La semana pasada, se llevó a cabo otro ejercicio sobre este tema en el campamento de sombrero blanco: el investigador David Buchanan encontró una manera de compartir archivos a través de imágenes en Twitter ( noticias , página de GitHub con descripción y código).
Aquí no hay ninguna vulnerabilidad: puede insertar datos en una imagen PNG de diferentes formas, y en este caso ni siquiera necesita una herramienta especial para decodificar. Basta con cambiar el nombre del archivo .png a .zip y descomprimir los datos del archivo resultante.
El autor de este truco encontró una función del procesador de imágenes en Twitter, que elimina algunos de los datos redundantes del archivo, pero no toca una de las áreas del IDAT, donde se oculta la información redundante. El método tiene limitaciones: si el archivo final tiene más de 3 MB, Twitter convertirá la imagen a JPEG. Una demostración del método está disponible en Twitter.el autor, y la imagen de allí se da arriba: el truco también funciona en Habré (en el momento de la publicación). Escondido dentro del archivo zip de la imagen se encuentra el código Python que le permite ocultar datos arbitrarios en PNG.
Otra demostración con un archivo más grueso: David no pudo resistir e hizo un "rickroll" en una sola imagen. Además de Twitter y Habr, un método similar funciona en el alojamiento de imágenes de Imgur y en el repositorio de GitHub, pero no funciona, por ejemplo, en Reddit.
Qué más sucedió:
Gran noticia de la semana: las vulnerabilidades previamente reveladas en dispositivos de red de alto rendimiento F5 BIG-IP y BIG-IQ se explotan activamente , el exploit para eludir los sistemas de autenticación es de dominio público.
Continúa la evaluación de los daños causados por vulnerabilidades en Microsoft Exchange Server, incluso fuera de los Estados Unidos. El Centro belga de respuesta a amenazas cibernéticas informa 400 servidores de correo afectados (leídos, pirateados). El sitio web de Microsoft ha publicado recomendaciones detalladas para que los administradores de sistemas "curen" los servidores atacados. También se lanzó un conjunto de actualizaciones periódicas para Exchange Server, incluida una que resuelve los problemas que podrían surgir después del "parche de bloqueo".
Otro parche de Microsoft tiene como objetivo cerrar todos los problemas de impresión en Windows 10 causados por actualizaciones fallidas publicadas anteriormente.
El fabricante de computadoras Acer supuestamente fue atacado con éxito por un ransomware. De acuerdo a BleepingComputer, la compañía está exigiendo $ 50 millones.
Facebook ha reunido su propio equipo de investigadores de seguridad de la información, un análogo de Google Project Zero y otros proyectos.
Investigación realizada por expertos de Kaspersky Lab: análisis de adware para macOS con código Rust y análisis de código malicioso con soporte para la arquitectura Apple M1.
Se ha descubierto una vulnerabilidad en el complemento de WordPress TutorLMS , que amenaza con el robo de datos y la escalada de privilegios.
Netflix está introduciendo una regla según la cual el propietario debe confirmar el uso simultáneo de una cuenta en diferentes ubicaciones. El servicio de transmisión está luchando no tanto con los usuarios comunes que pasan contraseñas a amigos, sino con el mercado negro de cuentas.