RSS Initiative Zéro Jour - Blo... Note

RSS Initiative Zéro Jour - Blog

Le Zebra Dining est un blog en ligne qui se concentre sur les services de restauration et de style de vie. Ils partagent divers articles et guides liés à la nourriture, aux restaurants et aux expériences culinaires. Leur blog propose des critiques, des recommandations et des aperçus qui aident les lecteurs à améliorer leurs expériences culinaires et leur style de vie.

Fil de notes

CdXz5zHNQW_dJZTAjgLHS.jpeg
La Trend Micro Zero Day Initiative a découvert une vulnérabilité critique dans la bibliothèque Transformers4Rec de NVIDIA, permettant l'exécution de code à distance avec des privilèges root. Cette vulnérabilité, CVE-2025-23298, découle d'une désérialisation non sécurisée lors du chargement de points de contrôle de modèles à l'aide du module pickle de Python. Transformers4Rec, faisant partie de l'écosystème Merlin, est largement utilisé pour les tâches de recommandation et s'intègre à Hugging Face Transformers. La faille réside dans la fonction load_model_trainer_states_from_checkpoint, qui utilise directement torch.load() sans paramètres de sécurité, l'exposant à des fichiers pickle malveillants. La méthode __reduce__ de Pickle permet l'exécution de code arbitraire lors de la désérialisation. La surface d'attaque est importante en raison du partage fréquent de modèles et de la confiance accordée aux fichiers de points de contrôle, d'autant plus que ces processus s'exécutent souvent avec des privilèges élevés. Un point de contrôle malveillant pourrait exécuter des commandes système avant le chargement des poids du modèle. L'impact réel inclut l'exécution de code à distance, l'escalade de privilèges, l'exfiltration de données et les attaques de la chaîne d'approvisionnement. NVIDIA a corrigé la vulnérabilité en implémentant un mécanisme de chargement personnalisé qui restreint la désérialisation aux classes approuvées. Cet incident souligne les défis de sécurité omniprésents dans l'écosystème ML/IA en raison de la dépendance à pickle. Il est conseillé aux développeurs d'éviter pickle pour les données non fiables, d'utiliser weights_only=True, de restreindre les classes fiables et d'envisager des formats de sérialisation sécurisés comme Safetensors. Les organisations devraient auditer la provenance des modèles, implémenter la signature et mettre en bac à sable le chargement des modèles. La communauté ML doit s'éloigner de pickle et donner la priorité à la sécurité dans la conception des frameworks.
CdXz5zHNQW_ETMuumC4hx.jpeg
Adobe a publié neuf bulletins de sécurité pour septembre, traitant de 22 CVE uniques dans divers produits tels qu'Acrobat Reader, After Effects et Premiere Pro. Seule la mise à jour de ColdFusion est classée Priorité 1, bien qu'aucune exploitation ne soit détectée. La mise à jour de Commerce corrige un seul bug critique, également sans exploitation notée. Acrobat reçoit un correctif pour un bug critique et un modéré. After Effects comprend des correctifs pour trois bugs importants. Premiere Pro reçoit un correctif pour une vulnérabilité potentielle d'exécution de code. Substance 3D Viewer et Modeler ont chacun trois bugs d'exécution de code corrigés. Experience Manager a le plus de correctifs avec sept, dont un est critique. Le correctif de Dreamweaver corrige un bug de falsification de requête intersite. Aucune des vulnérabilités de septembre d'Adobe n'était publiquement connue ou activement exploitée lors de la publication. Microsoft a publié 80 nouveaux CVE pour septembre, couvrant Windows, Office, Azure, et plus encore, avec huit classés critiques et le reste importants. Ce volume place Microsoft bien en avance sur les publications de correctifs de l'année dernière. Un bug publiquement connu existe, mais aucun n'est en cours d'attaque active. Une vulnérabilité critique dans Microsoft HPC Pack permet l'exécution de code à distance sans interaction de l'utilisateur. Microsoft Office continue d'avoir des vulnérabilités d'exécution de code via son volet d'aperçu. Une vulnérabilité d'élévation de privilèges NTLM de Windows permet une escalade vers SYSTEM avec une faible complexité d'exploitation.
CdXz5zHNQW_QWIp701lml.png
CdXz5zHNQW_5SvYBDnbFN.png
CdXz5zHNQW_OodFbgd3rb.jpeg
Une vulnérabilité dans Cisco Identity Services Engine (ISE), spécifiquement dans la méthode enableStrongSwanTunnel, permettait l'injection de commandes en tant que root. Initialement signalée comme une vulnérabilité de désérialisation, elle incluait également une faille d'injection de commandes. Le chercheur, Kentaro Kawane, a découvert que des données fournies par l'attaquant étaient utilisées pour exécuter des scripts shell avec des privilèges sudo. L'exploitation s'est avérée plus complexe que prévu en raison de la manière dont la méthode exec() de Java tokenise les commandes. Le StringTokenizer de Java ignore les guillemets, empêchant l'exécution directe de commandes ; cependant, le chercheur a contourné ce problème en utilisant la variable Bash IFS (Internal Field Separator). Cela a permis l'injection de commandes en tant qu'argument unique, évitant ainsi les problèmes de tokenisation. Les commandes injectées s'exécutaient initialement dans un conteneur Docker, mais comme le conteneur fonctionnait en mode privilégié, le chercheur a utilisé une technique de "User-Mode Helpers" pour s'échapper du conteneur et obtenir un accès root sur le système hôte. Un encodage base64 a été utilisé pour contourner la limitation du caractère espace dans la charge utile. L'exploit complet impliquait l'envoi d'une requête POST spécialement conçue à l'endpoint vulnérable. Cette exploitation réussie démontre une combinaison de vulnérabilités menant à un compromis total du système. Le chercheur souligne l'importance de comprendre à la fois le comportement de exec() de Java et les capacités des conteneurs Docker privilégiés. Des recherches supplémentaires dans ce domaine sont prévues.
CdXz5zHNQW_BI9SLIJrly.jpeg
Manfred Paul a exploité une vulnérabilité (CVE-2025-4919, ZDI-25-291) dans le compilateur JavaScript JIT IonMonkey de Firefox lors de Pwn2Own Berlin 2025. La vulnérabilité résidait dans la fonction ExtractLinearSum, utilisée pour simplifier les expressions linéaires. Cette fonction gérait incorrectement l'espace mathématique modulo, ce qui causait des problèmes avec les vérifications de limites. La fonction TryEliminateBoundsCheck, qui utilise ExtractLinearSum, fusionnait les vérifications de limites sans tenir compte des débordements d'entiers possibles. Cette faille permettait de contourner les vérifications de limites dans les tableaux typés de grande taille. L'exploitation impliquait la création d'un tableau typé de grande taille et la manipulation d'indices pour déclencher une lecture ou une écriture hors limites. L'exploit utilisait des opérations bit à bit pour forcer des additions avec wrapping, trompant ainsi l'élimination des vérifications de limites. Un BigInt a été utilisé pour empêcher les optimisations du compilateur qui auraient pu gêner l'exploit. La cause racine de la vulnérabilité réside dans la gestion incohérente de l'espace mathématique dans les différents sites d'appel de la fonction ExtractLinearSum. Des vulnérabilités similaires pourraient exister dans d'autres parties du compilateur Ion qui utilisent ExtractLinearSum pour l'analyse de boucles. Mozilla a corrigé la vulnérabilité dans Firefox 138.0.4. L'exploit a démontré le danger des opérations entières non vérifiées dans les compilateurs JIT.
