Esta semana en seguridad: Tegra Bootjacking, Leaking SSH, And StrandHogg

CVE-2019-5700 es una vulnerabilidad en el cargador de arranque Nvidia Tegra, descubierto por [Ryan Grachek], y que se rompió primero aquí en Digital Lithium. Para entender la vulnerabilidad, primero hay que entender un poco sobre el proceso de arranque de Tegra. Cuando se enciende el dispositivo, un firmware de irom carga la siguiente etapa del proceso de arranque desde la memoria flash del dispositivo, y valida la firma en ese binario. Como un aparte, hemos cubierto una vulnerabilidad similar en ese código de irom llamado selfblow.

En los dispositivos Tegra T4, irom carga un único bootloader.bin, que a su vez arranca la imagen del sistema. La pila de arranque K1 usa una etapa adicional de cargador de arranque, nvtboot, que carga el kernel seguro del sistema operativo antes de entregar el control a bootloader.bin. Los dispositivos posteriores añaden etapas adicionales, pero eso no es importante para entender esto. La vulnerabilidad utiliza una imagen de arranque Android, y la magia ocurre en la cabecera. Parte de esta imagen de arranque es un cargador de arranque opcional de segunda etapa, que se usa muy raramente en la práctica. La cabecera de esta imagen de arranque especifica el tamaño en bytes de cada elemento, así como la ubicación de memoria en la que se cargará ese elemento. De lo que [Ryan] se dio cuenta es que, aunque normalmente se ignora, la información sobre el gestor de arranque de segunda etapa es respetada por el gestor de arranque oficial de Nvidia bootloader.bin, pero no se comprueba ni el tamaño ni la ubicación de memoria. Las imágenes son copiadas a su posición final antes de que la verificación criptográfica ocurra. Como resultado, una imagen de Android puede sobreescribir el código del cargador de arranque en ejecución.

La forma más sencilla de utilizar esta vulnerabilidad es sustituir la rutina de verificación por instrucciones NoOp. Los dispositivos T4 más antiguos copian la imagen de Android antes de que se cargue el SO de confianza, por lo que es posible cargar código sin firmar como imagen del SO seguro. Si quieres profundizar un poco más en los detalles técnicos, [Ryan] ha publicado notas sobre el CVE.

Entonces, ¿qué significa esto para el aficionado? Permite cosas como ejecutar uboot en el equivalente al anillo 0. Permite ejecutar versiones más recientes de Android en dispositivos Tegra una vez que han llegado al final de su vida. Incluso podría ser posible cargar software casero Nintendo Switch en el televisor Nvidia Shield, ya que son piezas de hardware casi idénticas. Hacks como este son una gran ayuda para la comunidad de homebrew y modding.

Ya hemos visto esto antes, y sospecho que este estilo de vulnerabilidad aparecerá en el futuro, especialmente a medida que los dispositivos ARM continúen creciendo en popularidad. Sugiero que esta clase de vulnerabilidad se llame Bootjacking, ya que es un «highjack» del proceso de arranque, así como de las instrucciones de jacking en el cargador de arranque existente.


Certificados de SSH con fugas

Los certificados de SSH son una seria mejora con respecto a las contraseñas simples. Tanto es así, que servicios como Github y Gitlab han comenzado a ordenar claves SSH. Una de las peculiaridades de esos servicios: Cualquiera puede descargar claves públicas de SSH de Github. Cuando un cliente se conecta a un servidor SSH, éste lista las claves a las que tiene acceso, enviando las correspondientes claves públicas. En respuesta, si alguna de esas claves es confiable para el servidor, éste envía una notificación para que el cliente pueda autenticarse con la clave secreta.

[Artem Golubin] notó la potencial fuga de datos, y lo escribió en detalle. Podrías elegir un desarrollador en Github, tomar su clave pública de SSH, y comenzar a revisar los servidores de SSH de cara al público para encontrar dónde se reconoce esa clave pública. Esto parece estar integrado en el propio protocolo SSH, en lugar de ser sólo una peculiaridad de la implementación. Este no es el tipo de falla que puede ser convertida en un gusano, o que comprometerá directamente a un servidor, pero es una interesante herramienta de recolección de información.


HackerOne Exposed

HackerOne es un servicio que representa a un grupo de empresas de tecnología. Recientemente anunciaron que se había encontrado una vulnerabilidad en la propia infraestructura de HackerOne. Un investigador de seguridad que utiliza la plataforma, [Haxta4ok00], recibió accidentalmente la clave de sesión de un empleado durante un vaivén sobre un informe de error no relacionado, y descubrió que la clave de sesión le permitía acceder a la infraestructura de HackerOne con los mismos permisos que el empleado.

El secuestro de claves de sesión no es un problema nuevo; es uno de los ataques que condujo al enfoque HTTPS en todas partes que vemos hoy en día. Una vez que un usuario se ha autentificado en un sitio web, ¿cómo se «pega» esa autenticación al usuario? Enviar un nombre de usuario y una contraseña con cada carga de la página no es una gran idea. La solución es la clave de sesión. Una vez que un usuario se autentica, el servidor genera una larga cadena aleatoria, y la pasa de nuevo al navegador. Esta cadena es el token acordado que autentica a ese usuario para toda la comunicación posterior, hasta que se alcanza un límite de tiempo, o el token es invalidado por otra razón.

No hace mucho tiempo, la mayoría de los servicios web sólo utilizaban conexiones HTTPS para el inicio de sesión del usuario, y volvían a utilizar conexiones no cifradas para la mayor parte de la transferencia de datos. Esta clave de sesión formaba parte de la carga útil sin cifrar, y si podía ser capturada, un atacante podía secuestrar la sesión legítima y actuar como el usuario. La extensión del navegador Firesheep dejó claro lo fácil que era llevar a cabo este ataque, y empujó a muchos servicios a arreglar finalmente el problema a través de conexiones HTTPS de tiempo completo.

HTTPS en todas partes es un gran paso adelante para prevenir el secuestro de sesiones, pero como se ha visto en HackerOne, no cubre todos los casos. El empleado de HackerOne estaba usando una clave de sesión válida como parte de una línea de comandos curl, y accidentalmente la incluyó en una respuesta. [Haxta4ok00] notó la clave, y rápidamente confirmó lo que era, y que le permitía acceder a la infraestructura interna de HackerOne.

La fuga fue reportada y la llave fue rápidamente revocada. Debido a que se filtró en un informe privado, sólo [Haxta4ok00] tuvo acceso. Dicho esto, se accedió a varios otros informes privados de vulnerabilidad. Vale la pena mencionar que HackerOne manejó esto tan bien como pudo, otorgando 20.000 dólares por el informe. Actualizaron sus directrices para los investigadores y ahora restringen esas claves de sesión a la dirección IP que las generó.

Via Ars Technica


StrandHogg

Una de las historias más notables de la semana pasada fue la de Android y las aplicaciones maliciosas que se hacen pasar por legítimas. StrandHogg ha sido explotado de una forma u otra desde 2017, y fue teorizado por primera vez en un documento de Usenix a partir de 2015. En cierto modo, es un ataque extremadamente simple, pero hace algunas cosas muy ingeniosas.

Entonces, ¿cómo funciona? Una vez instalada, una aplicación maliciosa se ejecuta en segundo plano esperando a que se inicie una aplicación de destino. Una vez que la aplicación de destino es detectada, la aplicación maliciosa salta al primer plano, disfrazada como el objetivo. A partir de aquí, un ataque de phishing es trivial. Sin embargo, más interesante es el ataque de permisos. Su aplicación benigna parece solicitar permisos del sistema de archivos, permisos de cámara, etc. No es evidente de inmediato que la aplicación maliciosa es la que realmente está solicitando permisos.

La única vulnerabilidad real aquí parece ser la capacidad de una aplicación maliciosa de renombrarse y «repararse» a sí misma, con el fin de simular ser parte de la aplicación objetivo. Ten en cuenta que al menos en las ventanas emergentes de permisos, el nombre de la aplicación solicitante está en blanco durante un ataque StrandHogg.


Pago sin contacto

Los pagos sin contacto parecen mágicos la primera vez que los ves. Sólo tienes que pasar una tarjeta o un dispositivo móvil compatible por el terminal de pago y el pago se realiza a través de NFC. Ya que estás leyendo esta columna, es seguro asumir que rápidamente después de que ese primer momento de asombro desaparezca, empiezas a preguntarte cómo se hace todo esto de forma segura. Eso es lo que [Leigh-Anne Galloway] y [Tim Yunusov] también querían saber. Acaban de publicar su investigación y se las arreglaron para encontrar varios trucos desagradables. Un sombrero de hojalata puede ser una exageración, pero tal vez sea hora de invertir en una cartera de bloqueo de la NFC.

Manipularon los datos en tránsito, lo que permitió realizar pagos mucho más grandes sin necesidad de introducir un PIN, realizaron compras a través de un proxy NFC e incluso ilustraron un práctico ataque pre-pago en el que se podía leer una tarjeta, realizar una transacción falsa y luego reproducir esa transacción falsa para un terminal de pago real.


¿Regresa Superfish?

Twitter es un lugar fascinante. A veces las simples observaciones resultan ser CVEs. Una interacción interesante tuvo lugar cuando [SwiftOnSecurity] señaló un extraño nombre DNS, «atlassian-domain-for-localhost-connectionss-only.com», con la descripción de que permitía una conexión HTTPS segura a un servicio que se ejecutaba en localhost. Nuestro amigo del Proyecto Cero de Google, [Tavis Ormandy], señaló que un certificado https válido instalado en localhost significa que Atlassian debe enviar un certificado privado para ese nombre de dominio como parte de su software. Siga el enlace, y usted también puede alojar este extraño dominio con un certificado HTTPS válido.

Esto es una mala idea por varias razones, pero no es lo peor que podría pasar. El peor escenario para este estilo de error probablemente pertenece a Superfish. En 2014 se preinstaló un programa de adware con un nombre muy apropiado en muchas máquinas de Lenovo, con la útil función de mostrarle anuncios más personalizados. Para ello, el software simplemente añadió su propia información de autoridad de certificación al paquete de CA de confianza del sistema… y envió el certificado y la clave privados junto con el software. Sí, ha leído bien, cualquier certificado HTTPS puede ser perfectamente falsificado por un usuario de Lenovo.

Al observar el dominio Atlassian, otro usuario observó que el software Aspera de IBM tenía un dominio y un certificado de host local similar. De acuerdo con [Tavis], ese software también incluye un certificado y una clave de CA completos. Si una iteración del software de IBM realmente añadió esa CA a la confianza de la raíz de un sistema, entonces es otro súper pez: Cualquier certificación HTTPS podría ser falsificada con éxito.

Agora, un reloj de papel electrónico que se puede piratear

Agora, un reloj de papel electrónico que se puede piratear

[Daniel Zilinec] aprecia la estética del e-paper y pensó que sería un gran reloj. La apariencia natural del e-paper ciertamente ...
Leer Más
Turbina de agua de código abierto de 50 dólares de partes reprogramadas

Turbina de agua de código abierto de 50 dólares de partes reprogramadas

El fácil acceso a una energía eléctrica confiable es algo que muchos de nosotros damos por sentado, pero en los ...
Leer Más
Nuevos semiconductores de carburo de silicio aportan mejoras en la eficiencia de los EV

Nuevos semiconductores de carburo de silicio aportan mejoras en la eficiencia de los EV

Después de pasar gran parte del siglo XX languideciendo en el infierno del desarrollo, los coches eléctricos han llegado finalmente ...
Leer Más
Puesta a punto del panel de intercomunicación ThinkGeek Star Trek

Puesta a punto del panel de intercomunicación ThinkGeek Star Trek

En Star Trek , todo lo que Kirk y sus amigos tenían que hacer era apretar el botón en el ...
Leer Más
Eco y reverberación en una bonita caja

Eco y reverberación en una bonita caja

Hoy en día, si hay un chip que vale la pena usar, habrá un módulo pre-construido barato en eBay para ...
Leer Más
Tutorial de FreeCAD TechDraw Workbench

Tutorial de FreeCAD TechDraw Workbench

FreeCAD comenzó un poco inestable, pero ha ido mejorando cada vez más. Si está intentando dibujar un esquema, probablemente no ...
Leer Más
InstaBeat comenzó con un respiro

InstaBeat comenzó con un respiro

[Tom] enseña electrónica con este pequeño reproductor de MP3 programable, pero no se inició como una herramienta de enseñanza. Como ...
Leer Más
Una visión moderna de un equipo de prueba antiguo

Una visión moderna de un equipo de prueba antiguo

El HP 11947A es algo así como una nota al pie de página en el catálogo trasero de los equipos ...
Leer Más
Electrodos usados de electroerosión repotenciados como cojinetes de aire para máquinas herramientas de precisión

Electrodos usados de electroerosión repotenciados como cojinetes de aire para máquinas herramientas de precisión

Si alguna vez ha jugado al hockey sobre aire, sabe cómo los pequeños chorros de aire que salen de los ...
Leer Más
La impresora 3D y el CNC hacen que esta calculadora rusa sea bilingüe

La impresora 3D y el CNC hacen que esta calculadora rusa sea bilingüe

Seamos claros desde el principio: probablemente hay soluciones más obvias al problema de usar una calculadora rusa cuando no se ...
Leer Más
Convirtiendo OLEDs y acrílico en tubos falsos Nixie

Convirtiendo OLEDs y acrílico en tubos falsos Nixie

Los ames o los odies, los Nixies y los relojes retro que adornan están aquí para quedarse. Al menos hasta ...
Leer Más
Uso de bacterias de intestino de pescado que brillan en la oscuridad para hacer arte

Uso de bacterias de intestino de pescado que brillan en la oscuridad para hacer arte

En Nueva Orleans, un profesor de la Universidad de Loyola ha estado creando un arte original a partir de las ...
Leer Más
Circuito DIYEl cerebro de una pitón serpentea en espacios pequeños

Circuito DIYEl cerebro de una pitón serpentea en espacios pequeños

Tanto si eres nuevo en la electrónica y la programación, como si te has dedicado al metal desnudo mucho antes ...
Leer Más
La dobladora de rodillos eléctrica DIY puede manejar el material grueso (er)

La dobladora de rodillos eléctrica DIY puede manejar el material grueso (er)

Todo trabajador metalúrgico serio terminará por conseguirse un rodillo de doblar en algún momento, pero si eres tan dedicado como ...
Leer Más
Si no puede comprar el teclado que desea, constrúyalo en su lugar

Si no puede comprar el teclado que desea, constrúyalo en su lugar

Lo bueno de ser fabricante es que cuando el mercado no satisface sus necesidades, usted puede salir adelante por su ...
Leer Más
Un árbol de LEDs que se apaga como una vela

Un árbol de LEDs que se apaga como una vela

La hermosa mano de obra del árbol LED de [Andrew] es hermosa por sí misma, pero por supuesto hay más ...
Leer Más
Weird World Of Microwaves Hack Chat

Weird World Of Microwaves Hack Chat

Únase a nosotros el miércoles 18 de diciembre al mediodía en el Pacífico para el Weird World of Microwaves Hack ...
Leer Más
Esta semana en seguridad: VPNs, Patch Tuesday, y Saqueo

Esta semana en seguridad: VPNs, Patch Tuesday, y Saqueo

Recientemente se ha revelado un problema en las redes privadas virtuales de Unix, en las que un atacante podría secuestrar ...
Leer Más
La universidad hace impresiones en 3D a prueba de balas

La universidad hace impresiones en 3D a prueba de balas

Los investigadores de la Universidad de Rice están estudiando las estructuras plásticas de impresión en 3D que imitan a los ...
Leer Más
Un radio reloj Nixie adecuado para un científico loco victoriano

Un radio reloj Nixie adecuado para un científico loco victoriano

construyó un reloj de nixie con una vertiginosa variedad de características. ¿Alguna vez has deseado poder acceder a tu reloj ...
Leer Más
Puede que confíes en los coches sin conductor, pero ¿confías en los barberos sin conductor?

Puede que confíes en los coches sin conductor, pero ¿confías en los barberos sin conductor?

Aunque cada vez es más común tener coches que se conducen solos en la carretera, tenemos que admitir que todavía ...
Leer Más
Sleeper PlayStation esconde un Pi 4 de Raspberry

Sleeper PlayStation esconde un Pi 4 de Raspberry

[Andreas Wilcox] quería darle a su hermano un regalo de cumpleaños que reflejara el amor que compartían por los primeros ...
Leer Más
Un órgano de rueda de tonelada STM32 sin una sola rueda de tonelada

Un órgano de rueda de tonelada STM32 sin una sola rueda de tonelada

La única cosa que podría sorprenderte no encontrar en la hermosa estructura del órgano de rueda de tono [Laurent] es ...
Leer Más
Control de los temblores en el momento en que ocurren

Control de los temblores en el momento en que ocurren

Algunos trastornos neurológicos, como el mal de Parkinson, pueden causar temblores musculares que pueden empeorar con el paso del tiempo ...
Leer Más
Thea Flowers - Creación de un sintetizador hardware inspirado en Sega desde cero

Thea Flowers – Creación de un sintetizador hardware inspirado en Sega desde cero

Para aquellos que crecieron con videojuegos, los legendarios sonidos de las consolas del pasado son un golpe de nostalgia instantánea ...
Leer Más
1984 WeatherMan Pi muestra los cambios de Ch-Ch-Ch-Ch-Ch

1984 WeatherMan Pi muestra los cambios de Ch-Ch-Ch-Ch-Ch

Cuando la MIL de [MisterM] le regaló un reproductor de casetes portátil de los 80, saltó de alegría. Una vez ...
Leer Más
Cosas no tan calientes: Un examen termal sobre el último Raspberry PI

Cosas no tan calientes: Un examen termal sobre el último Raspberry PI

Cuando se lanzó por primera vez el Pi 4 de Raspberry, uno de sus pocos defectos percibidos era que tenía ...
Leer Más
Limpie su boquilla para evitar el encadenamiento

Limpie su boquilla para evitar el encadenamiento

[Prueba de Prototipo de Diseño] le gusta su impresora Ender 3. Sólo había un problema. Cuando se imprime PETG - ...
Leer Más
Hackaday Links: 8 de diciembre de 2019

Hackaday Links: 8 de diciembre de 2019

Ahora que ha pasado noviembre de 2019, es una pena que algunas de las predicciones hechas en Blade Runner para ...
Leer Más
Reemplazo de un teclado de computadora portátil no reemplazable

Reemplazo de un teclado de computadora portátil no reemplazable

Derramar una bebida en un portátil es una experiencia aterradora. Si tiene suerte, arruinará sólo un teclado, y si no, ...
Leer Más

Deja un comentario