Οι ερευνητές της Microsoft έχουν διερευνήσει λεπτομερώς πώς τα τρωτά σημεία “BadAlloc” μπορεί να επηρεάσουν εκατομμύρια συσκευές Internet of Things (IoT) και λειτουργικής τεχνολογίας (OT) μέσω των λειτουργικών τους συστημάτων.
Δείτε επίσης: Εντοπίστηκαν make-me-admin bugs σε Windows & Linux kernels
Μιλώντας στους παρευρισκόμενους στο συνέδριο Black Hat για την κυβερνοασφάλεια στο Λας Βέγκας, οι ερευνητές της Microsoft Azure Defender για IoT Omri Ben-Bassat και Tamir Ariel είπαν τα παρακάτω.
Το BadAlloc είναι το όνομα που δόθηκε σε μια ομάδα από ευπάθειες memory allocation (κατανομής μνήμης) που βρέθηκαν σε προϊόντα IoT και OT από ερευνητές της Microsoft. Τα σφάλματα που αποκαλύφθηκαν τον Απρίλιο θα μπορούσαν να επιτρέψουν “στους απειλητικούς παράγοντες να παρακάμψουν τους ελέγχους ασφαλείας προκειμένου να εκτελέσουν κακόβουλο κώδικα ή να προκαλέσουν συντριβή του συστήματος”, σύμφωνα με την εταιρεία.
Δείτε επίσης: Coursera e-learning: Ερευνητές ανακάλυψαν API bugs
Τα τρωτά σημεία υπάρχουν στις λειτουργίες κατανομής μνήμης που υπάρχουν σε τουλάχιστον 17 real-time λειτουργικά συστήματα (RTOS), SDK και εφαρμογές διαχείρισης αυτο-μνήμης, που επηρεάζονται και επηρεάζουν τις λειτουργίες, όπως malloc, calloc, realloc, memalign και άλλες.
Τα προϊόντα που επηρεάστηκαν περιλάμβαναν συσκευές που προσφέρονται από την Amazon, την Arm, την Google, την Media Tek, τη Samsung και το Texas Instruments και μια σειρά από ευπάθειες κρύβονται σε συσκευές από τις αρχές της δεκαετίας του ’90.
Σύμφωνα με την ομάδα, τα τρωτά σημεία μπορούν να ενεργοποιηθούν με “κλήση της συνάρτησης κατανομής μνήμης, όπως malloc, με την παράμετρο VALUE να προέρχεται δυναμικά από εξωτερικό input και να είναι αρκετά μεγάλη για να προκαλέσει integer overflow ή wraparound”.
Το wraparound διασφαλίζει ότι η εκχωρημένη μνήμη παραμένει μικρή, δημιουργώντας heap overflow, επιτρέποντας την εκτέλεση κώδικα.
Δείτε επίσης: Η Microsoft εντοπίζει bugs σε ορισμένα routers Netgear
Ο Οργανισμός Ασφάλειας Κυβερνοασφάλειας και Υποδομής των ΗΠΑ (CISA) έχει δημοσιεύσει ένα advisory σχετικά με τα τρωτά σημεία. Οι vendors ενημερώθηκαν για τα ελαττώματα πριν από τη δημόσια αποκάλυψη.
Πηγή πληροφοριών: zdnet.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/363501/bugs-badalloc-ekthetoun-ekatommuria-siskeves-iot-hijack/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:db37b5e0f76b92482569f10c4f1eda25/https://www.secnews.gr/IoT.jpg&description=Οι ερευνητές της Microsoft έχουν διερευνήσει λεπτομερώς πώς τα τρωτά σημεία "BadAlloc" μπορεί να επηρεάσουν εκατομμύρια συσκευές IoT){kind=link}