#Browser V8 Heap #Sandbox #Escape
اخیرا روشی در کنفرانس OffensiveCon 2024 مطرح شده در خصوص دور زدن Sandbox مرورگر Chrome با موتور اجرایی V8.
این روش مطرح شده به این صورت است که مهاجم بواسطه یک آسیب پذیری Memory Corruption توان خواندن و نوشتن در منطقه حافظه Sandbox را پیدا میکند، لذا بواسطه تعریف چند HeapObj امکان دسترسی به Base Address ساختمان PTR Table شده و مقدار آدرس را با نوع محتوای عددی، دریافت میشود.
اما همانطور که میدانید Sandbox ها از Control Flow Integrity استفاده میکنند برای ترسیم پرش ها و اشاره های درون یک برنامه، محقق اینجا میکوشد تا بواسطه HeapObjها یک اشاره گر External را تعریف کرده تا از منطقه Trust حافظه خارج شده و اقدام به فراخوانی Gadget در بیرون حافظه کند.
که این موضوع موجب میشود محقق بتواند یک پردازش بیرون از Sandbox را ایجاد کرده و مکانیزم را دور بزند، این مسئله در پی باگی در نحوه پوشش Sandbox موتور اجرایی V8 رخ میدهد که External Object ها را Isolate نمیکند.
@Unk9vvN
اخیرا روشی در کنفرانس OffensiveCon 2024 مطرح شده در خصوص دور زدن Sandbox مرورگر Chrome با موتور اجرایی V8.
این روش مطرح شده به این صورت است که مهاجم بواسطه یک آسیب پذیری Memory Corruption توان خواندن و نوشتن در منطقه حافظه Sandbox را پیدا میکند، لذا بواسطه تعریف چند HeapObj امکان دسترسی به Base Address ساختمان PTR Table شده و مقدار آدرس را با نوع محتوای عددی، دریافت میشود.
اما همانطور که میدانید Sandbox ها از Control Flow Integrity استفاده میکنند برای ترسیم پرش ها و اشاره های درون یک برنامه، محقق اینجا میکوشد تا بواسطه HeapObjها یک اشاره گر External را تعریف کرده تا از منطقه Trust حافظه خارج شده و اقدام به فراخوانی Gadget در بیرون حافظه کند.
که این موضوع موجب میشود محقق بتواند یک پردازش بیرون از Sandbox را ایجاد کرده و مکانیزم را دور بزند، این مسئله در پی باگی در نحوه پوشش Sandbox موتور اجرایی V8 رخ میدهد که External Object ها را Isolate نمیکند.
@Unk9vvN
#Gartner #Cybersecurity #Technology 2024
در گزارش اخیر مجله Gartner تکنولوژی های امنیت سایبری ای که تاثیر بیشتری داشته و در بازار بیشتر مورد توجه بوده اند، مشخص شده است.
جالب توجه است که طی سالهای اخیر محصولات و سامانه های امنیت تدافعی و تهاجمی بیشتر مورد توجه بوده اند، بطور مثال تکنولوژی های زیر:
# Defensive Security
Endpoint Detection and Response
Business Email Compromise Protection
Zero Trust Strategy
Threat Intelligence Products and Services
# Offensive Security
Attack Surface Management
API Security Testing
Breach and Attack Simulation
Threat Modeling Automation
Mobile Application Security Testing
لذا همواره راهکار های امنیت تهاجمی کار آمدی لازمه خود را داشته و در کنار تکنولوژی های امنیت دفاعی، مکمل مهم و جدی ای به حساب می آمده است.
این در حالی است که گستره تکنیک ها و تاکتیک های حوزه امنیت تهاجمی هر ساله چندین برابر شده و سطح تهاجمات تکنیک ها پیشرفته تر میشود.
@Unk9vvN
در گزارش اخیر مجله Gartner تکنولوژی های امنیت سایبری ای که تاثیر بیشتری داشته و در بازار بیشتر مورد توجه بوده اند، مشخص شده است.
جالب توجه است که طی سالهای اخیر محصولات و سامانه های امنیت تدافعی و تهاجمی بیشتر مورد توجه بوده اند، بطور مثال تکنولوژی های زیر:
# Defensive Security
Endpoint Detection and Response
Business Email Compromise Protection
Zero Trust Strategy
Threat Intelligence Products and Services
# Offensive Security
Attack Surface Management
API Security Testing
Breach and Attack Simulation
Threat Modeling Automation
Mobile Application Security Testing
لذا همواره راهکار های امنیت تهاجمی کار آمدی لازمه خود را داشته و در کنار تکنولوژی های امنیت دفاعی، مکمل مهم و جدی ای به حساب می آمده است.
این در حالی است که گستره تکنیک ها و تاکتیک های حوزه امنیت تهاجمی هر ساله چندین برابر شده و سطح تهاجمات تکنیک ها پیشرفته تر میشود.
@Unk9vvN
#FortiSIEM #CVE-2024-23108 2nd Order #Command_Injection
غول امنیت خود چند ماهی است قربانی متخصصین امنیت تهاجمی است. به تازگی آسیب پذیری 2nd Order Command Injection از سامانه FortiSIEM از خانواده محصولات شرکت Fortinet کشف شده است که امکان اجرای کد بصورت Unauthenticated را خواهد داد.
آسیب پذیری مطرح شده در Port 7900 بطور پیشفرض است که برای Phoenix Monitor Service است، این سرویس با Backend پایتون نوشته شده است و آسیب پذیری در آدرس زیر بوده است:
آسیب پذیری در بخش تصدیق IP از Request دریافتی بوده که در صورت IPv6 بودن یک
یک تماس با تابع
@Unk9vvN
غول امنیت خود چند ماهی است قربانی متخصصین امنیت تهاجمی است. به تازگی آسیب پذیری 2nd Order Command Injection از سامانه FortiSIEM از خانواده محصولات شرکت Fortinet کشف شده است که امکان اجرای کد بصورت Unauthenticated را خواهد داد.
آسیب پذیری مطرح شده در Port 7900 بطور پیشفرض است که برای Phoenix Monitor Service است، این سرویس با Backend پایتون نوشته شده است و آسیب پذیری در آدرس زیر بوده است:
/opt/phoenix/deployment/jumpbox/datastore.pyآسیب پذیری در بخش تصدیق IP از Request دریافتی بوده که در صورت IPv6 بودن یک
storeData_list مقدار nfs_ip گرفته و در آدرس زیر:/opt/phoenix/deployment/jumpbox/datastore/nfs/test.pyیک تماس با تابع
testMount__ یک تماس گرفته خواهد شد که در (rt_mount=os.system(MNT_CM را در سطح root اجرا میکند، ورودی دریافتی به این تابع یعنی MNT_CMD پیشتر از [storeObj['nfs_string'__ دریافت شده بوده است.@Unk9vvN
#Argument_Injection RCE on PHP-CGI #CVE-2024-4577
اخیرا Orange Tsai یک آسیب پذیری کشف نموده، از PHP-CGI زبان PHP از نسخه 8.1 تا 8.3 را در XAMPP ویندوز تحت تاثیر قرار میدهد.
این آسیب پذیری در پیکربندی های PHP-CGI است در برنامه XAMPP، که مهاجم با ارسال یک فرمان اجرایی به پارامتر:
و نقطه انتهایی
نکته جالب این آسیب پذیری، Initialize کردن PHP-CGI برای مجاز کردن فرایند دریافت کد سمت سرور از URL را خود انجام داده و نهایتا با Wrapper مربوط به PHP اقدام به اجرای کد میکند.
https://blog.orange.tw/2024/06/cve-2024-4577-yet-another-php-rce.html
@Unk9vvN
اخیرا Orange Tsai یک آسیب پذیری کشف نموده، از PHP-CGI زبان PHP از نسخه 8.1 تا 8.3 را در XAMPP ویندوز تحت تاثیر قرار میدهد.
این آسیب پذیری در پیکربندی های PHP-CGI است در برنامه XAMPP، که مهاجم با ارسال یک فرمان اجرایی به پارامتر:
/cgi-bin/php-cgi.exe?d+allow_url_include=1+d+auto_prepend_file=php://inputو نقطه انتهایی
php-cgi.exe که موجبات اجرای wrapper مربوط به php را فراهم نبوده و مهاجم میتواند کد سمت سرور را با روش POST ارسال کرده و اجرا کند.نکته جالب این آسیب پذیری، Initialize کردن PHP-CGI برای مجاز کردن فرایند دریافت کد سمت سرور از URL را خود انجام داده و نهایتا با Wrapper مربوط به PHP اقدام به اجرای کد میکند.
https://blog.orange.tw/2024/06/cve-2024-4577-yet-another-php-rce.html
@Unk9vvN
#BypassEDR with #Code_Injection
در کنفرانس BlackHat 2022 یک ارائه ای مطرح شد مبنی بر رویکردی جدید از نحوه تزریق کد به یک Process بی آنکه توسط EDR ها شناسایی شود.
روش شناسی محقق بر مبنای امکان ایجاد یک Fork از یک Process است، بدین صورت که از یک پردازش والد بتوان یک پردازش والد دیگری را ایجاد نمود.
مشخصا محقق اشاره میکند که اینکار توسط یکی از توابع API سیستم عامل میتواند صورت گیرد با نام
همچنین تابع دیگری با نام PssCaptureSnapshot از POSIX ویندوز گرفته میشود برای ضبط محتوای مقادیر آدرس های مجازی یک پردازش.
حالا مهاجم بطور مثال میخواهد از LSASS یک Dump بگیرد، اینکار توسط EDR پیشگیری خواهد شد، اما اگر مهاجم بتواند بواسطه روش شناسی پیشتر توضیح داده شده بتواند یک Clone از پردازش LSASS ایجاد کند.
اینجا Dump صورت گرفته و EDR فرایند را تشخیص نخواهد داد و اینکار میبایست توسط Remote Fork API صورت بگیرد در Self Fork API .
ادامه موضوع از صفحه 13 به بعد است...
@Unk9vvN
در کنفرانس BlackHat 2022 یک ارائه ای مطرح شد مبنی بر رویکردی جدید از نحوه تزریق کد به یک Process بی آنکه توسط EDR ها شناسایی شود.
روش شناسی محقق بر مبنای امکان ایجاد یک Fork از یک Process است، بدین صورت که از یک پردازش والد بتوان یک پردازش والد دیگری را ایجاد نمود.
مشخصا محقق اشاره میکند که اینکار توسط یکی از توابع API سیستم عامل میتواند صورت گیرد با نام
RtlCloneUserProcess که از ماژول Windows Dagnostic Infrastructure گرفته شده است.همچنین تابع دیگری با نام PssCaptureSnapshot از POSIX ویندوز گرفته میشود برای ضبط محتوای مقادیر آدرس های مجازی یک پردازش.
حالا مهاجم بطور مثال میخواهد از LSASS یک Dump بگیرد، اینکار توسط EDR پیشگیری خواهد شد، اما اگر مهاجم بتواند بواسطه روش شناسی پیشتر توضیح داده شده بتواند یک Clone از پردازش LSASS ایجاد کند.
اینجا Dump صورت گرفته و EDR فرایند را تشخیص نخواهد داد و اینکار میبایست توسط Remote Fork API صورت بگیرد در Self Fork API .
ادامه موضوع از صفحه 13 به بعد است...
@Unk9vvN
#regreSSHion #OpenSSH #CVE-2024-6387
اخیرا برنامه OpenSSH که استفاده گسترده ای در پروتکل SSH دارد، دارای یک آسیب پذیری شرایط رقابتی یا Race Condition شده است.
این آسیب پذیری از نسخه 8.5p1 => 9.8p1 که در برابر
اینجا تقدم و تأخر لحظه استفاده و لحظه چک بهم خواهد خورد و آسیب پذیری این امکان رو خواهد داد که شما از 200 درخواست یا Request ارسالی چند مورد رو به اشتباه مجوز تایید بگیرید.
خب حالا نحوه رخداد آسیب پذیری چطور بوده؟ این آسیب پذیری بر روی سیستم عامل های لینوکسی که از کتابخونه
چرا که تابع syslog خود تابع async-signal-unsafe را فراخوانی میکند که این تابع از malloc و free برای تخصیص حافظه استفاده میکند که در منطقه سیستم است لذا سطح دسترسی نیز root خواهد بود، همچنین در تابع
@Unk9vvN
اخیرا برنامه OpenSSH که استفاده گسترده ای در پروتکل SSH دارد، دارای یک آسیب پذیری شرایط رقابتی یا Race Condition شده است.
این آسیب پذیری از نسخه 8.5p1 => 9.8p1 که در برابر
signal handler آسیب پذیری Race Condition رخ خواهد داد، که به زبان ساده میشود اینکه در یک بازه زمانی مشخص، چندین Thread موازی تلاش میکنند در یک منطقه حافظه برخی فرایند خواندن و برخی فرایند نوشتن را انجام دهند.اینجا تقدم و تأخر لحظه استفاده و لحظه چک بهم خواهد خورد و آسیب پذیری این امکان رو خواهد داد که شما از 200 درخواست یا Request ارسالی چند مورد رو به اشتباه مجوز تایید بگیرید.
خب حالا نحوه رخداد آسیب پذیری چطور بوده؟ این آسیب پذیری بر روی سیستم عامل های لینوکسی که از کتابخونه
glibc بهره میگیرند، قابل بهره برداری است.چرا که تابع syslog خود تابع async-signal-unsafe را فراخوانی میکند که این تابع از malloc و free برای تخصیص حافظه استفاده میکند که در منطقه سیستم است لذا سطح دسترسی نیز root خواهد بود، همچنین در تابع
main_sigchld_handler شرط آسیب قرار دارد.@Unk9vvN
#Adobe Reader 2018 #Zeroday Exploit Analysis
در تصویر شماره 0 در فایل فرمت PDF و در زبان ActionScript مهاجم اقدام به صدا زدن مفسر JavaScript میکنه، و بواسطه یک دکمه میاد و تابع
قبل از به اجرا در اومدن تابع، یک دکمه ساخته میشه که از نوع
در تصویر 3 مهاجم میاد تکنیک Heap Spray رو اجرا میکنه که موجب میشه در حافظه Heap طول بافر 10 هزار رزرو بشه، بعد میاد همون حافظه Alloc شده رو آزاد میکنه، بعد میاد بواسطه Object که
هک بواسطه یک PDF !
@Unk9vvN
در تصویر شماره 0 در فایل فرمت PDF و در زبان ActionScript مهاجم اقدام به صدا زدن مفسر JavaScript میکنه، و بواسطه یک دکمه میاد و تابع
trigger رو به اجرا در میاره.قبل از به اجرا در اومدن تابع، یک دکمه ساخته میشه که از نوع
display.visible هستش که اینکار باعث میشه JIT Compiler برنامه Adobe Reader بیاد و پردازشگر JPEG2000 رو صدا کنه و به طبع اون کتابخونه (JP2KLib.dll) پردازشگر این Object رو فراخوانی خواهد کرد.در تصویر 3 مهاجم میاد تکنیک Heap Spray رو اجرا میکنه که موجب میشه در حافظه Heap طول بافر 10 هزار رزرو بشه، بعد میاد همون حافظه Alloc شده رو آزاد میکنه، بعد میاد بواسطه Object که
f.display ساخته بود (JP2KLib) به رو از همون منطقه اشاره میکنه بعد میاد index رو بدست میاره و طول بافر 250 رو آزاد میکنه، بعد محاسبه میکنه از از 10 هزار 249 تا بره بالا چه آدرسی خواهد بود، بعد میاد بواسطه یه sprayarr دقیقا به همون اندازه که آزاد کرده بود به بالا، یعنی 0x400 اشاره میکنه که اینجا OOB Read اتفاق می افته...هک بواسطه یک PDF !
@Unk9vvN