CdXz5zHNQW_sqeUCNKfYs.jpeg
CdXz5zHNQW_E82TteXz7y.jpeg
Une vulnérabilité d'exécution de code a été découverte dans le système d'exploitation macOS d'Apple, plus précisément dans l'utilitaire Scriptable Image Processing System (sips). Cette vulnérabilité est due à un manque de validation adéquate des types de balises "lutAToBType" et "lutBToAType" dans les fichiers de profil ICC. Un attaquant distant peut exploiter cette vulnérabilité en incitant une victime à ouvrir un fichier spécialement conçu, ce qui entraîne l'exécution de code sur la machine de la victime dans le contexte du processus en cours d'exécution. La vulnérabilité réside dans la fonction sub_1000194D0(), qui gère les données des éléments balisés dans les fichiers de profil ICC. La fonction ne valide pas correctement la valeur du champ "Offset to CLUT" (Décalage vers CLUT), permettant à un attaquant de définir un décalage égal à la longueur totale des données de l'élément balisé, ce qui amène la fonction à lire et à modifier la mémoire au-delà de la fin du tampon alloué par le tas. Un attaquant distant peut exploiter cette vulnérabilité en créant un fichier de profil ICC malveillant et en incitant la victime à le traiter à l'aide d'une version vulnérable des outils sips. Pour détecter une attaque exploitant cette vulnérabilité, les dispositifs de détection doivent surveiller et analyser le trafic sur des ports et services spécifiques, et inspecter le contenu des fichiers de profil ICC. Le dispositif de détection doit vérifier le champ de signature du profil, calculer la taille de la table des balises et inspecter les données des éléments balisés à la recherche d'activités suspectes. Apple a corrigé cette vulnérabilité et aucune attaque n'a été détectée en nature. Il est recommandé d'appliquer le correctif du fournisseur pour résoudre complètement ce problème.
CdXz5zHNQW_YdZdrDpgEK.jpeg
Le produit SolarWinds Access Rights Manager s'est avéré présenter plusieurs vulnérabilités, dont des vulnérabilités de type exécution de code à distance avant authentification et suppression de fichiers. Un chercheur a découvert 18 vulnérabilités dans le produit, dont des vulnérabilités de suppression de fichiers avant authentification pouvant être utilisées pour élever les privilèges sur les machines Windows rattachées à un domaine. Les vulnérabilités ont été corrigées par le fournisseur avec la mise à jour ARM 2024.3.Le chercheur a découvert que le produit fonctionne à l'aide d'un compte de domaine, qui peut être un compte de service très privilégié ou un compte d'administrateur de domaine. Les vulnérabilités de suppression de fichiers avant authentification peuvent être utilisées pour supprimer des fichiers à distance en tant que compte de domaine très privilégié.Le chercheur a montré comment la vulnérabilité de suppression de fichiers peut être utilisée pour élever les privilèges sur n'importe quelle machine Windows rattachée au domaine. La vulnérabilité peut être exploitée en fournissant un chemin UNC à la méthode File.Delete, ce qui permet à l'attaquant de supprimer des fichiers à distance en tant qu'administrateur.Le chercheur a également montré comment la vulnérabilité peut être utilisée pour élever les privilèges sur une machine n'exécutant pas SolarWinds ARM. L'attaquant peut utiliser la vulnérabilité de suppression de fichiers pour supprimer un fichier d'une machine qu'il contrôle, ce qui lui permet de découvrir le nom du compte SolarWinds ARM AD.Le chercheur a conclu que la vulnérabilité de suppression de fichiers peut avoir un impact significatif sur la sécurité de l'ensemble du domaine Active Directory. La vulnérabilité peut être utilisée pour élever les privilèges sur n'importe quelle machine Windows rattachée au domaine, même celles sur lesquelles SolarWinds ARM n'est pas installé.Le chercheur a recommandé à tous les utilisateurs de SolarWinds ARM de tester et de déployer la mise à jour ARM 2024.3 dès que possible pour corriger les vulnérabilités. Le chercheur a également fourni une démonstration de l'exploit et a encouragé les utilisateurs à les suivre sur les réseaux sociaux pour obtenir les dernières informations sur les techniques d'exploit et les correctifs de sécurité.
