Microsoft vindt Linux-kwetsbaarheden die lokale aanvaller root laten worden

Microsoft heeft verschillende kwetsbaarheden in Linux gevonden waardoor een lokale aanvaller root kan worden. De beveiligingslekken, samen aangeduid als “Nimbuspwn“, werden gevonden tijdens onderzoek naar services die als root draaien. Daarbij werd een vreemd patroon gezien in een systemd unit genaamd networkd-dispatcher.

Networkd-dispatcher is een daemon die veranderingen in netwerkverbindingen van systemd-networkd bijhoudt. Systemd-networkd is een system daemon voor het beheer van netwerkconfiguraties. Het detecteert en configureert netwerkapparaten. Networkd-dispatcher luistert naar signalen van systemd-networkd. Afhankelijk van deze signalen worden scripts uitgevoerd die zich in bepaalde directories bevinden en als root worden uitgevoerd.

Twee kwetsbaarheden maken het mogelijk voor een aanvaller om deze scripts te vervangen, waardoor zijn code als root wordt uitgevoerd. Via CVE-2022-29799, een path traversal kwetsbaarheid, is het mogelijk om uit de etc/networkd-dispatcher directory te ontsnappen. CVE-2022-29800 is een time-of-check-time-of-use (TOCTOU) race condition. Er zit een bepaalde tijd tussen het vinden van de scripts die moeten worden uitgevoerd en het daadwerkelijk uitvoeren ervan.

Via de kwetsbaarheden kan een aanvaller de scripts vervangen waarvan networkd-dispatcher denkt dat ze van root zijn door scripts die dat niet zijn. De networkd-dispatcher zal deze scripts vervolgens als root uitvoeren. De aanval is alleen in bepaalde gevallen mogelijk, aldus Microsoft-onderzoeker Jonathan Bar Or. Zo moet de aanvaller een specifieke busnaam kunnen gebruiken, iets wat volgens de onderzoeker bij bijvoorbeeld Linux Mint het geval is.
Microsoft waarschuwde de maintainer van networkd-dispatcher die inmiddels updates heeft uitgebracht.

Image

Bron: Security.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

12Privacy.nl