3 pièce(s) jointe(s)
Microsoft tire la sonnette d'alarme sur un botnet Linux
Microsoft découvre une faille dans Linux qui donne l'accès à la racine des ordinateurs,
les vulnérabilités d'élévation de privilèges peuvent être utilisées pour obtenir un accès permanent
Des vulnérabilités récemment découvertes par Microsoft permettent aux personnes ayant une emprise sur de nombreux systèmes de bureau Linux d'obtenir rapidement les droits du système racine. Il s'agit de la dernière faille d'élévation de privilèges mise en évidence dans le système d'exploitation open source. Pour certains informaticiens, cette histoire démontre qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fialble que Windows
« Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », déclare un internaute.
« Je peux garantir qu'une grande partie des ingénieurs logiciels, chez Microsoft, travaillent sous Linux. Microsoft a un sous-système Linux intégré dans Windows maintenant. Microsoft possède Github, et Azure, qui utilisent tous deux Linux comme standard pour la majorité de leurs offres. Il y a de nombreuses raisons pour lesquelles ils consacreraient du temps et de la main d'œuvre à la recherche de tout problème potentiel dans Linux »
Les systèmes d'exploitation ayant été renforcés pour résister aux compromissions ces dernières années, les vulnérabilités d'élévation de privilèges (EoP) sont devenues un ingrédient essentiel de la plupart des hacks réussis. Elles peuvent être exploitées de concert avec d'autres vulnérabilités qui, à elles seules, sont souvent considérées comme moins graves, les secondes donnant ce que l'on appelle un accès local et les premières permettant d'accéder à la racine. À partir de là, les adversaires disposant d'un accès physique ou de droits limités sur le système peuvent déployer des portes dérobées ou exécuter le code de leur choix.
Les failles, identifiées sous les noms de CVE-2022-29799 et CVE-2022-29800, combinent des menaces telles que la traversée de répertoires, la course de liens symboliques et la condition de course de temps de vérification du temps d'utilisation (TOCTOU). Après avoir examiné le code source de Networkd -dispatcher, le chercheur Jonathan Bar Or de Microsoft a remarqué qu'un composant connu sous le nom de _run_hooks_for_state met en œuvre la logique suivante :
- Découvre la liste des scripts disponibles en invoquant la méthode get_script_list, qui appelle une méthode séparée scripts_in_path destinée à renvoyer tous les fichiers stockés dans le répertoire "/etc/networkd-dispatcher/.d" ;
- Trie la liste des scripts ;
- Exécute chaque script avec le processus subprocess.Popen et fournit des variables d'environnement personnalisées.
Run_hooks_for_state laisse les systèmes Linux ouverts à la vulnérabilité de traversée de répertoire, désignée sous le nom de CVE-2022-29799, parce qu'aucune des fonctions qu'il utilise ne nettoie correctement les états utilisés pour construire le chemin de script approprié à partir d'une entrée malveillante. Les pirates peuvent exploiter cette faiblesse pour s'échapper du répertoire de base /etc/networkd-dispatcher.
Run-hooks_for_state contient une autre faille, CVE-2022-29800, qui rend les systèmes vulnérables à la condition de course TOCTOU puisqu'il y a un certain temps entre la découverte des scripts et leur exécution.
Les adversaires peuvent exploiter cette dernière vulnérabilité pour remplacer les scripts que networkd-dispatcher croit appartenir à root par des scripts malveillants choisis par les adversaires. Pour s'assurer que Linux exécute le script malveillant fourni par le pirate plutôt que le script légitime, le pirate implante plusieurs scripts jusqu'à ce qu'un seul réussisse finalement.
Un pirate ayant un accès minimal à un ordinateur de bureau vulnérable peut enchaîner des exploits pour ces vulnérabilités qui donnent un accès complet à la racine. Le flux d'exploitation ressemble à ceci :
- Préparez un répertoire /tmp/nimbuspwn et implantez un lien symbolique /tmp/nimbuspwn/poc.d pour pointer vers /sbin. Le répertoire /sbin a été choisi spécifiquement parce qu'il contient de nombreux exécutables appartenant à root qui ne se bloquent pas s'ils sont exécutés sans arguments supplémentaires. Cela permettra d'abuser du problème de course de liens symboliques que nous avons mentionné précédemment.
- Pour chaque nom de fichier exécutable sous /sbin appartenant à root, plantez le même nom de fichier sous/tmp/nimbuspwn. Par exemple, si "/sbin/vgs" est exécutable et appartient à root, implantez un fichier exécutable "/tmp/nimbuspwn/vgs" avec la charge utile désirée. Cela aidera l'attaquant à gagner la condition de course imposée par la vulnérabilité TOCTOU ;
- Envoyer un signal avec l'OperationalState ../../../tmp/nimbuspwn/poc. Ceci abuse de la vulnérabilité de traversée de répertoire et échappe le répertoire du script ;
- Le gestionnaire de signaux de networkd-dispatcher entre en action et construit la liste des scripts à partir du répertoire /etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d, qui est en réalité le lien symbolique (/tmp/nimbuspwn/poc.d), qui pointe vers /sbin. Par conséquent, cela crée une liste composée de nombreux exécutables appartenant à root ;
- Changez rapidement le lien symbolique /tmp/nimbuspwn/poc.d pour qu'il pointe vers /tmp/nimbuspwn. Ceci abuse de la vulnérabilité de la condition de course TOCTOU - le chemin du script change sans que networkd-dispatcher en soit conscient ;
- Le répartiteur commence à exécuter des fichiers qui étaient initialement sous "/sbin" mais en réalité sous le répertoire /tmp/nimbuspwn. Puisque le répartiteur "croit" que ces fichiers appartiennent à root, il les exécute aveuglément avec subprocess.Popen en tant que root. Par conséquent, notre attaquant a réussi à exploiter la vulnérabilité.
- Pour obtenir un accès root permanent, le chercheur a utilisé le flux d'exploitation pour créer une porte dérobée. La procédure à suivre est la suivante :
- Copie /bin/sh dans /tmp/sh ;
- Transforme le nouveau /tmp/sh en un binaire Set-UID (SUID) ;
- Exécute /tmp/sh -p. Le drapeau "-p" est nécessaire car les shells modernes abandonnent les privilèges par conception.
L'exploit de preuve de concept ne fonctionne que lorsqu'il peut utiliser le nom de bus "org.freedesktop.network1". Le chercheur a trouvé plusieurs environnements où cela se produit, y compris Linux Mint, dans lequel le systemd-networkd par défaut ne possède pas le nom de bus org.freedodesktop.network1 au démarrage.
Le chercheur a également trouvé plusieurs processus qui s'exécutent sous l'utilisateur systemd-network, qui est autorisé à utiliser le nom de bus nécessaire pour exécuter du code arbitraire à partir d'emplacements inscriptibles dans le monde. Les processus vulnérables comprennent plusieurs plugins gpgv, qui sont lancés lors de l'installation ou de la mise à jour d'apt-get, et le Erlang Port Mapper Daemon, qui permet d'exécuter du code arbitraire dans certains scénarios.
La vulnérabilité a été corrigée dans le networkd-dispatcher, bien qu'il n'ait pas été immédiatement clair quand ou dans quelle version, et les tentatives pour joindre le développeur n'ont pas été immédiatement couronnées de succès. Les personnes utilisant des versions vulnérables de Linux doivent corriger leurs systèmes dès que possible.
Source : Microsoft
Et vous ?
:fleche: Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?
:fleche: « Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?
Voir aussi :
:fleche: Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut
:fleche: Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs
:fleche: Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques
:fleche: Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office, afin de lutter contre les ransomwares et d'autres logiciels malveillants
C'est quoi ce titre raccoleur ?
Grmbl... je croyais ce site un brin sérieux.
La faille en question est liée à nimbuspwn, un machin en Python. C'est pas "dans" Linux mais dans un logiciel tout pourri qu'on peut installer sous Linux et qui alors ouvre une faille.
Lorsqu'une faille Java survient pour donner un accès non prévu sur un système Microsoft, est-ce que vous titrez que Microsoft est responsable ?
Bref, je ne suis pas fier de Bruno mais alors pas du tout.
3 pièce(s) jointe(s)
Microsoft tire la sonnette d'alarme sur un botnet Linux
Microsoft tire la sonnette d'alarme sur un botnet Linux,
le fabriquant de #Windows dit avoir observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos
Microsoft a tiré la sonnette d'alarme sur un logiciel malveillant DDoS appelé XorDdos qui cible les points d'extrémité et les serveurs Linux. « Au cours des six derniers mois, nous avons observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos », déclare Microsoft. Encore une faille qui vient démontrer qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows ?
Le mois dernier, Microsoft a indiqué avoir découvert des vulnérabilités qui permettent aux personnes ayant une emprise sur de nombreux systèmes de bureau Linux d'obtenir rapidement les droits du système racine. Il s'agissait alors de la dernière faille d'élévation de privilèges mise en évidence dans le système d'exploitation Linux par Microsoft.
De l’avis d’un internaute, Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. « Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows. »
XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux, qui sont couramment déployés sur les infrastructures en nuage et les appareils de l'Internet des objets (IoT), prévient Microsoft.
Les attaques DDoS en elles-mêmes peuvent être très problématiques pour de nombreuses raisons, mais ces attaques peuvent également être utilisées comme couverture pour cacher d'autres activités malveillantes, comme le déploiement de logiciels malveillants et l'infiltration des systèmes cible. L'utilisation d'un botnet pour réaliser des attaques DDoS peut potentiellement créer des perturbations importantes, comme l'attaque DDoS de 2,4 Tbps que Microsoft a atténuée en août 2021.
Les réseaux de zombies peuvent également être utilisés pour compromettre d'autres dispositifs, et XorDdos est connu pour avoir utilisé des attaques par force brute Secure Shell (SSH) pour prendre le contrôle à distance des dispositifs cibles. SSH est l'un des protocoles les plus courants dans les infrastructures informatiques et permet des communications chiffrées sur des réseaux non sécurisés à des fins d'administration de systèmes à distance, ce qui en fait un vecteur intéressant pour les attaquants. Une fois que XorDdos a identifié des informations d'identification SSH valides, il utilise les privilèges root pour exécuter un script qui télécharge et installe XorDdos sur le périphérique cible.
Un vecteur d'attaque typique du logiciel malveillant XorDdos
XorDdos utilise des mécanismes d'évasion et de persistance qui permettent à ses opérations de rester robustes et furtives. Ses capacités d'évasion comprennent l'obscurcissement des activités du malware, l'évitement des mécanismes de détection basés sur des règles et la recherche de fichiers malveillants basée sur le hachage, ainsi que l'utilisation de techniques anti-forensic pour briser l'analyse basée sur l'arbre des processus.
Microsoft dit avoir observé lors des campagnes récentes que XorDdos dissimule les activités malveillantes à l'analyse en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux. XorDdos peut illustrer une autre tendance observée sur diverses plateformes, dans laquelle les logiciels malveillants sont utilisés pour transmettre d'autres menaces dangereuses.
Microsoft dit également avoir constaté que les appareils d'abord infectés par XorDdos étaient ensuite infectés par d'autres logiciels malveillants tels que la porte dérobée qui déploie ensuite le mineur de monnaie XMRig. « Bien que nous n'ayons pas observé XorDdos installer et distribuer directement des charges utiles secondaires comme Tsunami, il est possible que le cheval de Troie soit utilisé comme vecteur pour des activités de suivi », indique Microsoft.
Microsoft Defender for Endpoint protège contre XorDdos en détectant et en corrigeant les attaques modulaires en plusieurs étapes du cheval de Troie tout au long de sa chaîne d'attaque et toute activité de suivi potentielle sur les points d'extrémité. XorDdos se propage principalement par force brute SSH. Il utilise un script shell malveillant pour essayer diverses combinaisons d'identifiants root sur des milliers de serveurs jusqu'à ce qu'il trouve une correspondance sur un périphérique Linux cible. Par conséquent, on peut constater de nombreuses tentatives de connexion infructueuses sur les appareils infectés par le logiciel malveillant :
Échec des tentatives de connexion sur un appareil affecté par XorDdos
Microsoft a déterminé deux des méthodes d'accès initial de XorDdos. La première méthode consiste à copier un fichier ELF malveillant dans le stockage de fichiers temporaires /dev/shm, puis à l'exécuter. Les fichiers écrits sur /dev/shm sont supprimés lors du redémarrage du système, ce qui permet de dissimuler la source de l'infection lors d'une analyse judiciaire.
La deuxième méthode consiste à exécuter un script bash qui effectue les activités suivantes via la ligne de commande :
- Itère les dossiers suivants pour trouver un répertoire accessible en écriture
- /bin
- /home
- /root
- /tmp
- /usr
- /etc
- Si un répertoire inscriptible est trouvé, change le répertoire de travail pour le répertoire inscriptible découvert ;
- Utilise la commande curl pour télécharger la charge utile du fichier ELF depuis l'emplacement distant hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt et enregistre le fichier sous le nom de ygljglkjgfg0 ;
- Change le mode du fichier en "exécutable" ;
- Exécute la charge utile du fichier ELF ;
- Déplace et renomme le binaire Wget pour échapper aux détections basées sur des règles déclenchées par une utilisation malveillante du binaire Wget. Dans ce cas, il renomme le binaire Wget en bon et déplace le fichier vers les emplacements suivants :
- mv /usr/bin/wget /usr/bin/good
- mv /bin/wget /bin/good
- Tente de télécharger une deuxième fois la charge utile du fichier ELF, en utilisant désormais uniquement le bon fichier et non le binaire Wget ;
- Après avoir exécuté le fichier ELF, utilise une technique anti-forensique qui dissimule son activité passée en écrasant le contenu de ceratins fichiers sensibles.
Recommandations de Microsoft pour se défendre contre les menaces de la plateforme Linux
La nature modulaire de XorDdos fournit aux attaquants un cheval de Troie polyvalent capable d'infecter une variété d'architectures de systèmes Linux. Ses attaques par force brute SSH sont une technique relativement simple mais efficace pour obtenir un accès root sur un certain nombre de cibles potentielles.
Capable de voler des données sensibles, d'installer un dispositif rootkit, d'utiliser divers mécanismes d'évasion et de persistance et de réaliser des attaques DDoS, XorDdos permet aux cybercriminels de créer des perturbations potentiellement importantes sur les systèmes cibles. En outre, XorDdos peut être utilisé pour introduire d'autres menaces dangereuses ou fournir un vecteur pour des activités de suivi.
« XorDdos et d'autres menaces visant les dispositifs Linux soulignent combien il est crucial de disposer de solutions de sécurité dotées de capacités complètes et d'une visibilité totale couvrant de nombreuses distributions de systèmes d'exploitation Linux », déclare Microsoft. « Microsoft Defender for Endpoint offre une telle visibilité et une telle protection pour contrer ces menaces émergentes grâce à ses fonctionnalités antimalware et de détection et réponse aux points d'accès de nouvelle génération (EDR) », poursuit Microsoft.
Selon Microsoft, en s'appuyant sur les renseignements tirés des données intégrées sur les menaces, y compris l'heuristique client et cloud, les modèles d'apprentissage automatique, l'analyse de la mémoire et la surveillance du comportement, Microsoft Defender for Endpoint peut détecter et remédier à XorDdos et à ses attaques modulaires en plusieurs étapes.
Source : Microsoft
Et vous ?
:fleche: Quel est votre avis sur le sujet ?
:fleche: Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?
:fleche: « XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?
:fleche: « Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?
Voir aussi :
:fleche: Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut
:fleche: Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs
:fleche: Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques
:fleche: Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office, afin de lutter contre les ransomwares et d'autres logiciels malveillants