Microsoft ontdekte verschillende kwetsbaarheden in Linux-desktopcomputers. de beveiligingslekken, gezamenlijk genaamd Nimbuspwn, kunnen aan elkaar worden geketend om verhoging van privileges te bereiken en vervolgens verschillende kwaadaardige payloads, zoals een root-achterdeur, via externe uitvoering van willekeurige rootcode. Geïdentificeerd als CVE-2022-29799 en CVE-2022-29800, de fouten kunnen mogelijk worden gebruikt als een vector voor root-toegang in meer geavanceerde aanvallen, inclusief malware en ransomware.
Hoe heeft Microsoft de Nimbuspwn-exploits ontdekt??
Microsoft ontdekte de kwetsbaarheden door te luisteren naar berichten op de systeembus tijdens het beoordelen van code en het uitvoeren van dynamische analyses op services die als root worden uitgevoerd. Dit is hoe de onderzoekers "een vreemd patroon opmerkten in een systemd-eenheid genaamd networkd-dispatcher." Na het nauwkeurig bekijken van de code, er zijn meerdere beveiligingsproblemen ontdekt, inclusief directory traversal, symbolische race, en time-of-check-time-of-use problemen met racecondities. De ontdekking werd gedeeld "met de relevante beheerders via Coordinated Vulnerability Disclosure" (CVD) via Microsoft Security Vulnerability Research (MSVR)."Fixes zijn nu beschikbaar, dankzij de beheerder van de netwerk-displater-eenheid, Clayton Craft.
CVE-2022-29799 en CVE-2022-29800 Kwetsbaarheden
Microsoft-onderzoeker Jonathan Bar Or bekeek de broncode van de netwerkverzender en merkte op dat een component, bekend als "_run_hooks_for_state" implementeert specifieke logica die Linux-systemen open laat voor de kwetsbaarheid van directory-traversal, of CVE-2022-29799. Het bleek dat de component "_run_hooks_for_state" geen functies gebruikte die de toestanden die werden gebruikt om het juiste scriptpad te bouwen adequaat opschonen. Dientengevolge, bedreigingsactoren kunnen de zwakte gebruiken om uit de basismap "/etc/networkd-dispatcher" te breken.
Echter, run-hooks_for_state bevat een tweede kwetsbaarheid, bekend als CVE-2022-29800, waardoor Linux-systemen kwetsbaar zijn voor de TOCTOU-raceconditie. Dit is mogelijk vanwege een bepaalde tijd tussen de scripts die worden ontdekt en de scripts die worden uitgevoerd. Hackers kunnen CVE-2022-29800 gebruiken om scripts waarvan de netwerkdispatcher denkt dat ze eigendom zijn van root, te vervangen door kwaadaardige scripts.
Bedreigingsactoren kunnen de twee kwetsbaarheden aan elkaar koppelen om volledige roottoegang te krijgen. Meer technische details zijn beschikbaar in Microsoft's rapport.