Adobe et Microsoft ont publié leurs mises à jour régulières prévues pour novembre 2024. Adobe a publié huit correctifs pour résoudre 48 vulnérabilités CVE dans divers produits, notamment Adobe Bridge, Audition, After Effects et Photoshop. Le plus grand correctif concerne Substance 3D Painter avec 22 vulnérabilités critiques et importantes. Aucune des failles corrigées par Adobe ce mois-ci n'est répertoriée comme étant publiquement connue ou sous attaque active au moment de la publication.Microsoft a publié 89 nouvelles vulnérabilités CVE dans Windows et ses composants, Office et ses composants, Azure et d'autres produits. Quatre des correctifs sont classés comme critiques, 84 sont classés comme importants et un est classé comme modéré en termes de gravité. Microsoft répertorie trois de ces vulnérabilités comme étant publiquement connues, mais il est signalé que cinq sont en réalité publiquement connues. Deux vulnérabilités CVE sont répertoriées comme étant exploitées dans la nature au moment de la publication.Les vulnérabilités CVE exploitées dans la nature incluent une vulnérabilité de divulgation de hachage NTLM et une vulnérabilité d'élévation de privilèges de planificateur de tâches Windows. D'autres vulnérabilités notables incluent une vulnérabilité d'exécution de code à distance Kerberos Windows, qui permet à un attaquant distant non authentifié d'exécuter du code sur un système affecté, et une vulnérabilité d'exécution de code à distance .NET et Visual Studio, qui permet aux attaquants d'exécuter du code en envoyant une demande spécialement conçue à une application web .NET affectée.Microsoft a également publié des correctifs pour divers autres produits, notamment Azure, SQL Server et Visual Studio. L'entreprise a résolu un total de 949 vulnérabilités CVE jusqu'à présent cette année, ce qui fait de 2024 sa deuxième année la plus importante en termes de correctifs. Il est conseillé aux utilisateurs de tester et de déployer les mises à jour dès que possible pour se protéger contre les attaques potentielles.
Adobe et Microsoft ont publié leurs derniers correctifs de sécurité pour octobre 2024. Adobe a publié neuf correctifs pour résoudre 52 vulnérabilités (CVE) dans divers produits, notamment Adobe Commerce, Dimension, Animate et FrameMaker. Deux de ces vulnérabilités ont été soumises par le programme ZDI, et aucune des vulnérabilités corrigées par Adobe ce mois-ci n'est répertoriée comme étant publiquement connue ou sous attaque active.Microsoft a publié 117 nouvelles vulnérabilités (CVE) dans Windows et ses composants, Office et ses composants, Azure, .NET et Visual Studio, ainsi que dans d'autres produits. L'une de ces vulnérabilités a été signalée par le programme ZDI, et cinq CVE sont répertoriées comme étant publiquement connues, dont deux sont répertoriées comme étant sous attaque active.Certaines des vulnérabilités notables incluent une vulnérabilité de contournement de la plateforme MSHTML de Windows, une vulnérabilité d'exécution de code à distance de la console de gestion Microsoft et une vulnérabilité d'exécution de code à distance du gestionnaire de configuration Microsoft. Ces vulnérabilités sont classées comme modérées ou critiques et pourraient permettre à des attaquants distants non authentifiés d'exécuter du code arbitraire ou d'obtenir des privilèges élevés.Microsoft a également publié des correctifs pour divers autres produits, notamment Azure, .NET et Visual Studio, pour résoudre des vulnérabilités telles que l'exécution de code à distance, le refus de service et l'élévation de privilèges. Les correctifs incluent également des corrections pour des CVE de tiers, portant le nombre total de CVE résolues à 121.Il est essentiel d'appliquer ces correctifs dès que possible pour prévenir les attaques et les exploits potentiels. Les utilisateurs doivent donner la priorité au test et au déploiement des mises à jour rapidement, en particulier pour les vulnérabilités répertoriées comme étant sous attaque active.
Ce document détaille comment les flux de données alternatifs NTFS (ADS) peuvent être exploités pour contourner les hypothèses de sécurité et atteindre l'élévation de privilèges. La technique, découverte par le chercheur Abdelhamid Naceri, exploite le fait que les répertoires avec ADS sont considérés comme vides, permettant la création de jonctions NTFS même après que le programme a vérifié si le répertoire est vide. Cette technique est illustrée à travers deux vulnérabilités : CVE-2024-0353 dans les produits de sécurité ESET et CVE-2024-7238 dans VIPRE Advanced Security. Les deux vulnérabilités impliquent des fonctionnalités de protection en temps réel qui suppriment les fichiers malveillants détectés.L'exploit consiste à créer un ADS contenant une chaîne de test EICAR et à surveiller les modifications des attributs de fichier ou des timestamps. Lorsqu'une modification est détectée, signalant une suppression imminente, une jonction NTFS est créée, pointant vers le fichier cible que l'attaquant souhaite supprimer.L'exploit réussit car ESET et VIPRE ne prennent pas les précautions nécessaires lors de l'ouverture des fichiers pour suppression, comme vérifier la présence de points de reparse ou mettre en œuvre correctement l'impersonnalisation. Cela permet aux attaquants de rediriger l'opération de suppression vers des fichiers arbitraires, y compris des fichiers critiques pour le système, menant à une élévation de privilèges. Le document souligne que plusieurs vendeurs et produits pourraient être vulnérables à cette technique en raison d'un manque de tests et exhorte ces derniers à offrir des essais gratuits pour la recherche en sécurité. Il met également en évidence l'importance de la mise en œuvre appropriée de l'impersonnalisation pour prévenir de telles vulnérabilités. Les auteurs exhortent les défenseurs à évaluer leurs produits pour ces faiblesses potentielles et les vendeurs à prioriser les tests de sécurité et les pratiques de divulgation responsable. Cette analyse détaillée de la technique d'exploitation ADS constitue un avertissement et un appel à l'action pour la communauté de la cybersécurité.
Au fil des ans, il y a eu une augmentation significative du nombre de vulnérabilités de suivi de lien soumises au programme ZDI. Ces vulnérabilités impliquent souvent l'exploitation programmée de conditions de course et sont trouvées dans des applications qui s'exécutent avec des privilèges élevés et effectuent des opérations de fichiers. Pour trouver ces vulnérabilités, les chercheurs identifient les opérations de fichiers qui créent, modifient ou suppriment des fichiers dans des emplacements accessibles aux utilisateurs standard, puis vérifient l'absence de vérifications pour les liens créés par les utilisateurs. Plusieurs stratégies mises en œuvre par les développeurs pour prévenir le suivi des liens incluent l'utilisation du drapeau FILE_FLAG_OPEN_REPARSE_POINT, la vérification d'un tag de reparse, l'utilisation de fichiers protégés et cachés, et l'impersonnalisation. Cependant, toutes ces méthodes ne sont pas efficaces.Une technique prometteuse consistait à exploiter l'impersonnalisation incorrecte, mais une mitigation de Microsoft de septembre 2023 (ObpUseSystemDeviceMap) limite cette technique aux recherches de fichiers sur le disque système. Les vulnérabilités dans les produits AVG et Avast démontrent des bugs d'élévation de privilège par suivi de lien avec des vérifications manquantes. Dans un cas, une condition de service refusé pourrait être créée en exploitant l'absence de prévention du suivi de lien pendant la création d'un répertoire. Dans un autre cas, une élévation de privilège locale pourrait être atteinte en exploitant une condition de course pendant la reconstruction du chemin de fichier après restauration d'un fichier de quarantaine. Ces vulnérabilités soulignent l'importance de prévenir correctement le suivi des liens dans les applications qui effectuent des opérations de fichiers avec des privilèges élevés.
Le ZDI de Trend Micro a publié plusieurs advisories mettant en évidence des vulnérabilités dans le dispositif de communication Deep Sea Electronics DSE855.Le dispositif permet la surveillance via une connexion USB et manque de mesures d'authentification de base, ce qui entraîne la divulgation de la sauvegarde de la configuration.Deux gestionnaires supplémentaires non authentifiés permettent aux attaquants de redémarrer ou de réinitialiser le dispositif à ses paramètres d'usine.Le fuzzing du dispositif a révélé une overflow de pile dans la gestion des valeurs de limite dans les requêtes multipart, ce qui pourrait entraîner l'exécution de code arbitraire.Un autre overflow de buffer a été identifié dans la gestion des valeurs dans les requêtes multipart, permettant aux attaquants de modifier la mémoire et potentiellement d'exécuter du code arbitraire.Une erreur logique dans la gestion des valeurs de limite a entraîné une boucle infinie et une déni de service.Malgré la notification des vulnérabilités à Deep Sea Electronics en janvier, aucun correctif n'a été publié dans le délai standard de 120 jours du ZDI, ce qui a conduit à la publication d'advisories 0-day en juin.Le logiciel du dispositif est basé sur le middleware embOS/IP de Segger, qui n'avait apparemment pas de mécanisme d'authentification pour les fonctions critiques.Le système embarqué manquait de mécanismes de mitigation d'exploitation tels que le bit NX ou la randomisation de la mise en page, le rendant vulnérable à l'exploitation.Le ZDI souligne l'importance de la divulgation responsable des vulnérabilités et encourage les vendeurs à mettre en place des processus de gestion des incidents appropriés.
Le concours de hacking Pwn2Own se déplace à Cork, en Irlande, du 22 au 25 octobre 2024, et présentera de nouveaux cibles et catégories. Meta rejoint en tant que sponsor, ajoutant WhatsApp à la nouvelle catégorie d'application Messenger avec un prix principal de 300 000 $ pour une exploitation zero-click. Cette année, la compétition introduit des appareils intelligents de Samsung, Google, Synology et Ubiquiti, ajoutant une couche de complexité pour les concurrents. La populaire catégorie SOHO Smashup revient, défiant les participants à exploiter un routeur et à pivoter vers un autre appareil du réseau. Les systèmes de surveillance, y compris les caméras filaires et sans fil, font également leur retour, promettant des exploits passionnants. D'autres catégories comprennent les hubs d'automatisation domestique, les imprimantes, les enceintes intelligentes et les appareils NAS, chacune avec une gamme de cibles et d'argent de prix. La compétition aura lieu à la célèbre Cork City Goal, promettant une atmosphère unique. Les inscriptions sont ouvertes jusqu'au 17 octobre 2024, et les participants sont encouragés à consulter les règles et les lignes directrices mises à jour. L'événement sera couvert en direct sur le blog et Twitter de Zero Day Initiative, offrant des mises à jour en temps réel sur le progrès de la compétition. Trend Micro exprime sa gratitude à Meta, Synology et QNAP pour leur partenariat et leur soutien pour rendre possible Pwn2Own Ireland 2024.
Microsoft a publié un correctif pour CVE-2024-38112, qui était exploité dans la nature. L'initiative Zero Day de Trend Micro (ZDI) a signalé l'exploit à Microsoft en mai, mais cela n'a pas été reconnu dans la sortie du correctif. Cela met en évidence le manque de transparence et de coordination dans la divulgation de vulnérabilité coordonnée (CVD). Les chercheurs rencontrent souvent des problèmes de communication lorsqu'ils signalent des bugs, comme ne pas recevoir de confirmation ou de reconnaissance des vendeurs. L'initiative Secure Future de Microsoft n'a pas abouti à une transparence accrue. Les vendeurs doivent prendre des mesures pour gagner la confiance des chercheurs, comme fournir des communications claires, des reconnaissances appropriées et des informations précises sur les correctifs. ZDI aide les chercheurs à gérer les communications avec les vendeurs, mais des disputes sur la gravité des réparations et les évaluations CVSS peuvent encore surgir. Les chercheurs pourraient recourir à la divulgation publique si ils estiment que leurs rapports ne sont pas traités de manière adéquate. Malgré le concept de CVD, de nombreux vendeurs n'embrassent pas pleinement la responsabilité de coordonner avec les chercheurs. Le Cyber Safety Review Board et ProPublica ont mis en évidence les échecs de communication de Microsoft, soulignant la nécessité d'une responsabilité dans l'industrie. Les prix Vanguard de ZDI reconnaîtront les vendeurs qui démontrent l'excellence dans la CVD. Le manque de coordination dans la CVD n'affecte pas seulement les relations vendeur-chercheur, mais également la capacité des utilisateurs finaux à évaluer le risque et à faire confiance aux correctifs de sécurité.