Nord Nord Sec #15

AT&T Breach, Firefox Schwachstellen, Atlassian Schwachstellen (again), wie vergessene DNS Einträge Spamfilter umgehen, Wordpress-Bot-Seiten, 10 Millionen Dollar Google Bug Bounty, eine VSCode Extension - und noch einiges mehr.

Nord Nord Sec #15

Moin, Hallo und Herzlich Willkommen - Viele Grüße aus dem Urlaub. Ich nutze die kurze Osterwoche um meinen Resturlaub aus 2023 noch aufzubrauchen und versuche mich gleichzeitig, möglichst fern von sämtlichen Bildschirmen zu halten.

Dementsprechend ist der News-Cutoff auch der 24. März - und diese Ausgabe flattert euch heute schon in die Inbox.

Urlaubsbeschäftigung (Generiert mit leonardo.ai)

Trotzdem habe ich ein paar Interessante Themen für euch zusammen gestellt - und wie immer starten wir bei den Breaches und Schwachstellen.

Breaches und Schwachstellen

📞 AT&T Breach 2024 Über 70 Millionen Menschen sind potenziell von einem Datenleck betroffen, das auf eine Sicherheitslücke bei AT&T im Jahr 2021 zurückgeführt wird. Die zum Verkauf angebotenen Daten umfassen sensible Informationen wie Namen, Adressen, Telefonnummern, Geburtsdaten und Sozialversicherungsnummern. Ein Hacker, bekannt unter dem Namen Shiny Hunters, behauptete zunächst, für den Diebstahl verantwortlich zu sein und verlangte für die Daten 1 Million Dollar.

AT&T weist jedoch die Behauptung zurück, dass die Daten aus ihren Systemen stammen - sowohl im Jahr 2021 als auch bei neuerlichen Anfragen im Jahr 2024 - und verweist darauf, dass es keine Beweise für eine Sicherheitsverletzung gibt. Eine Nachfrage, ob die Daten möglicherweise von einem Drittanbieter stammen könnten, blieb unbeantwortet.

Trotz der Dementis von AT&T haben verschiedene Quellen die Echtheit eines Teils der Daten bestätigt. AT&T rät zur Vorsicht und bietet Betroffenen Dienste zur Überwachung der Identität an.

🦊 Mozilla behebt Schwachstellen in FirefoxIm aktuellen Security Advisory von Mozilla, werden verschiede Sicherheitslücken aufgezeigt, die behoben wurden.

  • CVE-2024-2605: Ein Angreifer hätte den Windows Error Reporter ausnutzen können, um beliebigen Code auf dem System auszuführen und so die Sandbox zu umgehen.

  • CVE-2024-2606: Die Übergabe ungültiger Daten konnte dazu führen, dass ungültige Wasm-Werte erzeugt wurden, wie z. B. beliebige Ganzzahlen, die zu Zeigerwerten wurden.

  • CVE-2024-2607: Rückgaberegister wurden überschrieben, was einem Angreifer die Ausführung von beliebigem Code ermöglicht haben könnte - auf ARM Systemen.

  • CVE-2024-2608: Integer Overflow hätte zu Out Of Bounds-Write führen können

🌊 Atlassian Security Bulletin März 2024: Auch diesen Monat war man bei Atlassian fleissig am patchen: 24 High und 1 Critical Schwachstelle wurden behoben.

Die Critical ist in Bamboo Data Center & Server. CVE-2024-1597 10.0 CVSS SQL Injection Schwachstelle, die über eine verwundbare Dependency in den Code gekommen ist. Details liefert Atlassian im zugehörigen Jira-Issue. Die verantwortliche Dependency ist pgjdbc, der PostgreSQL JDBC-Treiber. Dieser erlaubt Angreifern, SQL einzuschleusen, wenn PreferQueryMode=SIMPLE verwendet wird.

Hinweis: Das ist nicht der Standardwert - in der Standardkonfiguration gibt es keine Schwachstelle.

📨 Check Your DNS! Abandoned Domains Used to Bypass Spam Checks Guardio Labs hat herausgefunden, dass Spammer verlassene Subdomains bekannter Marken wie MSN, eBay und Marvel nutzen, um Spam-Mails zu verschicken, die Spamfilter umgehen. Diese Subdomains sind oft über CNAME DNS-Einträge mit den Hauptdomains verbunden. Wenn diese Einträge nicht ordentlich verwaltet werden, können Cyberkriminelle SPF-Einträge manipulieren und Spam versenden.

Ein Beispiel ist die Subdomain marthastewart.msn.com, die anfangs auf msnmarthastewartsweeps.com verwies. Nachdem MSN das Interesse an der Domain verlor, wurde der CNAME-Eintrag nicht entfernt. Kriminelle erwarben daraufhin msnmarthastewartsweeps.com und konnten deren SPF-Policy anwenden, um Spam-Mails von marthastewart.msn.com zu senden, die SPF-Checks passierten. SPF erlaubt das Hinzufügen anderer Domains, die E-Mails im Namen einer Domain senden dürfen, was Missbrauch ermöglicht. Die hohe Anzahl gekaperter Subdomains und verfügbarer IP-Adressen erleichtert es Kriminellen, Entdeckung zu vermeiden. Guardio Labs empfiehlt Organisationen, regelmäßig auf kompromittierte Domains zu prüfen und ungenutzte Subdomains sowie DNS-Einträge zu bereinigen. Sie bieten zudem eine spezielle Website zur Überprüfung an: subdomailing checker website.

Text

💪 Hacked WordPress Websites für Brute Force Angriffe missbraucht Cybersecurity-Forschende haben einen Threat Actor identifiziert, der ursprünglich WordPress-Websites kompromittierte, um Krypto-Wallet-Drainer-Skripte einzusetzen. Diese Skripte führten dazu, dass Nutzer*innen unwissentlich ihre Wallets mit den kompromittierten Websites verbanden, woraufhin alle Inhalte gestohlen wurden.

Dann verlagerte der Fokus sich auf das Nutzen von Browser-Hijacks, um Brute-Force-Angriffe auf andere WordPress-Websites durchzuführen. Dabei wurden Skripte von einer neu registrierten Website geladen, die die Browser der Website-Besucher*innen zwangen, Passwörter auf anderen Websites durch Brute-Force-Methoden zu erraten.

Diese Skripte kommunizieren dann mit einem C2-Server, um Aufgaben zu erhalten - hier eben Brute Force Angriffe auf weitere Seiten. Interessante Variante, wie man gehackte Webseiten nutzen kann.

💰️ Googles Bug Bounty Programm zahlt 2023 Zehn Millionen Dollar aus Im Jahr 2023 zahlte Google insgesamt zehn Millionen US-Dollar an 632 Personen aus 68 Ländern für das korrekte Melden von Sicherheitslücken durch sein Vulnerability Reward Program. Dies markiert den zweithöchsten Betrag in der Geschichte des Programms.

Neu hinzugefügt wurden 2023 Bug Bountys für Wear OS und bestimmte Android-Apps aus dem Alphabet-Konzern, mit der höchsten Einzelbelohnung von 113.337 US-Dollar.

Die maximale Belohnung für Beiträge zu Android wurde auf 15.000 US-Dollar angehoben. Ein Drittel der Gesamtausschüttung entfiel auf das Betriebssystem Android.

Seit Beginn des Programms hat Google 59 Millionen Dollar für gemeldete Sicherheitslücken ausgezahlt.

Das sind schon krasse Zahlen - und erklärt, warum der Bug Bounty Space in den letzten Jahren massives Wachstum zeigt. Für erfolgreiche Hacker*innen lohnt es sich!

🔍️Trail Of Bits veröffentlichen VSCode Extension zum Kollaborativen Code-Auditieren weAudit ist eine VSCode-Erweiterung für kollaborative Code-Audits. Die Erweiterung ermöglicht es, effizienter Code zu überprüfen, indem direkt in VSCode Notizen gemacht und Fehler verfolgt werden können, ohne externe Tools nutzen zu müssen.

Notizen und Befunde, die in der .vscode-Ordner gespeichert sind, können mit Co-Auditor:innen geteilt werden, um Erkenntnisse und Anmerkungen zum Code auszutauschen.

Durch Klicken auf ein Element in der Ansicht „List of Findings“ kann zu dem entsprechenden Code-Bereich navigiert werden. Dateien mit einem Befund werden im Dateibaum und im Tab über dem Editor mit einem „!“ markiert, während überprüfte Dateien mit einem „✓“ gekennzeichnet sind.

Die Erweiterung kann über den VSCode-Marktplatz installiert werden, und es wird zur Beteiligung an Bug-Reports, Funktionsanfragen und Beiträgen im vscode-weaudit-Repository aufgerufen.

🧠 Fixing Security Vulnerabilites with AI Im November 2023 wurde die Funktion "Code Scanning Autofix" eingeführt. Diese nutzt KI, um Sicherheitslücken in Codebasen auf GitHub zu identifizieren und Korrekturen vorzuschlagen. Diese Funktion basiert auf einem Sprachmodell, das Codeänderungen vorschlägt, ohne die Funktionalität des Codes zu verändern. Der Autofix-Prozess umfasst die Erstellung von Aufforderungen für das Sprachmodell, die Nachbearbeitung der Antworten, die Bewertung der Korrekturvorschläge im großen Maßstab und die Gewährleistung einer benutzerfreundlichen Erfahrung durch die Präsentation der vorgeschlagenen Korrekturen an die Benutzer. Das System wird kontinuierlich auf Leistung und Benutzerinteraktion überwacht, um die Autofix-Funktion basierend auf Rückmeldungen und während der Beta-Phase gesammelten Metriken zu verbessern.

Letztendlich ist das der nächste logische Schritt, um die bisher implementierten Sicherheitsfeatures in GitHub zu ergänzen.

Video

🐛 Jason Haddix wieder zu Gast im Critical Thinking Bug Bounty Podcast Eine neue Folge mit Jason - die erste war schon super. Ich hab noch nicht reingehört, aber das wird definitiv Teil meines Urlaubs-Unterhaltungs-Programms werden!

🚗 Hackers remotely hack millions of cars Sam Curry zu Gast bei David Bombal. Absolut lohnenswert, hier ein bisschen Zeit zu investieren. Es ist immer wieder interessant, von Sam zu lesen oder von ihm zu hören.

Tools und Co.

🪖 noraj/haiti Ein schlankes Tool, um über 600 verschiedene Hashes direkt auf der Kommandozeile zu identifizieren. Simpel, nützlich - her damit!

🏄️ assetnote/surf Ein kleiner Assistent, um bei Web-Pentests oder Bug Bounty dabei hilft, SSRF Schwachstellen zu finden. surf sendet HTTP-Anfragen vom Angreifer-Rechner an jedem Host, sammelt alle Hosts, die nicht geantwortet haben, und filtert sie dann in eine Liste mit nach außen und nach innen gerichteten Hosts. Herkömmliche SSRF-Filter erfassen dies nicht, es sei denn, diese Hosts werden speziell auf eine Blocklist gesetzt. Deshalb ist diese Technik so wirkungsvoll.

🧙 trailofbits/weaudit VSCode Extension für Kollaboratives Quellcode-Auditieren. Definitiv eine der wenigen Extensions, die mir in mein VSCode kommen werden. Bisher behelfe ich mir immer mit einer extra Notiz-Datei. Wenn das jetzt schön integriert wird - umso besser!

Das Zitat der Woche ist ein kleines Gedicht von hakluke - und das können sicher einige Menschen in der IT Security nachfühlen.

I've fooled SOCs, picked locks, honeypots, port knocks.

Prevented dox (unlike Mt Gox), but mostly, I’ve just ticked box.

Phishing and vishing, but there’s something missing.

The work I’ve done has left the world wishing.

I can’t shake the feeling, it’s all for nothing.

Luke (hakluke) Stephens

Die nächste Ausgabe #nordnordsec sollte wieder - wie gewohnt - Mittwoch erscheinen.

Lasst es euch gut gehen bis dahin ❤️ 

Cheers,

Martin