O ambiente de desktop Plasma é conhecido por sua beleza e fluidez. São várias as opções oferecidas por esta área de trabalho do KDE. No entanto, ela tem problemas. Uma falha grave no ambiente foi divulgada no Twitter por um pesquisador de segurança. Ele encontrou uma vulnerabilidade no Plasma e publicou uma prova de conceito explorando a falha de segurança no KDE Frameworks. No momento, não há solução disponível, além de uma previsão temporária que a Comunidade do KDE publicou no Twitter. Portanto, o Plasma apresenta falha de segurança.
I’m just gonna leave this here. https://t.co/8QmxjS8k7b https://t.co/0uQxHh5T2n
— Dominik (@zer0pwn) August 6, 2019
Antes de mais nada é preciso reforçar que o KDE já está trabalhando para resolver a falha de segurança recentemente descoberta. Porém, por enquanto, só nos resta tomar uma atitude: NÃO podemos baixar arquivos com uma extensão .desktop ou .directory de fontes não confiáveis. Em suma, não temos que fazer algo que nunca devemos fazer. No entanto, desta vez com atenção redobrada.
Como foi descoberta a falha de segurança no Plasma
This flaw is ridiculously easy to abuse in tests by BleepingComputer. We created an archive containing a .directory file that downloads a https://t.co/GbEWK9NUqH script from BleepingComputer and executes it. This https://t.co/GbEWK9NUqH then launches Kcalc as demonstrated below. pic.twitter.com/JDW8i80Y0f
— BleepingComputer (@BleepinComputer) August 6, 2019
O problema é como o KDesktopFile gerencia os arquivos .desktop e .directory já mencionados. Descobriu-se que esses arquivos poderiam ser criados com códigos maliciosos. Assim, estaria aberto o caminho para que fossem usados ??para executar esse código no computador da vítima.
Então, quando um usuário do Plasma abre o gerenciador de arquivos do KDE para acessar o diretório onde esses arquivos foram armazenados, o código malicioso é executado sem interação do usuário.
Na parte técnica, a vulnerabilidade pode ser usada para armazenar comandos shell dentro das entradas padrão “Icon” encontradas nos arquivos .desktop e .directory. Quem descobriu o bug diz que o KDE “executará nosso pedido sempre que o arquivo for visualizado“.
KDE 4/5 KDesktopFile Command Injection (RCE) #0day #kde #defcon #zerodotlol #zerolol https://t.co/0gdblxMEtr
— Dominik (@zer0pwn) August 5, 2019
Especialistas em segurança não classificam a falha como muito séria. Principalmente porque temos que baixar o arquivo para o nosso computador. Eles não podem catalogar como algo sério, porque os arquivos .desktop e .directory são muito raros. Portanto, não é normal fazer o download deles on-line. Com isso em mente, devemos nos convencer a baixar um arquivo com o código malicioso necessário para explorar essa vulnerabilidade.
Para avaliar todas as possibilidades, o usuário mal–intencionado poderia compactar os arquivos em ZIP ou TAR. Então, quando compactamos e visualizamos o conteúdo, o código malicioso seria executado sem que percebêssemos. Ainda mais, a exploração poderia ser usada para baixar o arquivo para o nosso sistema sem interagir com ele.
KDE 4/5 KDesktopFile (.desktop) Command Injection.
Fits in a tweet.[Desktop Entry]
Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&)https://t.co/Iy3UPrSuhE#redteam #0day #security #bugbounty #bugbountytip #bugbountytips #kde #rce #zerodotlol #zerolol pic.twitter.com/QRtX9Kwd1w— Dominik Penner (@zer0pwn) August 5, 2019
Inicialmente, o problema não foi comunicado à Comunidade KDE.
Segundo o especialista, ele queria apenas deixar um dia antes da Defcon. Eu pretendo relatar isso, mas o problema é mais uma falha de design do que uma vulnerabilidade real, apesar do que ele pode fazer.
Por outro lado, a Comunidade KDE, como esperado, não achou nada engraçado que um problema como este seja publicado antes que eles comuniquem isso a eles. Porém, eles simplesmente disseram
Nós agradeceríamos se você contatasse security@kde.org antes de lançar uma exploração ao público para que pudéssemos decidir juntos em um cronograma.
Plasma 5 e KDE 4 vulneráveis
As versões vulneráveis ??são o KDE 4 e o Plasma 5. A quinta versão foi lançada em 2014, então é difícil alguém usar o KDE 4.
De qualquer forma, é aguardar que a Comunidade KDE lance o patch em que eles já estão trabalhando. Assim, no momento, não confie em ninguém que lhe envie um arquivo .desktop ou .directory.