A Microsoft divulgou duas falhas de escalonamento de privilégios do Linux, chamadas coletivamente de Nimbuspwn, que podem permitir a realização de várias atividades maliciosas por parte dos cibercriminosos.
Falhas Linux Nimbuspwn
A equipe de pesquisa do Microsoft 365 Defender descobriu duas falhas de escalonamento de privilégios do Linux (rastreadas como CVE-2022-29799 e CVE-2022-29800) chamadas “Nimbuspwn”, que podem ser exploradas por invasores para realizar várias atividades maliciosas, incluindo a implantação de malware.
De acordo com a Microsoft, as vulnerabilidades podem ser encadeadas para obter privilégios de root em sistemas Linux, permitindo que invasores implantem cargas úteis, como um backdoor root, e executem outras ações maliciosas por meio da execução arbitrária de código root. Ou seja, uma verdadeira porta de entrada para ações maliciosas.
Exploração das falhas de segurança
As falhas podem ser exploradas por invasores para obter acesso root aos sistemas de destino e implantadas por ameaças mais sofisticadas, como ransomware. Ambas residem no componente systemd chamado networked-dispatcher, que é o daemon do dispatcher para alterações de status da conexão systemd-networkd.
A revisão do fluxo de código para networkd-dispatcher revelou vários problemas de segurança, incluindo passagem de diretório, corrida de link simbólico e problemas de condição de corrida de tempo de verificação e tempo de uso.
Os pesquisadores começaram a enumerar serviços que são executados como root e ouvem mensagens no barramento do sistema, realizando revisões de código e análises dinâmicas. Encadeando os problemas, um invasor no controle de um serviço D-Bus desonesto que pode enviar um sinal arbitrário pode implantar backdoors nos toques finais comprometidos.
Os pesquisadores conseguiram desenvolver seu próprio exploit que executa um script arbitrário como root. O exploit também copia /bin/sh para o diretório /tmp , define /tmp/sh como um executável Set-UID (SUID) e então invoca “ /tmp/sh -p ”. (o sinalizador “ -p ” é necessário para forçar o shell a não descartar privilégios)
Os pesquisadores recomendam que os usuários do networkd-dispatcher atualizem suas instalações. “Para resolver as vulnerabilidades específicas em jogo, os recursos de detecção e resposta de endpoint (EDR) do Microsoft Defender for Endpoint detectam o ataque de travessia de diretório necessário para aproveitar o Nimbuspwn.” conclui a postagem.
A atualização pode garantir a sua segurança. Então, é extremamente recomendado que você a execute agora mesmo em sua máquina. A exploração dessas duas falhas pode te render muitas dores de cabeça, caso não execute a instalação com as correções necessárias. Só assim você evitará qualquer problema com essas falhas.
Via: SecurityAffairs