Microsoft hat mehrere Sicherheitslücken entdeckt, die Linux-Desktop-Computer betreffen. die Sicherheitslücken, gemeinsam Nimbuspwn genannt, können miteinander verkettet werden, um eine Erhöhung der Berechtigungen zu erreichen und anschließend verschiedene auszuführen böswillige Nutzlasten, wie eine Root-Hintertür, über die Remote-Ausführung von beliebigem Root-Code. Identifiziert als CVE-2022-29799 und CVE-2022-29800, Die Fehler könnten möglicherweise als Vektor für den Root-Zugriff in mehr verwendet werden ausgeklügelte Angriffe, einschließlich Malware und Ransomware.
Wie hat Microsoft die Nimbuspwn-Exploits entdeckt??
Microsoft entdeckte die Sicherheitslücken, indem es Nachrichten auf dem Systembus abhörte, während es Code überprüfte und dynamische Analysen für Dienste durchführte, die als Root ausgeführt wurden. So bemerkten die Forscher „ein seltsames Muster in einer systemd-Einheit namens networkd-dispatcher“. Nach genauer Überprüfung des Codes, Mehrere Sicherheitsprobleme wurden aufgedeckt, einschließlich Verzeichnisdurchlauf, Symlink-Rennen, und Time-of-Check-Time-of-Use-Race-Condition-Probleme. Die Entdeckung wurde „mit den relevanten Betreuern durch Coordinated Vulnerability Disclosure geteilt (CVD) über Microsoft Security Vulnerability Research (MSVR).„Korrekturen sind jetzt verfügbar, danke an den Betreuer der Einheit networkd-displatcher, Clayton Craft.
Sicherheitslücken CVE-2022-29799 und CVE-2022-29800
Der Microsoft-Forscher Jonathan Bar Or überprüfte den Quellcode des networkd-dispatcher und bemerkte, dass eine Komponente, bekannt als „_run_hooks_for_state“ implementiert eine spezifische Logik, die Linux-Systeme für die Directory Traversal-Schwachstelle offen lässt, oder CVE-2022-29799. Es stellte sich heraus, dass die Komponente „_run_hooks_for_state“ keine Funktionen verwendete, die die zum Erstellen des richtigen Skriptpfads verwendeten Zustände angemessen bereinigen. Infolge, Angreifer können die Schwachstelle nutzen, um aus dem Basisverzeichnis „/etc/networkd-dispatcher“ auszubrechen.
Jedoch, run-hooks_for_state enthält eine zweite Schwachstelle, bekannt als CVE-2022-29800, wodurch Linux-Systeme anfällig für die TOCTOU-Rennbedingung werden. Dies ist aufgrund einer bestimmten Zeit zwischen der Entdeckung der Skripts und der Ausführung der Skripts möglich. Hacker können CVE-2022-29800 nutzen, um Skripte, von denen networkd-dispatcher glaubt, dass sie root gehören, durch bösartige zu ersetzen.
Bedrohungsakteure können die beiden Schwachstellen verketten, um vollen Root-Zugriff zu erlangen. Weitere technische Details finden Sie in Bericht von Microsoft.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: