Microsoft descubrió varias vulnerabilidades que afectan a las computadoras de escritorio Linux. las vulnerabilidades, denominado colectivamente Nimbuspwn, se pueden encadenar para lograr la elevación de privilegios y posteriormente ejecutar varios cargas maliciosas, como una puerta trasera raíz, a través de la ejecución remota de código raíz arbitrario. Identificado como CVE-2022-29799 y CVE-2022-29800, las fallas podrían potencialmente usarse como un vector para el acceso a la raíz en más ataques sofisticados, incluyendo malware y ransomware.
¿Cómo descubrió Microsoft los exploits de Nimbuspwn??
Microsoft descubrió las vulnerabilidades al escuchar los mensajes en el bus del sistema mientras revisaba el código y realizaba un análisis dinámico en los servicios que se ejecutan como raíz.. Así es como los investigadores notaron "un patrón extraño en una unidad systemd llamada networkd-dispatcher". Después de revisar de cerca el código, se descubrieron varios problemas de seguridad, incluido el recorrido de directorios, carrera de enlaces simbólicos, y problemas de condición de carrera de tiempo de verificación y tiempo de uso. El descubrimiento se compartió “con los mantenedores relevantes a través de la Divulgación de vulnerabilidad coordinada (CVD) a través de Microsoft Security Vulnerability Research (MSVR).Las correcciones ya están disponibles, gracias al mantenedor de la unidad networkd-displatcher, Artesanía Clayton.
Vulnerabilidades CVE-2022-29799 y CVE-2022-29800
El investigador de Microsoft Jonathan Bar Or revisó el código fuente de networkd-dispatcher y notó que un componente, conocido como "_run_hooks_for_state" implementa una lógica específica que deja a los sistemas Linux abiertos a la vulnerabilidad transversal del directorio, o CVE-2022-29799. Resultó que el componente "_run_hooks_for_state" no usó funciones que desinfectaran adecuadamente los estados utilizados para construir la ruta de script adecuada. Como resultado, los actores de amenazas pueden aprovechar la debilidad para salir del directorio base "/etc/networkd-dispatcher".
Sin embargo, run-hooks_for_state contiene una segunda vulnerabilidad, conocido como CVE-2022-29800, lo que deja a los sistemas Linux vulnerables a la condición de carrera TOCTOU. Esto es posible debido a un tiempo determinado entre la detección de los scripts y su ejecución.. Los piratas informáticos pueden aprovechar CVE-2022-29800 para reemplazar los scripts que networkd-dispatcher cree que son propiedad de root con otros maliciosos..
Los actores de amenazas pueden encadenar las dos vulnerabilidades para lograr acceso completo a la raíz. Más detalles técnicos están disponibles en informe de microsoft.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: