Neue Nimbuspwn-Linux-Schwachstelle gibt Hackern Root-Rechte

Eine neue Reihe von Schwachstellen, die gemeinsam als Nimbuspwn verfolgt werden, könnte es lokalen Angreifern ermöglichen, Berechtigungen auf Linux-Systemen zu eskalieren, um Malware einzusetzen, die von Backdoors bis hin zu Ransomware reicht.

Sicherheitsforscher von Microsoft haben die Probleme heute in einem Bericht offengelegt und festgestellt, dass sie miteinander verkettet werden können, um Root-Rechte auf einem anfälligen System zu erlangen.

Die als CVE-2022-29799 und CVE-2022-29800 verfolgten Nimbuspwn-Sicherheitsprobleme wurden in entdeckt networkd-dispatchereine Komponente, die Verbindungsstatusänderungen auf Linux-Computern sendet.

Die Entdeckung der Schwachstellen begann mit dem „Abhören von Nachrichten auf dem Systembus“, was die Forscher dazu veranlasste, den Codefluss zu überprüfen networkd-dispatcher.

Die Nimbuspwn-Sicherheitslücken beziehen sich auf Probleme mit Directory Traversal, Symlink Race und Time-of-Check-Time-of-Use (TOCTOU) Race Condition, erklärt Microsoft-Forscher Jonathan Bar Or in der Prüfbericht.

Eine Beobachtung, die Interesse geweckt hat, war, dass die networkd-dispatcher Dämon wurde beim Booten mit Root-Rechten auf dem System ausgeführt.

networkd-dispatcher läuft als root
Quelle: Microsoft

Der Forscher bemerkte, dass der Daemon eine Methode namens „_run_hooks_for_state ” zum Erkennen und Ausführen von Skripts in Abhängigkeit vom erkannten Netzwerkstatus.

Die Logik implementiert durch „_Run_hooks_for_state“ enthält die Rückgabe ausführbarer Skriptdateien, die dem Root-Benutzer und der Root-Gruppe gehören und sich im Verzeichnis „/etc/networkd-dispatcher/.d“ befinden.

Es führt jedes Skript am oben genannten Speicherort unter Verwendung des aufgerufenen Prozesses aus Unterprozess.Popen während benutzerdefinierte Umgebungsvariablen bereitgestellt werden.

Quellcode für _run_hooks_for_state
Quelle: Microsoft

Der Bericht von Microsoft erklärt, dass “_run_hooks_for_state ” hat mehrere Sicherheitsprobleme:

  1. Verzeichnisdurchlauf (CVE-2022-29799): Keine der Funktionen im Flow bereinigt den OperationalState oder den AdministrativeState. Die Zustände werden verwendet, um den Skriptpfad zu erstellen, sodass ein Zustand Verzeichnisdurchlaufmuster enthalten könnte (z. B. „../../“), um aus dem Basisverzeichnis „/etc/networkd-dispatcher“ zu entkommen.
  2. Symlink-Rennen: Sowohl die Skripterkennung als auch der Unterprozess.Popen folgen symbolischen Links.
  3. Zeitpunkt der Überprüfung-Zeit der Nutzung (TOCTOU) RennbedingungCVE-2022-29800): Zwischen der Entdeckung und Ausführung der Skripte vergeht eine bestimmte Zeit. Ein Angreifer kann diese Schwachstelle missbrauchen, um Skripte, von denen networkd-dispatcher glaubt, dass sie root gehören, durch solche zu ersetzen, die dies nicht sind.

Ein Angreifer mit geringen Rechten auf dem System könnte die oben genannten Schwachstellen verketten, um Berechtigungen auf Root-Ebene zu eskalieren, indem er ein willkürliches Signal sendet.

Eine Übersicht über die Schritte für eine erfolgreiche Exploitation ist im Bild unten dargestellt, das drei Phasen des Angriffs abdeckt:

Dreistufiger Nimbuspwn-Angriff
Quelle: Microsoft

Bar Or weist darauf hin, dass für den Sieg in der TOCTOU-Race-Condition mehrere Dateien gepflanzt werden müssen. In seinem Experiment, einen benutzerdefinierten Exploit zu implementieren, wurde der Erfolg nach drei Versuchen verzeichnet.

Nimbuspwn-Exploit implementiert und gewinnt das TOCTOU-Rennen
Quelle: Microsoft

Die erfolgreiche Nutzung von Nimbuspwn ist möglich, wenn der Exploit-Code einen Busnamen unter einem privilegierten Dienst oder Prozess besitzen kann.

Der Forscher sagt, dass es viele Umgebungen gibt, in denen dies möglich ist, einschließlich Linux Mint, wo “der Dienst systemd-networkd, der normalerweise das” org.freedesktop.Network1 “besitzt. [used in the research] Busname startet standardmäßig nicht beim Booten.

Darüber hinaus fand Bar Or zusätzliche „Prozesse, die als Systemd-Netzwerkbenutzer ausgeführt werden“, die beliebigen Code von weltweit beschreibbaren Orten ausführten: z. B. mehrere gpgv Plugins (gestartet wann apt-get Installationen oder Upgrades), den Erlang Port Mapper Daemonepmd), die in einigen Szenarien das Ausführen von beliebigem Code ermöglicht.

Clayton Craft, der Betreuer von nNetzwerk-Dispatcher hat die erforderlichen Updates bereitgestellt, die die Schwachstellen von Nimbuspwn beheben.

Linux-Benutzern wird empfohlen, ihre Systeme zu patchen, sobald die Fixes für ihr Betriebssystem verfügbar sind.

Leave a Reply

Your email address will not be published.