Microsoft opdagede flere sårbarheder, der påvirker Linux-stationære computere. sårbarhederne, samlet døbt Nimbuspwn, kan kædes sammen for at opnå forhøjelse af privilegier og efterfølgende udføre forskellige ondsindede nyttelast, såsom en rodbagdør, via fjernudførelse af vilkårlig rodkode. Identificeret som CVE-2022-29799 og CVE-2022-29800, fejlene kunne potentielt bruges som en vektor for root-adgang i mere sofistikerede angreb, herunder malware og ransomware.
Hvordan opdagede Microsoft Nimbuspwn-udnyttelsen?
Microsoft opdagede sårbarhederne ved at lytte til meddelelser på systembussen, mens de gennemgik kode og udførte dynamisk analyse på tjenester, der kører som root. Dette er, hvordan forskerne bemærkede "et mærkeligt mønster i en systemd enhed kaldet networkd-dispatcher." Efter nøje gennemgang af koden, flere sikkerhedsproblemer blev afdækket, inklusive kataloggennemgang, symbolsk race, og tidspunkt for check-time-of-use race tilstand problemer. Opdagelsen blev delt "med de relevante vedligeholdere gennem Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR).” Rettelser er nu tilgængelige, takket være vedligeholderen af networkd-displatcher-enheden, Clayton Craft.
CVE-2022-29799 og CVE-2022-29800 Sårbarheder
Microsoft-forsker Jonathan Bar Or gennemgik networkd-dispatcher-kildekoden og bemærkede, at en komponent, kendt som "_run_hooks_for_state" implementerer specifik logik, der lader Linux-systemer være åbne over for mappegennemløbssårbarheden, eller CVE-2022-29799. Det viste sig, at "_run_hooks_for_state"-komponenten ikke brugte funktioner, der tilstrækkeligt renser de tilstande, der blev brugt til at bygge den korrekte scriptsti. Som et resultat, trusselsaktører kan udnytte svagheden til at bryde ud af "/etc/networkd-dispatcher"-basebiblioteket.
Men, run-hooks_for_state indeholder en anden sårbarhed, kendt som CVE-2022-29800, hvilket efterlader Linux-systemer sårbare over for TOCTOU-racetilstanden. Dette er muligt på grund af en vis tid mellem scripts bliver opdaget og scripts køres. Hackere kan udnytte CVE-2022-29800 til at erstatte scripts, som networkd-dispatcher mener er ejet af root med ondsindede scripts.
Trusselaktører kan sammenkæde de to sårbarheder for at opnå fuld root-adgang. Flere tekniske detaljer findes i Microsofts rapport.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: