Discussion :

[Bruno]

Microsoft découvre une faille dans Linux qui donne l'accès à la racine des ordinateurs,
les vulnérabilités d'élévation de privilèges peuvent être utilisées pour obtenir un accès permanent

Des vulnérabilités récemment découvertes par Microsoft permettent aux personnes ayant une emprise sur de nombreux systèmes de bureau Linux d'obtenir rapidement les droits du système racine. Il s'agit de la dernière faille d'élévation de privilèges mise en évidence dans le système d'exploitation open source. Pour certains informaticiens, cette histoire démontre qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fialble que Windows

« Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », déclare un internaute.

« Je peux garantir qu'une grande partie des ingénieurs logiciels, chez Microsoft, travaillent sous Linux. Microsoft a un sous-système Linux intégré dans Windows maintenant. Microsoft possède Github, et Azure, qui utilisent tous deux Linux comme standard pour la majorité de leurs offres. Il y a de nombreuses raisons pour lesquelles ils consacreraient du temps et de la main d'œuvre à la recherche de tout problème potentiel dans Linux »

Les systèmes d'exploitation ayant été renforcés pour résister aux compromissions ces dernières années, les vulnérabilités d'élévation de privilèges (EoP) sont devenues un ingrédient essentiel de la plupart des hacks réussis. Elles peuvent être exploitées de concert avec d'autres vulnérabilités qui, à elles seules, sont souvent considérées comme moins graves, les secondes donnant ce que l'on appelle un accès local et les premières permettant d'accéder à la racine. À partir de là, les adversaires disposant d'un accès physique ou de droits limités sur le système peuvent déployer des portes dérobées ou exécuter le code de leur choix.

Les failles, identifiées sous les noms de CVE-2022-29799 et CVE-2022-29800, combinent des menaces telles que la traversée de répertoires, la course de liens symboliques et la condition de course de temps de vérification du temps d'utilisation (TOCTOU). Après avoir examiné le code source de Networkd -dispatcher, le chercheur Jonathan Bar Or de Microsoft a remarqué qu'un composant connu sous le nom de _run_hooks_for_state met en œuvre la logique suivante :

• Découvre la liste des scripts disponibles en invoquant la méthode get_script_list, qui appelle une méthode séparée scripts_in_path destinée à renvoyer tous les fichiers stockés dans le répertoire "/etc/networkd-dispatcher/.d" ;
• Trie la liste des scripts ;
• Exécute chaque script avec le processus subprocess.Popen et fournit des variables d'environnement personnalisées.

Run_hooks_for_state laisse les systèmes Linux ouverts à la vulnérabilité de traversée de répertoire, désignée sous le nom de CVE-2022-29799, parce qu'aucune des fonctions qu'il utilise ne nettoie correctement les états utilisés pour construire le chemin de script approprié à partir d'une entrée malveillante. Les pirates peuvent exploiter cette faiblesse pour s'échapper du répertoire de base /etc/networkd-dispatcher.

Run-hooks_for_state contient une autre faille, CVE-2022-29800, qui rend les systèmes vulnérables à la condition de course TOCTOU puisqu'il y a un certain temps entre la découverte des scripts et leur exécution.

Les adversaires peuvent exploiter cette dernière vulnérabilité pour remplacer les scripts que networkd-dispatcher croit appartenir à root par des scripts malveillants choisis par les adversaires. Pour s'assurer que Linux exécute le script malveillant fourni par le pirate plutôt que le script légitime, le pirate implante plusieurs scripts jusqu'à ce qu'un seul réussisse finalement.

Un pirate ayant un accès minimal à un ordinateur de bureau vulnérable peut enchaîner des exploits pour ces vulnérabilités qui donnent un accès complet à la racine. Le flux d'exploitation ressemble à ceci :

1. Préparez un répertoire /tmp/nimbuspwn et implantez un lien symbolique /tmp/nimbuspwn/poc.d pour pointer vers /sbin. Le répertoire /sbin a été choisi spécifiquement parce qu'il contient de nombreux exécutables appartenant à root qui ne se bloquent pas s'ils sont exécutés sans arguments supplémentaires. Cela permettra d'abuser du problème de course de liens symboliques que nous avons mentionné précédemment.
2. Pour chaque nom de fichier exécutable sous /sbin appartenant à root, plantez le même nom de fichier sous/tmp/nimbuspwn. Par exemple, si "/sbin/vgs" est exécutable et appartient à root, implantez un fichier exécutable "/tmp/nimbuspwn/vgs" avec la charge utile désirée. Cela aidera l'attaquant à gagner la condition de course imposée par la vulnérabilité TOCTOU ;
3. Envoyer un signal avec l'OperationalState ../../../tmp/nimbuspwn/poc. Ceci abuse de la vulnérabilité de traversée de répertoire et échappe le répertoire du script ;
4. Le gestionnaire de signaux de networkd-dispatcher entre en action et construit la liste des scripts à partir du répertoire /etc/networkd-dispatcher/../../../tmp/nimbuspwn/poc.d, qui est en réalité le lien symbolique (/tmp/nimbuspwn/poc.d), qui pointe vers /sbin. Par conséquent, cela crée une liste composée de nombreux exécutables appartenant à root ;
5. Changez rapidement le lien symbolique /tmp/nimbuspwn/poc.d pour qu'il pointe vers /tmp/nimbuspwn. Ceci abuse de la vulnérabilité de la condition de course TOCTOU - le chemin du script change sans que networkd-dispatcher en soit conscient ;
6. Le répartiteur commence à exécuter des fichiers qui étaient initialement sous "/sbin" mais en réalité sous le répertoire /tmp/nimbuspwn. Puisque le répartiteur "croit" que ces fichiers appartiennent à root, il les exécute aveuglément avec subprocess.Popen en tant que root. Par conséquent, notre attaquant a réussi à exploiter la vulnérabilité.
7. Pour obtenir un accès root permanent, le chercheur a utilisé le flux d'exploitation pour créer une porte dérobée. La procédure à suivre est la suivante :
8. Copie /bin/sh dans /tmp/sh ;
9. Transforme le nouveau /tmp/sh en un binaire Set-UID (SUID) ;
10. Exécute /tmp/sh -p. Le drapeau "-p" est nécessaire car les shells modernes abandonnent les privilèges par conception.

L'exploit de preuve de concept ne fonctionne que lorsqu'il peut utiliser le nom de bus "org.freedesktop.network1". Le chercheur a trouvé plusieurs environnements où cela se produit, y compris Linux Mint, dans lequel le systemd-networkd par défaut ne possède pas le nom de bus org.freedodesktop.network1 au démarrage.

Le chercheur a également trouvé plusieurs processus qui s'exécutent sous l'utilisateur systemd-network, qui est autorisé à utiliser le nom de bus nécessaire pour exécuter du code arbitraire à partir d'emplacements inscriptibles dans le monde. Les processus vulnérables comprennent plusieurs plugins gpgv, qui sont lancés lors de l'installation ou de la mise à jour d'apt-get, et le Erlang Port Mapper Daemon, qui permet d'exécuter du code arbitraire dans certains scénarios.

La vulnérabilité a été corrigée dans le networkd-dispatcher, bien qu'il n'ait pas été immédiatement clair quand ou dans quelle version, et les tentatives pour joindre le développeur n'ont pas été immédiatement couronnées de succès. Les personnes utilisant des versions vulnérables de Linux doivent corriger leurs systèmes dès que possible.

Source : Microsoft

Et vous ?

Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?

« Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?

Voir aussi :

Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut

Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs

Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office, afin de lutter contre les ransomwares et d'autres logiciels malveillants

[tabouret]

« Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?

Ben voyons

Allez petit tour d'horizon des quelques mois passés:

Linux: 2 failles majeures, CVSS 7.8 tout de même une concernant sudo (buffer overflow très difficilement exploitable), une concernant polkit. On reste sur de l'escalade de privilège, corrigées en quelques jours.

Windows: une véritable dinguerie il ne se passe pas 3 mois sans qu'une faille de CVSS > 9 ne fasse son apparition.
Zerologon CVSS 10 (compromission complète d'un AD à partir d'un flux réseau non authentifié).
Exchange
Printnightmare CVSS 8.8 ils ont été infoutus de corriger la faille pendant plusieurs mois, ils préconisaient de désactiver le spooler d'impression (ha ouais... lol)
Janvier http.sys CVSS 9.8...
Et maintenant la faille du moment: Les RPC (donc SMB) CVSS 9.8

C'est simple il n'y a pas un service dans Windows qui ne soit pas bugué à la mort à tel point qu'avec quelques hacks sous Python tu puisses faire des RCE avec des droits systèmes.

Franchement...Linux est intrinsèquement plus sécurisé que Windows n'importe quel ingénieur sécurité le sait.

[chrtophe]

Plutôt que de rechercher des failles sous Linux, Microsoft ferait mieux de chercher des failles sous son propre système Windows.

Bien-sûr Linux n'est pas infaillible, mais c'est encore moins le cas de Windows

[Pierre Louis Chevalier]

Certes, cependant il faut savoir que désormais Microsoft utilise Linux sur ses serveurs, par exemple pour proposer des services Cloud Azure.

[chrtophe]

Oui je sais, l'actu l'évoque également.

C'est bien qu'ils trouvent des failles, mais :

Vu le nombre de machines sous Windows dans le monde, et le nombre d'instances Azure, je pense pas que la priorité pour eux soit de travailler sur Linux, mais plutôt sous les OS qu'ils vendent.
Par ailleurs, il est fort probable que les hôtes qu'ils utilisent n'ont pas d-bus.

[yahiko]

La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.

[Uther]

Franchement...Linux est intrinsèquement plus sécurisé que Windows n'importe quel ingénieur sécurité le sait.

Tu confonds "intrinsèquement" et "dans la pratique".
Linux c'est une noyau monolithique relativement complexe, codé en C, qui supporte notamment le parallélisme et la concurrence, tout comme celui de Windows. Sur ce qui constitue la valeur intrinsèque, il n'y a pas de raison particulière que Linux ait plus de faille que Windows. Il y a peut-être d'autre raisons qui font que Windows aurait plus de problème, mais pas sur ce qui constitue une valeur intrinsèque.

Après pour ta comparaison, il faudrait quand même que tu fixe précisément le périmètre car un Windows de base c'est plus large qu'un noyau Linux donc forcément plus susceptible d'avoir des failles.

[kain_tn]

La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.

Pour une fois je suis d'accord: je préfère que Microsoft passe du temps à sécuriser gratuitement Linux qu'à travailler sur un Windows qui ne me sert que sur mon poste de travail au bureau. Mais je pense que ce n'est pas tout à fait ce que tu voulais dire, n'est-ce pas?

Au passage pour ceux que ça intéresse, les failles découvertes sont dans systemd, pas dans le kernel Linux.

[vbarr]

Moins il y'a de code, moins on peut se faire attaquer et plus c'est facile de surveiller la base de code qui tourne. Avec les usines à gaz que sont Linux et Windows, il y aura toujours des trous de sécurité, et des risques que les auteurs d'un paquet "installé par tout le monde" injectent délibérément du code malveillant.

[AoCannaille]

La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.

Je suis d'accord. Pour l'instant chaque effort que fait Microsoft envers Linux essuie petit à petit la rancœur de la vente liée et du pillage des solutions open source pendant 30 ans.

Une fois que Microsoft aura frotté assez fort pour effacer les tâche, il passera au polissage et pourra enfin briller ^^

En ce qui me concerne, n'utilisant plus Windows à la maison et n'utilisant Windows au boulot que pour Outlook et accéder en SSH à Linux, je suis ravi de cela

Aprés, il ne faut pas se faire d'illusion, ils ne font pas ça à perte.

D'aprés leurs résultats de ce premier trimestre , il semble que le cloud (et donc linux en tant qu'outils interne microsoft) a dépassé les outils de productivité (j'imagine Office, Outlook, teams etc.) et Windows (que j'imagine être casé dans "More personal computing").

[tabouret]

Tu confonds "intrinsèquement" et "dans la pratique".
Linux c'est une noyau monolithique relativement complexe, codé en C, qui supporte notamment le parallélisme et la concurrence, tout comme celui de Windows. Sur ce qui constitue la valeur intrinsèque, il n'y a pas de raison particulière que Linux ait plus de faille que Windows. Il y a peut-être d'autre raisons qui font que Windows aurait plus de problème, mais pas sur ce qui constitue une valeur intrinsèque.

Après pour ta comparaison, il faudrait quand même que tu fixe précisément le périmètre car un Windows de base c'est plus large qu'un noyau Linux donc forcément plus susceptible d'avoir des failles.

Le périmètre est simple tout ce qui constitue un serveur basique non graphique (donc exit les composants web/bdd/middleware).
On parle de RDP, NFS, SSH, NTP, authent/login, du kernel en lui même...
Ou sinon si tu préfère un Windows server avec une Debian 11 ou une RHEL si tu veux.

Windows est une surcouche d'une surcouche d'une surcouche....raison pour laquelle je parle de valeur intrinsèque.
Il faut se poser la question suivante: pourquoi les RCE violentes ET récurrentes sont surtout le propre de Windows et non de Linux?

Enfin c'est un débat à troll j'en ai conscience

Néanmoins, si Microsoft trouve des failles à Linux, j'en suis ravi si ça permet de les corriger asap.

Edit:
Concernant ma comparaison, je ne parlais pas que du kernel. Je te parle d'un serveur basique (debian11, RHEL8, Win 2K22...) pour rappel, sudo et polkit que j'ai mentionnés ne sont pas des éléments du kernel, ils sont dans le user space.

[novices]

Grmbl... je croyais ce site un brin sérieux.

La faille en question est liée à nimbuspwn, un machin en Python. C'est pas "dans" Linux mais dans un logiciel tout pourri qu'on peut installer sous Linux et qui alors ouvre une faille.

Lorsqu'une faille Java survient pour donner un accès non prévu sur un système Microsoft, est-ce que vous titrez que Microsoft est responsable ?

Bref, je ne suis pas fier de Bruno mais alors pas du tout.

[chrtophe]

La faille en question est liée à nimbuspwn, un machin en Python

Absolument pas, nimbuspwn est le nom donnée à la faille, et ce n'est pas en Python. La démonstration de la faille est présentée avec un code Python.

La faille se situe au niveau de systemd.


Il faut bien lire et comprendre avant de critiquer.

[Bruno]

Microsoft tire la sonnette d'alarme sur un botnet Linux,
le fabriquant de #Windows dit avoir observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos

Microsoft a tiré la sonnette d'alarme sur un logiciel malveillant DDoS appelé XorDdos qui cible les points d'extrémité et les serveurs Linux. « Au cours des six derniers mois, nous avons observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos », déclare Microsoft. Encore une faille qui vient démontrer qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows ?

Le mois dernier, Microsoft a indiqué avoir découvert des vulnérabilités qui permettent aux personnes ayant une emprise sur de nombreux systèmes de bureau Linux d'obtenir rapidement les droits du système racine. Il s'agissait alors de la dernière faille d'élévation de privilèges mise en évidence dans le système d'exploitation Linux par Microsoft.

De l’avis d’un internaute, Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. « Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows. »

XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux, qui sont couramment déployés sur les infrastructures en nuage et les appareils de l'Internet des objets (IoT), prévient Microsoft.

Les attaques DDoS en elles-mêmes peuvent être très problématiques pour de nombreuses raisons, mais ces attaques peuvent également être utilisées comme couverture pour cacher d'autres activités malveillantes, comme le déploiement de logiciels malveillants et l'infiltration des systèmes cible. L'utilisation d'un botnet pour réaliser des attaques DDoS peut potentiellement créer des perturbations importantes, comme l'attaque DDoS de 2,4 Tbps que Microsoft a atténuée en août 2021.

Les réseaux de zombies peuvent également être utilisés pour compromettre d'autres dispositifs, et XorDdos est connu pour avoir utilisé des attaques par force brute Secure Shell (SSH) pour prendre le contrôle à distance des dispositifs cibles. SSH est l'un des protocoles les plus courants dans les infrastructures informatiques et permet des communications chiffrées sur des réseaux non sécurisés à des fins d'administration de systèmes à distance, ce qui en fait un vecteur intéressant pour les attaquants. Une fois que XorDdos a identifié des informations d'identification SSH valides, il utilise les privilèges root pour exécuter un script qui télécharge et installe XorDdos sur le périphérique cible.

Un vecteur d'attaque typique du logiciel malveillant XorDdos

XorDdos utilise des mécanismes d'évasion et de persistance qui permettent à ses opérations de rester robustes et furtives. Ses capacités d'évasion comprennent l'obscurcissement des activités du malware, l'évitement des mécanismes de détection basés sur des règles et la recherche de fichiers malveillants basée sur le hachage, ainsi que l'utilisation de techniques anti-forensic pour briser l'analyse basée sur l'arbre des processus.

Microsoft dit avoir observé lors des campagnes récentes que XorDdos dissimule les activités malveillantes à l'analyse en écrasant les fichiers sensibles avec un octet nul. Il comprend également divers mécanismes de persistance pour prendre en charge différentes distributions Linux. XorDdos peut illustrer une autre tendance observée sur diverses plateformes, dans laquelle les logiciels malveillants sont utilisés pour transmettre d'autres menaces dangereuses.

Microsoft dit également avoir constaté que les appareils d'abord infectés par XorDdos étaient ensuite infectés par d'autres logiciels malveillants tels que la porte dérobée qui déploie ensuite le mineur de monnaie XMRig. « Bien que nous n'ayons pas observé XorDdos installer et distribuer directement des charges utiles secondaires comme Tsunami, il est possible que le cheval de Troie soit utilisé comme vecteur pour des activités de suivi », indique Microsoft.

Microsoft Defender for Endpoint protège contre XorDdos en détectant et en corrigeant les attaques modulaires en plusieurs étapes du cheval de Troie tout au long de sa chaîne d'attaque et toute activité de suivi potentielle sur les points d'extrémité. XorDdos se propage principalement par force brute SSH. Il utilise un script shell malveillant pour essayer diverses combinaisons d'identifiants root sur des milliers de serveurs jusqu'à ce qu'il trouve une correspondance sur un périphérique Linux cible. Par conséquent, on peut constater de nombreuses tentatives de connexion infructueuses sur les appareils infectés par le logiciel malveillant :

Échec des tentatives de connexion sur un appareil affecté par XorDdos

Microsoft a déterminé deux des méthodes d'accès initial de XorDdos. La première méthode consiste à copier un fichier ELF malveillant dans le stockage de fichiers temporaires /dev/shm, puis à l'exécuter. Les fichiers écrits sur /dev/shm sont supprimés lors du redémarrage du système, ce qui permet de dissimuler la source de l'infection lors d'une analyse judiciaire.

La deuxième méthode consiste à exécuter un script bash qui effectue les activités suivantes via la ligne de commande :

1. Itère les dossiers suivants pour trouver un répertoire accessible en écriture
   
   • /bin
   • /home
   • /root
   • /tmp
   • /usr
   • /etc
2. Si un répertoire inscriptible est trouvé, change le répertoire de travail pour le répertoire inscriptible découvert ;
3. Utilise la commande curl pour télécharger la charge utile du fichier ELF depuis l'emplacement distant hxxp://Ipv4PII_777789ffaa5b68638cdaea8ecfa10b24b326ed7d/1[.]txt et enregistre le fichier sous le nom de ygljglkjgfg0 ;
4. Change le mode du fichier en "exécutable" ;
5. Exécute la charge utile du fichier ELF ;
6. Déplace et renomme le binaire Wget pour échapper aux détections basées sur des règles déclenchées par une utilisation malveillante du binaire Wget. Dans ce cas, il renomme le binaire Wget en bon et déplace le fichier vers les emplacements suivants :
   
   • mv /usr/bin/wget /usr/bin/good
   • mv /bin/wget /bin/good
7. Tente de télécharger une deuxième fois la charge utile du fichier ELF, en utilisant désormais uniquement le bon fichier et non le binaire Wget ;
8. Après avoir exécuté le fichier ELF, utilise une technique anti-forensique qui dissimule son activité passée en écrasant le contenu de ceratins fichiers sensibles.

Recommandations de Microsoft pour se défendre contre les menaces de la plateforme Linux

La nature modulaire de XorDdos fournit aux attaquants un cheval de Troie polyvalent capable d'infecter une variété d'architectures de systèmes Linux. Ses attaques par force brute SSH sont une technique relativement simple mais efficace pour obtenir un accès root sur un certain nombre de cibles potentielles.

Capable de voler des données sensibles, d'installer un dispositif rootkit, d'utiliser divers mécanismes d'évasion et de persistance et de réaliser des attaques DDoS, XorDdos permet aux cybercriminels de créer des perturbations potentiellement importantes sur les systèmes cibles. En outre, XorDdos peut être utilisé pour introduire d'autres menaces dangereuses ou fournir un vecteur pour des activités de suivi.

« XorDdos et d'autres menaces visant les dispositifs Linux soulignent combien il est crucial de disposer de solutions de sécurité dotées de capacités complètes et d'une visibilité totale couvrant de nombreuses distributions de systèmes d'exploitation Linux », déclare Microsoft. « Microsoft Defender for Endpoint offre une telle visibilité et une telle protection pour contrer ces menaces émergentes grâce à ses fonctionnalités antimalware et de détection et réponse aux points d'accès de nouvelle génération (EDR) », poursuit Microsoft.

Selon Microsoft, en s'appuyant sur les renseignements tirés des données intégrées sur les menaces, y compris l'heuristique client et cloud, les modèles d'apprentissage automatique, l'analyse de la mémoire et la surveillance du comportement, Microsoft Defender for Endpoint peut détecter et remédier à XorDdos et à ses attaques modulaires en plusieurs étapes.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous de cette vulnérabilité découverte par Microsoft dans Linux ?

« XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?

« Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?

Voir aussi :

Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent à des serveurs avec les mêmes mots de passe par défaut

Un bogue vieux de 12 ans dans polkit permet d'obtenir des privilèges « root » sur les principales distributions GNU/Linux, Ubuntu et Red Hat ont déjà publié des correctifs

Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

Microsoft va bloquer les macros téléchargées depuis Internet par défaut dans cinq applications Office, afin de lutter contre les ransomwares et d'autres logiciels malveillants

[Shepard]

Encore une faille qui vient démontrer qu'il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows ?

Ben voyons

Allez petit tour d'horizon des quelques mois passés:

Linux: 2 failles majeures, CVSS 7.8 tout de même une concernant sudo (buffer overflow très difficilement exploitable), une concernant polkit. On reste sur de l'escalade de privilège, corrigées en quelques jours.

Windows: une véritable dinguerie il ne se passe pas 3 mois sans qu'une faille de CVSS > 9 ne fasse son apparition.
Zerologon CVSS 10 (compromission complète d'un AD à partir d'un flux réseau non authentifié).
Exchange
Printnightmare CVSS 8.8 ils ont été infoutus de corriger la faille pendant plusieurs mois, ils préconisaient de désactiver le spooler d'impression (ha ouais... lol)
Janvier http.sys CVSS 9.8...
Et maintenant la faille du moment: Les RPC (donc SMB) CVSS 9.8

C'est simple il n'y a pas un service dans Windows qui ne soit pas bugué à la mort à tel point qu'avec quelques hacks sous Python tu puisses faire des RCE avec des droits systèmes.

Franchement...Linux est intrinsèquement plus sécurisé que Windows n'importe quel ingénieur sécurité le sait.

De l’avis d’un internaute, Microsoft emploie certains des meilleurs chercheurs en sécurité au monde, découvre et corrige régulièrement des vulnérabilités importantes, souvent avant qu'elles ne soient utilisées dans les écosystèmes. « Ce que cette découverte démontre en fait, c'est ce que toute personne ayant la moitié d'un indice savait déjà : il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows. »

Ce n'est pas sourcé :-(

Les réseaux de zombies peuvent également être utilisés pour compromettre d'autres dispositifs, et XorDdos est connu pour avoir utilisé des attaques par force brute Secure Shell (SSH) pour prendre le contrôle à distance des dispositifs cibles.

Les attaques par force brute ne fonctionnent pas avec un mot de passe correct ... Le botnet est installé sur des machines Linux exclusivement ? :-O

Un DDoS fonctionne sur n'importe quel OS, d'ailleurs s'agit-il vraiment d'une faille ?

[Invité]

C'est plus une succession d'erreur d'administration (accès root autorisé, accès ssh par mdp, mdp suffisamment faible pour être trouvé en brute force) qu'une réelle faille...

[OrthodoxWindows]

« XorDdos illustre la tendance des logiciels malveillants à cibler de plus en plus les systèmes d'exploitation basés sur Linux », déclare Microsoft. Êtes-vous du même avis ?

C'est possible que la progression constante de Linux dans les serveurs joue sur ce ciblage. Après, je ne sais pas si ce genre d'attaque touche uniquement les GNU/Linux, ou aussi Android. Parce que si c'est aussi Android, ça fait du monde à attaquer.

« Il n'y a rien dans Linux qui le rende intrinsèquement plus fiable que Windows », partagez-vous cet avis ?

Oui dans l'absolu, non dans la réalité. Un logiciel libre est open source est quasiment tout le temps plus sécurisé qu'un logiciel propriétaire. L'adoption massive de l'open source dans des milieux critiques le prouve.
Par contre, je pense que dans l'absolu (contrairement à certains fan-boy Linux ), Windows n'est pas moins sécurisé. Windows est juste moins sécurisé parce que propriétaire.

En dehors de ça, je suis surpris de ne pas avoir vu un commentaire de yahiko à ce sujet . Je pense que cela ne va pas tarder.

[Escapetiger]

[Aparté]

La communauté Open Source devrait être reconnaissante envers Microsoft que ceux-ci améliorent sans cesse la sécurité de Linux en partageant leurs découvertes de failles majeures de l'OS Pingouin avec tout le monde.

Source de la confusion

D'où vient la confusion entre pingouin et manchot ? Tout d'abord, il peut s'agir d'un problème de traduction. Ainsi, en anglais, manchot se traduit par penguin, alors que pingouin se traduit par auk. En allemand, en russe et en espagnol, les deux espèces se traduisent avec le même mot qui ressemble à "pingouin" (pinguin, pingvin et pingüino). D'autre part, il s'agit d'une ressemblance physique entre le grand pingouin, espèce éteinte au XIXe siècle, et le manchot.

En ce qui concerne la mascotte de Linux, le fait que Linus Torvalds soit finlandais (donc près de l'océan arctique) peut faire penser à un pingouin. Or, Torvalds a choisi Tux notamment parce qu'il avait été mordu par un manchot lors de la visite d'un zoo en Australie.

Source : Quelle est la difference entre un pingouin et un manchot — Lea Linux

[/Aparté]

[gallit]

J'ai quand même l'impression qu'ils essaient de refourguer un peu leur Defender pour Linux.

[smarties]

Personnellement, je n'ai jamais eu de souci sur les machines Linux (bureau et serveur).

Je respecte cependant quelques règles quand je les installe :
- utilisateur dédié pour le rôle root sinon tout le monde est utilisateur normal
- installation de tous les logiciels que l'utilisateur a besoin
- changement du port SSH et depuis peu (depuis que j'ai commencé à utiliser Ansible en fait) je commence à faire de l'identification avec clé
- fail2ban et j'ai commencé à regardé Crowdsec
- exposition des uniques ports nécessaire à l'extérieur