Microsoft to Reward Hackers for Finding Bugs in Open Source Election Software

Por Mohit Kumar em 18/10/2019 no site The Hacker News.

Fair elections are the lifelines of democracy, but in recent years election hacking has become a hot topic worldwide.

Whether it's American voting machines during the 2016 presidential election or India's EVMs during 2014 general elections, the integrity, transparency, and security of electronic voting machines remained questionable, leaving a wound in the minds of many that is difficult to heal.

Many countries, including the largest democracy in the world i.e., India, believe the best way to ensure the security of EVMs is to make its technology opaque to bad actors, but in recent years a large section of the population is losing trust in any system that has been certified by a closed group of experts only.

To make a balance between transparency and security, in May 2019, Microsoft released a free, open-source software development kit (SDK) called ElectionGuard that aims to enable end-to-end verification of voting.

Microsoft's ElectionGuard SDK can be integrated into voting systems and has been designed to "enable end-to-end verification of elections, open results to third-party organizations for secure validation, and allow individual voters to confirm their votes were correctly counted."

ElectionGuard Bug Bounty Program

Since no software comes bugs-free, Microsoft today finally launched the ElectionGuard Bounty program, inviting security researchers from across the world to help the company discover high impact vulnerabilities in the ElectionGuard SDK.

"The ElectionGuard Bounty program invites security researchers to partner with Microsoft to secure ElectionGuard users, and is a part of Microsoft's broader commitment to preserving and protecting electoral processes under the Defending Democracy Program," the company says in a blog post published today.

"Researchers from across the globe, whether full-time cybersecurity professionals, part-time hobbyists, or students, are invited to discover high impact vulnerabilities in targeted areas of the ElectionGuard SDK and share them with Microsoft under Coordinated Vulnerability Disclosure (CVD)."

ElectionGuard Bounty offers cybersecurity researchers a reward of up to $15,000 for eligible submissions with a clear and concise proof of concept (POC) to demonstrate how the discovered vulnerability could be exploited to achieve an in-scope security impact.

The ElectionGuard components that are currently in scope for bug bounty awards include ElectionGuard API SDK, ElectionGuard specification and documentation, and verifier reference implementation.

However, the tech giant says it will update the ElectionGuard bounty scope with additional components to award further research in the future.

Bombas de infusão vulneráveis ​​podem ser acessadas remotamente para alterar as doses

por Waqas em14 de junho de 2019 no site HackRead

Clean Medical

Pesquisadores da CyberMDX, uma empresa de segurança de saúde, identificaram duas vulnerabilidades diferentes em Becton Dickinson Alaris gateway Workstations ( AGW ) utilizados pelos hospitais em bombas de infusão médicas. Um dos bugs é tão grave que leva uma classificação crítica de 10 na escala de gravidade CVSS v.3.

O outro bug é comparativamente menos grave e é encontrado na interface de gerenciamento baseada na Web da estação de trabalho.

As estações de trabalho acima mencionadas são fabricadas pelo popular fabricante de dispositivos médicos Becton Dickinson. Essas falhas podem ser aproveitadas por um invasor remotamente e sem necessidade de qualquer autenticação para obter controle total da bomba de infusão.

Os bugs são o resultado de uma falha (rastreada como  CVE-2019-10959 ) no código de firmware do dispositivo e explorando essas falhas, um invasor pode facilmente seqüestrar o dispositivo para desativá-lo completamente, instalar firmware ou malware não autorizado e relatar informações falsas. Também é possível que o invasor se comunique diretamente com as bombas ligadas ao gateway para manipular as dosagens de drogas e até mesmo alterar as taxas de infusão, sendo ambos cenários drásticos.

Uma Estação de Trabalho Gateway Becton Dickinson Alaris.

Vale a pena notar que nenhum privilégio especial seria necessário pelo invasor para executar essas tarefas. Assim, sem muita demora, o atacante pode brincar com a vida dos pacientes, evitando o tratamento que salva vidas.

Essa exploração pode ser realizada por qualquer pessoa que tenha acesso à rede interna do hospital. Os arquivos transferidos através da atualização são copiados diretamente para a memória interna e autorizados a substituir os arquivos existentes, disseram os pesquisadores.

