "FPGA-Curioso"

David Williams es «FPGA-Curioso»

Por si no lo habéis notado, en la Superconferencia de este año tuvimos un tema un poco más de FPGA ...
Leer Más
El rediseño ordenado de la placa utiliza PCBs flexibles, sin cables

El rediseño ordenado de la placa utiliza PCBs flexibles, sin cables

El retrabajo del PCB con el propósito de arreglar problemas de diseño desafortunados tiende a involucrar ciertas cosas: alambres delgados ...
Leer Más
La mímica emplea con arte los LEDs en la moda

La mímica emplea con arte los LEDs en la moda

Cualquier pieza de ciencia ficción ambientada en el futuro cercano implica ropa que se ilumina o que tiene algún tipo ...
Leer Más
El escudo de aislamiento del micrófono es un gran "hack" de IKEA; definitivamente no es un huevo de Xenomorfo

El escudo de aislamiento del micrófono es un gran «hack» de IKEA; definitivamente no es un huevo de Xenomorfo

Como cualquier creador de contenidos sabe, un buen audio es la clave para mantener una audiencia. Tener un micrófono de ...
Leer Más
La lámpara del globo sigue la ISS por ti

La lámpara del globo sigue la ISS por ti

Suponiendo que no trabaje en una agencia espacial importante, es probable que no necesite saber en todo momento la ubicación ...
Leer Más
The Boxy All-In-One Nintendo 64 Tu yo de los años 90 siempre se ha buscado

The Boxy All-In-One Nintendo 64 Tu yo de los años 90 siempre se ha buscado

En 1997, lo más probable es que si no tenías una Nintendo 64, la querías. (No importa que los juegos ...
Leer Más
Tutorial de FreeCAD TechDraw Workbench

Tutorial de FreeCAD TechDraw Workbench

FreeCAD comenzó un poco inestable, pero ha ido mejorando cada vez más. Si está intentando dibujar un esquema, probablemente no ...
Leer Más
Reemplazo de un teclado de computadora portátil no reemplazable

Reemplazo de un teclado de computadora portátil no reemplazable

Derramar una bebida en un portátil es una experiencia aterradora. Si tiene suerte, arruinará sólo un teclado, y si no, ...
Leer Más
Un árbol pequeño es un termómetro para la fiebre de Navidad

Un árbol pequeño es un termómetro para la fiebre de Navidad

¿Cansado de los métodos habituales para animar todos esos LEDs RGB para su pantalla de vacaciones? ¿Qué tal si utiliza ...
Leer Más
194 La bola LED es una soldadura de forma libre en otro nivel

194 La bola LED es una soldadura de forma libre en otro nivel

Todos hemos visto muchas soldaduras de forma libre impresionantes en estas páginas, tal vez algunos de nosotros incluso lo hemos ...
Leer Más
Esta semana en seguridad: Más información sobre WhatsApp, Nextcry, Hover To Crash y Android Permissions Bypass

Esta semana en seguridad: Más información sobre WhatsApp, Nextcry, Hover To Crash y Android Permissions Bypass

Hay otro fallo de WhatsApp, pero en lugar de GIF maliciosos, esta vez se trata de archivos mp4 maliciosos. Facebook ...
Leer Más
Agora, un reloj de papel electrónico que se puede piratear

Agora, un reloj de papel electrónico que se puede piratear

[Daniel Zilinec] aprecia la estética del e-paper y pensó que sería un gran reloj. La apariencia natural del e-paper ciertamente ...
Leer Más
Un caso impreso para sus sensores ambientales ESP

Un caso impreso para sus sensores ambientales ESP

Ya lo hemos dicho antes pero vale la pena repetirlo: enrollar tu propia solución de hardware es ridículamente fácil en ...
Leer Más
Emulador de la unidad de cinta Commodore en una Raspberry Pi

Emulador de la unidad de cinta Commodore en una Raspberry Pi

Nos imaginamos que la mayoría de la gente que lee Digital Lithium tiene un viejo Raspberry PI o dos tirados ...
Leer Más
Posible quinta fuerza de la naturaleza encontrada

Posible quinta fuerza de la naturaleza encontrada

A lo largo de los años, los humanos han creado cuatro fuerzas que pueden ser utilizadas para describir cada interacción ...
Leer Más
Control de los temblores en el momento en que ocurren

Control de los temblores en el momento en que ocurren

Algunos trastornos neurológicos, como el mal de Parkinson, pueden causar temblores musculares que pueden empeorar con el paso del tiempo ...
Leer Más
Weird World Of Microwaves Hack Chat

Weird World Of Microwaves Hack Chat

Únase a nosotros el miércoles 18 de diciembre al mediodía en el Pacífico para el Weird World of Microwaves Hack ...
Leer Más
Sistemas de archivos para dispositivos pequeños

Sistemas de archivos para dispositivos pequeños

A veces se construye un ordenador y se utiliza todos los días. A veces se construye un tipo diferente de ...
Leer Más
Aprenda técnicas de purificación de agua con este kit de aprendizaje STEM

Aprenda técnicas de purificación de agua con este kit de aprendizaje STEM

Vemos muchos grandes proyectos de educación STEM. Estos proyectos tienen una forma de convertirse en algo mucho más grande. ¿Cuántos ...
Leer Más
Construyendo un falso ordenador portátil retro

Construyendo un falso ordenador portátil retro

El portátil moderno tiene sus orígenes a mediados y finales de la década de 1980, cuando la reducción del hardware ...
Leer Más
Charla de Supercon: Emily Velasco quiere que trabajes raro

Charla de Supercon: Emily Velasco quiere que trabajes raro

Emily Velasco parece deleitarse absolutamente con lo raro, y creemos que eso es maravilloso. Lo raro nos une. Si puedes ...
Leer Más
La cosechadora solar al aire libre mejorada ahora maneja todas las piezas

La cosechadora solar al aire libre mejorada ahora maneja todas las piezas

La cosechadora solar impresa en 3D de [Vadim Panov] es en efecto una batería recargable para exteriores, y el verdadero ...
Leer Más

Deja un comentario