2019年2月26日のtwitterセキュリティクラスタ

わりと簡単に実行できそうなDrupal8のRESTを使ったRCEです

時間できたのでDrupalのやつ、やっと試したけど、なるほど刺さりますねー。とりあえず読んでる。
Exploiting Drupal8’s REST RCE
ambionics.io/blog/drupal8-r…

なるほど。RESTモジュールが有効になっていることが条件なんですね。あと、POST / PATCHメソッドだけじゃなくてGETでもいけると。8系だけが影響を受けるっぽいのかな。

この間のDrupalの脆弱性(CVE-2019-6340)のPoCを一通り検証したけど、少なくとも公開されているPoCは、本当にunserializeされてるだけだった。収穫だったのはPHPGGCは便利だなってことくらい。
github.com/ambionics/phpg…

Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起を公開。Drupalの情報を確認し、十分なテストを実施の上、修正済みバージョンの適用を。^YK jpcert.or.jp/at/2019/at1900…

その他に気になったことはこのあたり。

パスワードマネージャのメモリダンプしたら色々暗号化されてない情報がでてくるお!という調査記事。一見「全く」 意味が無いように見える調査だが現実的な攻撃経路がひとつある。 securityevaluators.com/casestudies/pa…

それは、メモリがスワップ (ページファイル) やクラッシュダンプに退避された上でそれがオフライン攻撃で読まれるというもの。「結論」で示されてるように、フルディスク暗号化を併用するのはこの手の攻撃を封じるのに有効。

しかし、パスワード管理ソフトでも実装によって色々な違いが出てくるのね。正直現実的でない場面が多い調査だとは思うが、こういうのを出してくるってのは正直興味深い。

これを見た上でなら私は、念のため程度なら 1Password と LastPass は (マスターパスワードの扱いがぞんざいであることを理由に) 避けようとわずかに思うかもしれない。とはいえ、どちらかといえばパスワード管理ソフト開発者側の意見に賛同するかな。

パスワードの桁数制限があって勝手に切り詰めるてるのにユーザーにそれを知らせないWebサイトは一番良くない

Another Writeup 🙂
Web Cache Deception Attack leads to user info disclosure
link.medium.com/8AvPHu5bBU

ハア?GDPRは個人データ漏えい発覚について求めているのであって、侵入についてじゃない。ウイルスバスターのアラートで一々当局に報告されたんじゃたまったもんじゃない。
https://t.co/QYJaOSCFT5
「GDPR…では、不正侵入の被害に気づき、72時間以内に当局に報告することを企業に義務付けている。」

セキュリティ通信ニュース更新しました!
連日ばらまかれている宅配便「偽不在通知」に新たな動き――「DNS設定改ざん」攻撃でスマホ情報漏えいの恐れ
securitynews.so-net.ne.jp/news/sec_00047…

FIDO2認証でAndroid上のアプリやサービスのパスワードレス化がさらに進む tcrn.ch/2tDIeba

ATMのハッキングは今後も増加し、そして“ゲーム”のようになっていく wired.jp/2019/02/26/atm… #最新記事

任天堂のゲーム周辺機器の偽カード販売疑い bit.ly/2Nrxzt4

アカウント不正作成で5人逮捕 - 北海道警、売り上げ1億円超か
this.kiji.is/47298364906424…

アカウントを作るだけで私電磁気的記録不正作出・供与かよ
headlines.yahoo.co.jp/hl?a=20190226-…
アカウントも気軽に作れなくなりそうです。

Avast、日本の3世帯に1世帯が脆弱なスマートホームデバイスを所有していることを明らかに
news.nicovideo.jp/watch/nw4893101izumino.jp/Security/sec_t…

マカフィーは「モバイル脅威レポート」を発表した。偽アプリは2018年下半期になって550%増加したという。 ascii.jp/elem/000/001/8… pic.twitter.com/nhECpa1zZp

19年前から存在するACE書庫の脆弱性は「Explzh」にも影響 ~対策版のv7.74が公開/同梱の「UnRAR.dll」や「7z.dll」も最新版へ差し替えられる forest.watch.impress.co.jp/docs/news/1171… pic.twitter.com/OiuO8tbj1O

新たなブラウザ攻撃手法が見つかる–ユーザーがウェブページを離れた後も有効 japan.cnet.com/article/351332…

「Android」がFIDO2認定を取得、パスワードなしでログイン可能に japan.cnet.com/article/351332…

ANA、DMM、三井住友カードは不正指令電磁的記録罪で田舎警察にタイーホだな。
nikkei.com/article/DGXMZO…
ですよねー国家公安委員会の委員先生方!
tech.nikkeibp.co.jp/atcl/nxt/colum…
「国家公安委員会…議事の概要…委員からは「各県警察の活動を高く評価したい」「サイト上の広告と同様だという報道もあるが…」 pic.twitter.com/Exq2HBrxiR

個人情報狙う“偽アプリ”急増、半年で6倍超に 「Fortnite」の偽物も
itmedia.co.jp/news/articles/…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>