OAuth como herramienta para ataques de envío de spam

Rimas populares OAuth es un estándar para delegar el acceso a aplicaciones que es muy útil cuando no queremos compartir una contraseña con un sitio (al menos no todas las veces) pero necesitamos identificarnos y poder realizar acciones. Se utiliza con bastante frecuencia en APIs, pero también en aplicaciones móviles (a través de APIs también, la verdad) para gestionar mejor la autenficación (y la autorización) en diversos servicios. En este caso, este tipo de autorización se ha utilizado simplemente como herramienta de ataque.

En Malicious OAuth applications abuse cloud email services to spread spam nos hablaban de un caso donde aplicaciones maliciosas usaban el estándar para acceder a recursos en la nube y enviar spam.

Microsoft researchers recently investigated an attack where malicious OAuth applications were deployed on compromised cloud tenants and then used to control Exchange Online settings and spread spam.

Este tipo de problemas son relativamente sencillos de evitar con sistemas de autentificación multifactor pero en este caso se atacaba precisamente a los que no lo tenían activdado.

The investigation revealed that the threat actor launched credential stuffing attacks against high-risk accounts that didn’t have multi-factor authentication (MFA) enabled and leveraged the unsecured administrator accounts to gain initial access.

El atacante primero compromete las cuentas de usuarios con suficientes privilegios, lo que le permite crear aplicaciones en el entorno.

For the attack to succeed, the threat actor needed to compromise cloud tenant users with sufficient permissions that would allow the actor to create an application in the cloud environment and give it admin consent

Luego modifica la configuración del servidor de correo y lo utiliza para enviar los mensajes.

Como medios de mitigación se indican:

Reducir el riesgo de ataques de intento de adivinar las credenciales, activando la autentificación multi factor.

The most common initial access vector observed in this attack was account compromise through credential stuffing, and all the compromised administrator accounts did not have MFA enabled. Implementing security practices that strengthen account credentials such as enabling MFA raises the cost of an attack.

Activar las políticas de acceso condicional, basadas en dispositivos, dirección IP, ….

Conditional access policies are evaluated and enforced every time the user attempts to sign in. Organizations can protect themselves from attacks that leverage stolen credentials by enabling policies such as device compliance or trusted IP address requirements.

Activar la evaluación contínua de acceso, que permite revocar automáticamente el acceso cuando se observan determinadas acciones de riesgo.

Continuous access evaluation (CAE) revokes access in real time when changes in user conditions trigger risks, such as when a user is terminated or moves to an untrusted location.

Activar las opciones de seguridad por defecto, que son gratuitas y suficientes para mitigar los riesgos.

sufficient to better protect the organizational identity platform, as they provide preconfigured security settings such as MFA, protection for privileged activities, and others.

Y también habla de las técnicas de detección que hay disponibles.

Reflejos y videoconferencias. ¿Estás mostrando demasiado?

Reflejos en la pasarela Durante la pandemia, una de las cosas que llamó mi atención, sobre todo al principio fue la naturalidad con la que la mayoría mostrábamos nuestros hogares (bueno, una parte) en las múltimples reuniones por videoconferencia. Luego surgieron los fondos que oscurecen u ocultan esa información, pero no todo el mundo sabía/podía usarlos.

Ciertamente, seguro que todos tratábamos de mostrar una parte de nuestras habitaciones que pensábamos que podíamos enseñar sin problemas (¿quién no ha quitado una fotografía de una estantería, o movido algunos libros a otra parte?).

Sin embargo, el medio es nuevo para casi todos y seguro que hemos hecho cosas mal. Pero aunque así no fuera, nos cuentan en Lens reflections may betray your secrets in Zoom video calls que todavía hay preocupaciones que debemos tener: nuestras gafas pueden reflejar el contenido que tenemos delante y podrían mostrar más información de la que nos gustaría.

Los investigadores de la Universidad de Michigan y la de Zheijian, Yan Long, Chen Yan, Shilin Xiao, Shivan Prasad, Wenyuan Xu, y Kevin Fu han publicado un artículo analizando las amenazas que suponen estos reflejos en nuestras videoconferencias.

“Our work explores and characterizes the viable threat models based on optical attacks using multiframe super resolution techniques on sequences of video frames,” the computer scientists explain in their paper.

En un ambiente controlado de laboratorio se puede recomponer bastante información (más de un 75%).

“Our models and experimental results in a controlled lab setting show it is possible to reconstruct and recognize with over 75 percent accuracy on-screen texts that have heights as small as 10 mm with a 720p webcam.”

Pero si lo que se quiere conocer es, por ejemplo, el sitio web que estamos visitando mientras estamos en la reunión, la tasa de aciertos mejora mucho.

When the goal was to identify just the specific website visible on the screen of a video meeting participant from an eyeglass reflection, the success rate rose to 94 percent among the Alexa top 100 websites.

Atención.

Previsualización y ataques

CEDI. The ideal of Verified Software. Parece que nos cuesta aprender: si hay una característica que permite conectarse a internet en algo que no se ha desarrollado cuidadosamente, alguien la aprovechará para atacarnos.

En este caso hablamos de Hackers use PowerPoint files for ‘mouseover’ malware delivery una característica de las que llamaríamos ‘chulas’: cuando pasas el ratón por encima de un enlace en un ‘PowerPoint’ se puede ver una vista previa de la cosa. En este caso se intenta descargar una imagen.

When opening the lure document in presentation mode and the victim hovers the mouse over a hyperlink, a malicious PowerShell script is activated to download a JPEG file (“DSC0002.jpeg”) from a Microsoft OneDrive account.

Pero la imagen resulta ser una DLL cifrada y se arma el lío.

The JPEG is an encrypted DLL file (lmapi2.dll), that is decrypted and dropped in the ‘C:\ProgramData' directory, later executed via rundll32.exe. A registry key for persistence is also created for the DLL.

La complejidad de los navegadores y la dificultad de crear uno desde cero

Nasas y barco pesquero Hacer un navegador, nos dicen en The reckless, infinite scope of web browsers es una tarea muy complicada.

El problema tiene que ver con la larga historia de la web: no hay límites en lo que se puede ver en el navegador, ni en las características que se van añadiendo:

This strategy of unlimited scope and perpetual feature creep is reckless, andhas been allowed to go on for far too long.

Hay 1217 especificaciones de la W3C y resulta que alguien interesado debería leerse 114 millones de palabras, que es muchísimo.

The total word count of the W3C specification catalogue is 114 million words at the time of writing. If you added the combined word counts of the C11, C++17, UEFI, USB 3.2, and POSIX specifications, all 8,754 published RFCs, and the combined word counts of everything on Wikipedia’s list of longest novels, you would be 12 million words short of the W3C specifications.

La conclusión es que es imposible construir un nuevo navegador (y la prueba es que cada vez tenemos menos, aunque parezca que hay más porque se reutilizan dos o tres motores compartidos).

Aunque no nos cuesten dinero, resulta que el navegador puede ser el programa más costoso de los que hay en un sistema típico.

Browsers are the most expensive piece of software a typical consumer computer runs.

Y también tiene consecuencias desde el punto de vista de la seguridad, siendo estos programas responsables de un montón de problemas.

Web browsers areresponsible for more than 8,000 CVEs.

Ya queda muy lejos cuando hablábamos de la seguridad de mozilla por su simplicidad frente al Internet Explorer, Software Complexity: Open Source vs Microsoft . Por cierto, sorpresa agradable al ver que aún hay entradas recientes (marzo de este año) en ese blog.

Actualización (2022-10-04) Me recordaban en Mastodon (no es visible públicamente, no lo enlazo) el reciente anuncio de Privacy Browser PC y lo añado aquí.

Extracción de información de sistemas infectados a través de las luces LED

Antenas En Air-Gapped Devices Can Send Covert Morse Signals via Network Card LEDs nos cuentan de otro caso de extracción de información de una máquina. Esta vez, a través de los LEDs de la tarjeta de red, utilizando el lenguaje morse.

A security researcher who has a long line of work demonstrating novel data exfiltration methods from air-gapped systems has come up with yet another technique that involves sending Morse code signals via LEDs on network interface cards

Se trataría de instalar un malware en la máquina y utilizarlo para controlar esas lucecitas LED, mediante parpadeos o cambios de color.

Malware installed on the device could programmatically control the status LED by blinking or alternating its colors, using documented methods or undocumented firmware commands,” Dr. Guri said.

Curioso.