As estações de trabalho Alaris Gateway podem alimentar, monitorar e controlar o uso médico de bombas de infusão. Esses dispositivos são usados ​​em UTIs e enfermarias de hospitais para dispensar drogas planejadas automaticamente a um paciente. Essas bombas são usadas para fornecer uma variedade de medicamentos que exigem dosagem contínua, como insulina e analgésicos.

Na maioria dos casos, várias bombas de infusão conectadas a um único portal médico estão em uso pelo paciente em tratamento para tomar diferentes drogas. AGW é basicamente usado para se comunicar com as bombas de infusão, bem como para alimentá-los durante procedimentos médicos críticos, como transfusão de sangue, quimioterapia, administração de anestesia e diálise.

O fato não pode ser ignorado de que as bombas de infusão estão entre os kits mais usados ​​em um hospital e sua vulnerabilidade pode causar problemas extremos para os pacientes. Essas bombas são usadas para dispensar medicamentos que salvam vidas e fluidos intravenosos, e quaisquer alterações não autorizadas podem levar a resultados potencialmente fatais.

Além disso, geralmente, essas bombas são conectadas a uma única estação central de monitoramento, de onde a equipe médica em questão pode verificar a administração de medicamentos e fluidos em vários pacientes simultaneamente.

As falhas foram testadas independentemente e validadas pela CyberMDX, pelo Departamento de Segurança Interna dos EUA (DHS) e pelo fornecedor. Os pesquisadores do CyberMDX avaliaram a gravidade do risco e o declararam na forma de pontuações do Common Vulnerability Scoring System (CVSS) de base.

A vulnerabilidade de firmware do Alaris Gateway teve uma pontuação de risco CVSS de 10,0, o que significa que é muito crítico. A interface do usuário do navegador da Web da falha do AGW tinha uma pontuação de risco de 7,3, que pode ser considerada alta.

Os pesquisadores afirmam que, ao instalar o firmware malicioso no computador conectado à bomba, um invasor pode bloqueá-lo remotamente, o que desligaria a bomba ou a desativaria.

Além disso, a criação de um kit de ataque também é bastante fácil, mas a cadeia de ataque é bastante complexa, pois envolve vários estágios, como acessar a rede do hospital, obter o endereço IP da estação de trabalho e gerenciar o código malicioso personalizado. pesquisa na CyberMDX, Elad Luz.

Becton Dickinson sugere que os proprietários de dispositivos precisem atualizar para o firmware mais recente que contém correções para essas falhas.

Não pela primeira vez

Esta não é a primeira vez que os pesquisadores identificaram vulnerabilidades com risco de vida em bombas de infusão médicas. Anteriormente, as Bombas de Infusão de Seringa Médica da Smiths eram afetadas por falhas de alta gravidade,permitindo que atacantes remotos colocassem a vida do paciente em perigo.

No ano passado, durante o RSA 2018, um grupo de médicos demonstrou como alguém pode hackear uma bomba de medicamentos e modificar doses, levando à overdose de um medicamento em particular. O grupo também expôs vulnerabilidades críticas em marca-passos, bombas de insulina e desfibriladores, levando a conseqüências terríveis.

Bug de uma década para escalação de privilégios afeta sistemas Unix/Linux/BSD e outros

PorDiego Boot em 05/07/2017

No site iMasters

Denveloper for Life

Pesquisadores de segurança descobriram mais uma vulnerabilidade com uma década de idade em vários sistemas operacionais baseados em UNIX, incluindo Linux, OpenBSD, NetBSD, FreeBSD e Solaris que podem ser explorados pelos atacante afim de escalar seus privilégios como root, potencialmente levando ao controle total do sistema.

Controlada como Stack Clash, a vulnerabilidade (CVE-2017-1000364) foi descoberta na forma como a memória estava sendo alocada no volume para binários do espaço de usuário.

Explorando o Bug Stack Clash para ganhar acesso root

A explicação é simples: cada programa usa uma região especial da memória chamada stack, que é usada para armazenar dados de curto prazo. Ele se expande e reduz automaticamente durante a execução de qualquer programa, dependendo das necessidades desse programa.

De acordo com pesquisadores da Qualys, empresa que descobriu e relatou esse bug, um programa malicioso pode tentar usar mais espaço de memória do que o padrão disponível no stack, o que pode transbordar a memória, fazendo com que ela venha a colidir ou entre em choque com regiões de memória nas proximidades sobrescrevendo seu conteúdo.

Além disso, exploit Stack Clash também pode ignorar a stack guard-page, uma proteção de gerenciamento de memória introduzida em 2010, depois que este problema foi explorado em 2005 e 2010.

“Infelizmente, uma stack guard-page de alguns kilobytes é insuficiente: se o apontamento do stack ‘saltar‘ sobre a guard-page — ou seja, caso ele se mova da stack para outra região de memória sem acessar a guard-page — em seguida, nenhuma exceção page-fault [falha de página] é sinalizada e a stack se estende para a outra região de memória”, diz o comunicado publicado pela Qualys.

A vulnerabilidade de Stack Clash requer acesso local ao sistema vulnerável para exploração, mas os pesquisadores disseram que ela poderia ser explorada remotamente, dependendo das aplicações.

Por exemplo, um cliente mal-intencionado com uma conta de privilégio baixo, em uma empresa de hospedagem Web, executando o sistema vulnerável, poderia explorar essa vulnerabilidade para obter controle sobre outros sites executados no mesmo servidor, bem como obter acesso root remotamente e executar códigos maliciosos diretamente.

Dias atrás, relatamos que como uma empresa de hospedagem Web foi vítima de um ataque semelhante usado para infectar servidores Linux com um malware ransomware, fazendo com que a empresa a pagar mais de $1 milhão em resgate para obter de volta seus arquivos.

Os atacantes também podem combinar o bug Stack Clash com outras vulnerabilidades críticas, como a vulnerabilidade Sudo recentemente corrigida e, em seguida, executar código arbitrário com os privilégios mais altos, disse os pesquisadores Qualys.

7 exemplos de prova de conceito

Os pesquisadores disseram que foram capazes de desenvolver sete façanhas e sete provas de conceito (PoCs) para a vulnerabilidade de Stack Clash, que funcionam em Linux, OpenBSD, NetBSD, FreeBSD e Solaris em processadores x86, 32-bit e 64-bit.

No entanto, as façanhas e provas de conceito ainda não foram publicadas, dando aos usuários e admins tempo suficiente para que possam corrigir a vulnerabilidade em seus sistemas antes da publicação.

O PoCs segue quatro etapas, que incluem ‘Clashing‘, a stack com outra região de memória, executando o apontamento da stack para inicialização, ‘Jumping‘, sobre a stack guard-page e ‘Smashing‘, a stack ou outras regiões de memória.

Dentre as distros e sistemas afetados pela Stack Clash estão:

• Sudo no Debian, Ubuntu e CentOS;
• ld.so e a maioria dos binários SUID-root no Debian, Ubuntu, Fedora e CentOS;
• Exim no Debian;
• rsh no Solaris 11 e superiores;
• Red Hat Enterprise.

A empresa também acredita que outros sistemas operacionais, incluindo o Windows da Microsoft, o OS X/MacOS da Apple e o sistema Android da Google que é baseado no Linux também poderiam ser vulneráveis ao Stack Clash, embora ainda não tenha sido esteja confirmado.

Patch disponível, atualize agora

Muitos fornecedores afetados já emitiram patches de segurança para o bug, portanto, usuários e administradores são aconselhados a instalar os patches o mais breve possível.

Caso não tenha recebido automaticamente os patches de segurança, é possível aplicar limites para stack manualmente a aplicativos dos usuários locais. Simplesmente, defina a RLIMIT STACK e RLIMIT_AS de usuários locais e serviços remotos para um valor baixo.

Também é recomendável recompilar todos os códigos userland (ld.so, bibliotecas, binários) com o recurso fstack-check. Isso impediria que o apontamento da stack se mova para outra região de memória sem acessar a stack guard-page e mataria o Stack Clash.