Se você desenvolve programas, já programou, é designer ou escritor e utiliza um bom editor de texto, atenção. Para economizar tempo e poder trabalhar de maneira mais eficiente, certamente já precisou instalar alguns plugins específicos para alguma função.
Eu uso na estação que trabalho o programa Notepad++ e o Sublime. Já na minha máquina pessoal uso o Gvim e Sublime.
Para abrir um arquivo de extensão XML no Notepad++ precisei instalar um plugin específico para indentar o XML.
No Gvim uso alguns como o CtrlP, o Project o TagBar e o SnipMate, ambos com suas funções específicas e que no dia-a-dia fazem muita diferença.
É comum que esses editores de texto avançados ofereçam recursos extensivos aos usuários afim de ampliar as funcionalidades do mesmo.
No entanto é um fato conhecido que plugins de terceiros apresentam risco significativo de para as brechas de segurança. Sejam eles plugins do Chrome, Firefox, Opera, WordPress, Photoshop dentre vários outros.
Com base neste problema alguns pesquisadores analisam diariamente diversas linhas de códigos a fim de procurar falhas em plugins que, de algum modo, podem afetar todo o sistema.
Sobre as Vulnerabilidades
O pesquisador da SafeBreach, Dor Azouri, analisou vários editores de texto extensíveis para sistemas Unix e Linux, incluindo Sublime, Vim, Emacs, Gedit e pico / nano.
Em suas pesquisas descobriu que, exceto o pico / nano, todos os citados são vulneráveis ??a uma falha de escalação de privilégios críticos, que poderiam ser explorados por atacantes para executar códigos maliciosos nas máquinas das vítimas.
“This method succeeds regardless of the file being opened in the editor, so even limitations commonly applied on sudo commands might not protect from it,” the paper reads [pdf]
“Technical users will occasionally need to edit root-owned files. And for that purpose they will open their editor with elevated privileges, using ‘sudo.’ There are many valid reasons to elevate the privileges of an editor.”
A questão reside na forma como esses editores de texto carregam os plugins. De acordo com o pesquisador, há uma separação inadequada de modos regulares e elevados ao carregar plugins para esses editores.
A integridade das permissões da pasta não é mantida corretamente. Isso abre a porta para atacantes com permissões usuais para elevarem seus privilégios e executar código arbitrário na máquina do usuário.
Uma simples campanha de malware poderia permitir que os invasores espalhassem a extensão maliciosa para editores de texto vulneráveis.
Permitindo que eles executem código malicioso com privilégios elevados, instalando algum malware e removendo o controle total de computadores direcionados.
Quais as principais recomendações
Azouri sugere que usuários do Unix usem um sistema de detecção de intrusão baseado em host de código aberto, chamado OSSEC. Ele serve para monitorar a atividade do sistema, integridade de arquivos, logs e processos.
Os usuários devem evitar carregar plugins de terceiros quando o editor é elevado. Também deve negar permissões de gravação para usuários não elevados.
Azouri recomendou aos desenvolvedores de editores de texto que alterassem as pastas e os modelos de permissão de arquivos. Isso para completar a separação entre modos regulares e elevados. Se possível, também fornecer uma interface manual para que os usuários aprovem o carregamento elevado de plugins.