Microsoft ha scoperto diverse vulnerabilità che interessano i computer desktop Linux. le vulnerabilità, soprannominato collettivamente Nimbuspwn, possono essere concatenati insieme per ottenere l'elevazione dei privilegi e successivamente eseguire vari payload dannosi, come una backdoor di root, tramite l'esecuzione remota di codice radice arbitrario. Identificato come CVE-2022-29799 e CVE-2022-29800, i difetti potrebbero essere potenzialmente utilizzati come vettore per l'accesso alla radice in più attacchi sofisticati, compresi malware e ransomware.
Come ha fatto Microsoft a scoprire gli exploit di Nimbuspwn?
Microsoft ha scoperto le vulnerabilità ascoltando i messaggi sul bus di sistema durante la revisione del codice e l'esecuzione di analisi dinamiche sui servizi eseguiti come root. Questo è il modo in cui i ricercatori hanno notato "uno schema strano in un'unità systemd chiamata networkd-dispatcher". Dopo aver esaminato attentamente il codice, sono stati scoperti più problemi di sicurezza, compreso l'attraversamento delle directory, gara di collegamento simbolico, e problemi relativi alle condizioni di corsa del tempo di controllo, del tempo di utilizzo. La scoperta è stata condivisa “con i relativi manutentori attraverso la Coordinated Vulnerability Disclosure (CVD) tramite Microsoft Security Vulnerability Research (MSVR)."Le correzioni sono ora disponibili, grazie al manutentore dell'unità di distribuzione in rete, Clayton Craft.
Vulnerabilità CVE-2022-29799 e CVE-2022-29800
Il ricercatore Microsoft Jonathan Bar Or ha esaminato il codice sorgente di Networkd-Dispatcher e ha notato che era un componente, noto come "_run_hooks_for_state" implementa una logica specifica che lascia i sistemi Linux aperti alla vulnerabilità di attraversamento delle directory, o CVE-2022-29799. Si è scoperto che il componente "_run_hooks_for_state" non utilizzava funzioni che sanificassero adeguatamente gli stati utilizzati per creare il percorso di script corretto. Di conseguenza, gli attori delle minacce possono sfruttare la debolezza per uscire dalla directory di base "/etc/networkd-dispatcher"..
Tuttavia, run-hooks_for_state contiene una seconda vulnerabilità, noto come CVE-2022-29800, che lascia i sistemi Linux vulnerabili alle condizioni di gara TOCTOU. Ciò è possibile a causa di un certo tempo tra il rilevamento degli script e l'esecuzione degli script. Gli hacker possono sfruttare CVE-2022-29800 per sostituire gli script che Networkd-Dispatcher ritiene essere di proprietà di root con altri dannosi.
Gli attori delle minacce possono concatenare le due vulnerabilità per ottenere l'accesso root completo. Maggiori dettagli tecnici sono disponibili in Il rapporto di Microsoft.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: