Forwarded from Private Shizo
🤙Шизо на связи!
💥Надеюсь, что вы не забыли про Dirty COW(PoCs). У Чжулвэйя вышел новый пост про получение рута в macOS 13.0.1 / 12.6.1 и ниже посредством эксплуатации CVE-2022-46689(запуск бинаря, перезапись и запуск по новой). По сути это эквивалентная Dirty COW вулне, только затрагивающая macOS(XNU), заместо линукс кернела, так что и репозиторий называется:
"MacDirtyCowDemo", а саму уязвимость нашел Ян Бир(i41nbeer, "бывший" сотрудник GCHQ, предыдущая связанная вулна тут). В обновлении безопасности Apple(iOS 16.2 и iPadOS 16.2, iOS 15.7.2 и iPadOS 15.7.2, macOS 13.1, macOS 12.6.2, macOS 11.7.2, tvOS 16.2 и watchOS 9.2) говорится, что атакующий эксплуатируя эту вулну может исполнить произвольный код с привилегиями ядра и race condition предотвращается за счет новых проверок(как будет написано ниже - они косвенно влияют). Чжулвэй начал анализировать уязвимость, анализируя файл в Apple XNU(vm_unaligned_copy_switch_race.c) и добился race condition(один поток переключает память между readonly и writable, а второй - пытается писать данные), позволив ему в дальнейшем временно изменять файлы в томе /System(для сохранения изменений после ребута, нужно запускать на доступном для записи томе, все это из-за Sealed System Volume).
У Чжулвэйя не удалось добиться выполнения произвольного кода с привилегиями ядра и получилось лишь влиять на юзерспейс процессы. Отключение проверки пароля удалось достичь за счет рекомендаций по проверке подлинности пользователя на основе политики, расположенной в
Для получения рута нужно выполнить следующие команды по загрузки репозитория и перехода в директорию с ним:
💾В функции невыровненной записи(unaligned write) в XNU кернеле есть еще одна type confusion:
Причем,
То есть
💾За счет того, что
💾Вероятно, подписи кода(
⚠️Так что если ты подписчик пользуешься яблочной продукцией - обновляйся(уязвимость была запатчена в:
iOS 16.2 и iPadOS 16.2, iOS 15.7.2 и iPadOS 15.7.2, macOS 13.1, macOS 12.6.2, macOS 11.7.2, tvOS 16.2 и watchOS 9.2)!
#macOS #XNU #vulnerability #exploitation #security #DirtyCOW #MacDirtyCow #root #su
💥Надеюсь, что вы не забыли про Dirty COW(PoCs). У Чжулвэйя вышел новый пост про получение рута в macOS 13.0.1 / 12.6.1 и ниже посредством эксплуатации CVE-2022-46689(запуск бинаря, перезапись и запуск по новой). По сути это эквивалентная Dirty COW вулне, только затрагивающая macOS(XNU), заместо линукс кернела, так что и репозиторий называется:
"MacDirtyCowDemo", а саму уязвимость нашел Ян Бир(i41nbeer, "бывший" сотрудник GCHQ, предыдущая связанная вулна тут). В обновлении безопасности Apple(iOS 16.2 и iPadOS 16.2, iOS 15.7.2 и iPadOS 15.7.2, macOS 13.1, macOS 12.6.2, macOS 11.7.2, tvOS 16.2 и watchOS 9.2) говорится, что атакующий эксплуатируя эту вулну может исполнить произвольный код с привилегиями ядра и race condition предотвращается за счет новых проверок(как будет написано ниже - они косвенно влияют). Чжулвэй начал анализировать уязвимость, анализируя файл в Apple XNU(vm_unaligned_copy_switch_race.c) и добился race condition(один поток переключает память между readonly и writable, а второй - пытается писать данные), позволив ему в дальнейшем временно изменять файлы в томе /System(для сохранения изменений после ребута, нужно запускать на доступном для записи томе, все это из-за Sealed System Volume).
У Чжулвэйя не удалось добиться выполнения произвольного кода с привилегиями ядра и получилось лишь влиять на юзерспейс процессы. Отключение проверки пароля удалось достичь за счет рекомендаций по проверке подлинности пользователя на основе политики, расположенной в
/etc/pam.d(/etc/pam.d/login, pam_permit.so всегда разрешает доступ без аутентификации) и было представлено на Pwn2Own2020 и затронуто в докладе на Black Hat USA 2020 "Compromising the macOS Kernel through Safari by Chaining Six Vulnerabilities" и для удобства был добавлен параметр командной строки, принимающий в качестве аргумента то, что нужно перезаписать.Для получения рута нужно выполнить следующие команды по загрузки репозитория и перехода в директорию с ним:
1️⃣clang -o switcharoo vm_unaligned_copy_switch_race.cИ после исполнения бинаря на этапе 3️⃣, должны получить следующий вывод:
2️⃣sed -e "s/rootok/permit/g" /etc/pam.d/su > overwrite_file.bin
3️⃣./switcharoo /etc/pam.d/su overwrite_file.bin
4️⃣su
Testing for 10 seconds...А после выполнения команды
RO mapping was modified
su на этапе 4️⃣ будет получен доступ к рутованному шеллу:sh-3.2#Помимо всего прочего:
💾В функции невыровненной записи(unaligned write) в XNU кернеле есть еще одна type confusion:
mach_vm_write(mach_task_self(), printf, printf, 0x8001);Интерес представляет объединение
vm_map_object:union vm_map_object {
vm_object_t vmo_object; /* объект object */
vm_map_t vmo_submap; /* принадлежит другой карте */
} vm_map_object_t;
Для vm адреса в sharedcache в роли первой записи будет вложенная карта(submap)Причем,
VME_OBJECT как раз и вызывает type confusionТо есть
shared cache mapping в памяти напрямую перезаписать не получится!💾За счет того, что
submap не владеет VM_PROT_WRITE, патч приводит к досрочному возврату(либо следующий dst_object = VME_OBJECT(entry) приводит к панике), что как бы косвенно предотвращает type confusion, причем в vm_map_copy_overwrite_nested такое уже было в ярлыке по адресу:if (dst_end <= entry->vme_end) {
goto start_overwrite; /*можно предотвратить проверки рарешений */
}
💾vm_map_copy_overwrite_unaligned не предполагает проверки на запись💾Вероятно, подписи кода(
codesigning) и песочница помешает произвести перезапись. Так как весь процесс подыхает в случае подачи неверной сигнатуры и повторная проверка codesignature на странице довольно сильно мешает.⚠️Так что если ты подписчик пользуешься яблочной продукцией - обновляйся(уязвимость была запатчена в:
iOS 16.2 и iPadOS 16.2, iOS 15.7.2 и iPadOS 15.7.2, macOS 13.1, macOS 12.6.2, macOS 11.7.2, tvOS 16.2 и watchOS 9.2)!
#macOS #XNU #vulnerability #exploitation #security #DirtyCOW #MacDirtyCow #root #su
👍4
|FORCEDENTRY, ты тут?|
🕵️♂️Думаю, что многие не забыли про сделавший много шума год назад data-only 0-click RCE сплойт FORCEDENTRY(CVE-2021-30860, integer overflow в JBIG2 реализации для xpdf в Apple (
Причем исследователи из Google Project Zero не смогли установить точный след после IMTranscoderAgent SBX и как предположение выдвинули несколько сценариев эксплуатации:
1️⃣iMessage RCE ➡️
2️⃣iMessage RCE ➡️
Проблема для безопасников и по сей день стоит в том, что в публичном доступе до сих пор нет сэмплов(отсюда можем сделать вывод, что стандартными методами детектить не выйдет). В этом посте Мэтта помимо разбора атаки идет речь и о детектировании без испльзования регулярок или проверок имени процесса, в конечном итоге был представлен инструмент(ELEGANTBOUNCER) для анализа файлов non-fileless(data-only) атаки, причем не основываясь на сэмплах.
🔖Более подробно можно почитать в статье Мэтта.
🕵️♂️I think that many have not forgotten about the FORCEDENTRY exploit that made a lot of noise a year ago (CVE-2021-30860, integer overflow in the JBIG2 implementation for xpdf in Apple (
Moreover, researchers from Google Project Zero were unable to establish an exact trace after IMTranscoderAgent SBX and, as an assumption, put forward several operating scenarios:
1️⃣iMessage RCE ➡️
2️⃣iMessage RCE ➡️
The problem for security guards to this day is that there are still no samples in the public domain (from here we can conclude that it will not be possible to detect using standard methods). In this post by Matt, in addition to analyzing the attack, we are talking about detecting without using regular expressions or checking the process name, eventually a tool for analyzing non-fileless(data-only) attack files was introduced, and not based on samples(ELEGANTBOUNCER).
🔖You can read more in Matt's article.
#NSO #PegasusSpyware #FORCEDENTRY #iOS #iMessage #forensics #security #expoitation #sbx #xpdf #weirdMachine #JBIG2
🕵️♂️Думаю, что многие не забыли про сделавший много шума год назад data-only 0-click RCE сплойт FORCEDENTRY(CVE-2021-30860, integer overflow в JBIG2 реализации для xpdf в Apple (
JBIG2Stream::readTextRegionSeg(), посредством программирования JBIG2 weird machine в парсере), что относится к CoreGraphics по сути) через iMessage от NSO Group. То есть прилетает тебе PDF файл, который якобы ".gif" и за счет того, что IMTranscoderAgent анализировал как раз такого рода самозванцев за пределами BlastDoor песочницы, израильтяне могли достичь SBX. В действительности эксплуатация была намного сложнее и можно почитать подробнее: пост на канале, тут и тут.Причем исследователи из Google Project Zero не смогли установить точный след после IMTranscoderAgent SBX и как предположение выдвинули несколько сценариев эксплуатации:
1️⃣iMessage RCE ➡️
IMTranscoderAgent SBX ➡️ iOS kernel LPE2️⃣iMessage RCE ➡️
IMTranscoderAgent SBX ➡️ some_service ➡️ iOS kernel LPEПроблема для безопасников и по сей день стоит в том, что в публичном доступе до сих пор нет сэмплов(отсюда можем сделать вывод, что стандартными методами детектить не выйдет). В этом посте Мэтта помимо разбора атаки идет речь и о детектировании без испльзования регулярок или проверок имени процесса, в конечном итоге был представлен инструмент(ELEGANTBOUNCER) для анализа файлов non-fileless(data-only) атаки, причем не основываясь на сэмплах.
🔖Более подробно можно почитать в статье Мэтта.
🕵️♂️I think that many have not forgotten about the FORCEDENTRY exploit that made a lot of noise a year ago (CVE-2021-30860, integer overflow in the JBIG2 implementation for xpdf in Apple (
JBIG2Stream::readTextRegionSeg(), by programming the JBIG2 weird machine in the parser), which refers to CoreGraphics in fact) via iMessage from NSO Group. That is, a PDF file arrives to you, which is allegedly ".gif" and due to the fact that IMTranscoderAgent analyzed just such impostors outside the BlastDoor sandbox, the Israelis could achieve SBX. In fact, the operation was much more complicated and you can read more: a post on the channel, here and here.Moreover, researchers from Google Project Zero were unable to establish an exact trace after IMTranscoderAgent SBX and, as an assumption, put forward several operating scenarios:
1️⃣iMessage RCE ➡️
IMTranscoderAgent SBX ➡️ iOS kernel LPE2️⃣iMessage RCE ➡️
IMTranscoderAgent SBX ➡️ some_service ➡️ iOS kernel LPEThe problem for security guards to this day is that there are still no samples in the public domain (from here we can conclude that it will not be possible to detect using standard methods). In this post by Matt, in addition to analyzing the attack, we are talking about detecting without using regular expressions or checking the process name, eventually a tool for analyzing non-fileless(data-only) attack files was introduced, and not based on samples(ELEGANTBOUNCER).
🔖You can read more in Matt's article.
#NSO #PegasusSpyware #FORCEDENTRY #iOS #iMessage #forensics #security #expoitation #sbx #xpdf #weirdMachine #JBIG2
👍3🔥2❤🔥1
🕵️♂️У Кошки-федерала вышла статья про форензику и анти-форензику, подойдет для тех кто только-только вкатывается, без особой воды, тезисно и с ссылочками.
🕵️♂️The Federal Cat has an article about forensics and anti-forensics, suitable for those who are just rolling in, without much water, thesis and with links.
🕵️♂️The Federal Cat has an article about forensics and anti-forensics, suitable for those who are just rolling in, without much water, thesis and with links.
❤🔥4💯1
|ForCons&Events2023|
🕵️♂️2022 год уже подходит к концу, так что настало время посмотреть на конференции по форензике в 2023 году и начать планирование.
Данный список с событиями в области форензики периодически обновляется.
🕵️♂️The year 2022 is already coming to an end, so it's time to look at the 2023 forensics conferences and start planning.
This list of events in the field of forensics is periodically updated.
#forensics #NSA #Magnet #DFRWS #EuropeanPolice #InternationalPoliceExpo #SANS
🕵️♂️2022 год уже подходит к концу, так что настало время посмотреть на конференции по форензике в 2023 году и начать планирование.
Данный список с событиями в области форензики периодически обновляется.
🕵️♂️The year 2022 is already coming to an end, so it's time to look at the 2023 forensics conferences and start planning.
This list of events in the field of forensics is periodically updated.
#forensics #NSA #Magnet #DFRWS #EuropeanPolice #InternationalPoliceExpo #SANS
👍2
|GiftStick|
🕵️♂️Вжух и доказательства вкармане облаке! Сие чудо простой мысли было создано для сотрудников, желающих в один клик получить доказательства с устройства и отправить их в облако(не секьюрно, да и в целом - некорректно). Единственное что может понадобится сделать - выполнить предварительно немного телодвижений: выбрать собираемые артефакты и облачные учетные данные, которые будут использоваться.
Конечно, момент с использованием
Вот что именно можно достать:
💾Используя dmidecode, получаем системную информацию(дамп SMBIOS / содержимого таблицы DMI)
💾Из каждого блочного устройства(по мнению автора: скорее всего внутренний диск) получаем следующие данные:
->все байты
->хэши
->используя udevadm, получаем информацию об устройстве
💾Прошивка системы, сдампленная с помощью CHIPSEC
💾Папка(к примеру - смонтированная файловая система.
⚠️Если подвести итог по инструменту, то повторюсь в том, что инструмент из коробки не пригоден для форензик-специалиста, а если придерживаться концепции "в один клик", то уж тем более и от силы подойдет начинающим для пробы пера, да и факт отправки в облачное хранилище от Google на данный момент - такая себе перспектива.
🕵️♂️Whoosh and the evidence is in thepocket cloud! This miracle of simple thought was created for employees who want to get evidence from the device in one click and send it to the cloud (it is not safe, and in general - incorrectly). The only thing that may need to be done is to perform a few body movements beforehand: select the artifacts to be collected and the cloud credentials to be used.
Of course, the moment of using
Here's exactly what you can get:
💾Using dmidecode, we get system information (SMBIOS dump / DMI table contents)
💾From each block device (according to the author: most likely an internal disk) we get the following data:
->all bytes
->hashes
->using udevadm, we get information about the device
💾System firmware, dumped using CHIPSEC
💾Folder(for example, a mounted file system)
⚠️If we summarize the tool, then I repeat that the tool out of the box is not suitable for a forensic specialist, and if you stick to the "one-click" concept, then it is even more suitable for beginners to try out a pen, and the fact of sending to the cloud storage from Google at the moment is such a perspective.
#forensics #evidence #hardware #firmware #disk
🕵️♂️Вжух и доказательства в
Конечно, момент с использованием
dmidecode для получения системной информации - спорный, но плюсы с точки зрения производительности и безопасности могут перевесить недостатки. Но инструмент не очень пригоден для форензик-экспертизы, как минимум из-за отсутствия механизма блокировки записи и использования облачной платформы для отправки полученных данных.Вот что именно можно достать:
💾Используя dmidecode, получаем системную информацию(дамп SMBIOS / содержимого таблицы DMI)
💾Из каждого блочного устройства(по мнению автора: скорее всего внутренний диск) получаем следующие данные:
->все байты
->хэши
->используя udevadm, получаем информацию об устройстве
💾Прошивка системы, сдампленная с помощью CHIPSEC
💾Папка(к примеру - смонтированная файловая система.
⚠️Если подвести итог по инструменту, то повторюсь в том, что инструмент из коробки не пригоден для форензик-специалиста, а если придерживаться концепции "в один клик", то уж тем более и от силы подойдет начинающим для пробы пера, да и факт отправки в облачное хранилище от Google на данный момент - такая себе перспектива.
🕵️♂️Whoosh and the evidence is in the
Of course, the moment of using
dmidecode to obtain system information is controversial, but the advantages in terms of performance and security may outweigh the disadvantages. But the tool is not very suitable for forensic examination, at least due to the lack of a record blocking mechanism and the use of a cloud platform to send the received data.Here's exactly what you can get:
💾Using dmidecode, we get system information (SMBIOS dump / DMI table contents)
💾From each block device (according to the author: most likely an internal disk) we get the following data:
->all bytes
->hashes
->using udevadm, we get information about the device
💾System firmware, dumped using CHIPSEC
💾Folder(for example, a mounted file system)
⚠️If we summarize the tool, then I repeat that the tool out of the box is not suitable for a forensic specialist, and if you stick to the "one-click" concept, then it is even more suitable for beginners to try out a pen, and the fact of sending to the cloud storage from Google at the moment is such a perspective.
#forensics #evidence #hardware #firmware #disk
Security of IoT Device.pdf
1.7 MB
📕Security of IoT Device: Perspective
Forensic/Anti-Forensic Issues on Invalid Area of NAND Flash Memory.
#forensics #antiForensics #security #privacy #NAND #IoT
Forensic/Anti-Forensic Issues on Invalid Area of NAND Flash Memory.
#forensics #antiForensics #security #privacy #NAND #IoT
Forwarded from Private Shizo
🔥Так-с, вот и в дикой природе засветился сплойт, эксплуатирующий UAF багу(Ахтунг, CVSS 10 из 10) в сервере ksmbd(репозиторий, имплементация SMBv3 протокола в пространстве кернела для обмена файлами по сети, а в целом
Для эксплуатации нам не понадобится добиваться LPE на машине жертвы, ведь не требуется аутентификация. По большому счету количество таргетов не большое в силу того, что ksmbd сервер появился лишь в версии
кернела 5.15 и в целом процент SMB-серверов использующих имплементацию ksmbd по сравнению с Samba не велик .
Баг был найден с помощью KASAN, в функции
🛡Патч безопасности(коммит) тут
SMB/CIFS сервер, ранее: CIFSD) и можно выполнять код в контексте ядра в случае успешной эксплуатации.Для эксплуатации нам не понадобится добиваться LPE на машине жертвы, ведь не требуется аутентификация. По большому счету количество таргетов не большое в силу того, что ksmbd сервер появился лишь в версии
кернела 5.15 и в целом процент SMB-серверов использующих имплементацию ksmbd по сравнению с Samba не велик .
Баг был найден с помощью KASAN, в функции
smb2_tree_disconnect(struct ksmbd_work *work) происходит освобождение структуры ksmbd_tree_connect, при этом остается висячий указатель, к которому можно получить опять доступ, воспользовавшись составным запросом. Для наглядности я сделал скрины(третий - с патчем безопасности) и выделил частично, далее...🛡Патч безопасности(коммит) тут
|Forensics vs Anti-Forensics|
🕵️♂️This work allows us to take a modern look at forensic expertise, getting information from the basics of forensic expertise, including: the process of judicial investigation, the supply chain and the structure of cybercrimes, which digital data is useful for a forensic specialist and what types of investigators there are, as well as what difficulties arise during the examination and tools for obtaining artifacts from various sources. A lot of material is devoted to digital forensics countermeasures (anti-forensics) and, accordingly, the topic of anti-anti-forensics is touched upon.
So I recommend this work to both beginners / intermediate-level forensic specialists, and those who suspect that their digital media can be subjected to forensic analysis.
#security #privacy #forensics #cyberCrime #antiForensics #AntiAntiForensics
🕵️♂️This work allows us to take a modern look at forensic expertise, getting information from the basics of forensic expertise, including: the process of judicial investigation, the supply chain and the structure of cybercrimes, which digital data is useful for a forensic specialist and what types of investigators there are, as well as what difficulties arise during the examination and tools for obtaining artifacts from various sources. A lot of material is devoted to digital forensics countermeasures (anti-forensics) and, accordingly, the topic of anti-anti-forensics is touched upon.
So I recommend this work to both beginners / intermediate-level forensic specialists, and those who suspect that their digital media can be subjected to forensic analysis.
#security #privacy #forensics #cyberCrime #antiForensics #AntiAntiForensics