Discussion :

[emixam16]

Une faille dans KDE permet de corrompre un ordinateur sans même ouvrir le fichier malicieux
Un correctif doit être mis en place rapidement

Dans un post gist du 27 juillet 2019, Dominik Penner, aussi connu sous le nom de zer0pwn a révélé une faille assez originale visant l’environnement KDE puisqu’elle permet d’injecter une commande arbitraire sans même avoir besoin d’ouvrir le fichier malveillant ! Ainsi, il suffit que le fichier soit affiché, par exemple dans l’explorateur de fichier ou d’archive de KDE pour que la commande soit exécutée. Cette faille touche à la fois KDE 4 et 5 (aussi connu sous le nom de Plasma). Pour rappel, KDE est inclus par défaut dans de plusieurs distributions comme OpenSuse ou Kubuntu et est installable depuis la plupart des autres.

Techniquement, cette faille est due à un problème de conception dans la vérification des entrées utilisateurs. Cette faille concerne les fichiers .desktop et .directory, qui permettent notamment d’afficher une icône personnalisée pour un fichier. Toutefois, si une commande shell arbitraire est passée en paramètre à certaines entrées de ce fichier, elle sera exécutée lors du parsing de ce fichier, pouvant conduire à une compromission du système, comme illustré par l’exemple suivant.

Code bash :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$cat .directory
[Desktop Entry]
Type=Directory
Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&)

Pour être exécutée, cette faille nécessite tout de même de télécharger un fichier .desktop ou .directory, ce qui est assez inhabituel sous Linux et peut donc éveiller les soupçons d’utilisateurs expérimentés. Il est possible de rendre cette attaque plus discrète en mettant le fichier incriminé dans une archive quelconque. Il semble donc que le principal vecteur d'infection par cette attaque soit le social engineering. Aussi, si vous utilisez KDE, il est conseillé de faire attention à vos téléchargements le temps que cette faille soit corrigée.

Cette faille a été mise en ligne sans avertir préalablement la communauté KDE, ce qui a pu causer des réactions négatives de la part d’une partie de la communauté. Lors d’une interview, Penner a déclaré :

Je voulais juste publier la 0day avant la Defcon. Je prévois de le signaler, mais le problème est davantage un défaut de conception qu'une vulnérabilité réelle, malgré ses capacités.

Ce n’est pas la première fois qu’une vérification incorrecte des entrées utilisateur concernant les fichiers de métadonnées est observée, que ce soit sous Linux ou Windows. Il semble probable que de tels défauts de conception soient retrouvés dans le futur dans les systèmes.

Source : GitHub

Et vous qu’en pensez-vous ?

Cette faille vous semble-t-elle facilement exploitable dans des systèmes réels ?
Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?

[Steinvikel]

Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?
Non. Maintenant, je me demande bien quel en est la raison.

[emixam16]

Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?
Non. Maintenant, je me demande bien quel en est la raison.

Oh, j'ai oublié de rajouter cette information dans l'article visiblement!
L'auteur voulait révéler la faille avant la conférence Black Hat (une grosse références pour la cybersécurité). Cette conférence s'est déroulée du 3 Août jusqu'à hier. Il n'est donc pas passé par le chemin classique de publication pour que cette faille puisse être montré lors de cette conférence, rendant les utilisateurs de KDE vulnérables en attendant le patch...

[BufferBob]

en clair c'est un gamin, plein de chocapicz et de lolz, très compétent, en quête de gloire, et très immature, le genre que les services de renseignement se font un plaisir de recruter à la sortie de l'école.

[Jipété]

sans même avoir besoin d’ouvrir le fichier malveillant ! Ainsi, il suffit que le fichier soit affiché, par exemple dans l’explorateur de fichier ou d’archive de KDE pour que la commande soit exécutée.

Hopopop !

Le fichier est donc ouvert, si ce n'est par l'utilisateur, c'est par le système (ça me semblait un peu trop magique, ce titre).

[pierre++]

Pas de panique

Il n'est donc pas passé par le chemin classique de publication pour que cette faille puisse être montré lors de cette conférence, rendant les utilisateurs de KDE vulnérables en attendant le patch...

En fait non. Si on lit sa description à la toute dernière ligne il est indiqué:

Recomendation:
Disable shell expansion / dynamic entries for [Desktop Entry] configurations.

Cela suffit à éviter l'exploitation de ce bug de conception, et pour ce faire il y a la doc => https://userbase.kde.org/KDE_System_...hell_Expansion