Los investigadores de Microsoft han descubierto esta semana varias vulnerabilidades que permiten a un atacante explotar sistemas Linux.
En un blog el martes, Jonathan Bar Or, del equipo de investigación de Microsoft 365 Defender, dijo que las vulnerabilidades -conocidas colectivamente como Nimbuspwn- pueden ser “encadenadas” y utilizadas para “desplegar payloads, como como un root backdoor, y realizar otras acciones maliciosas a través de la ejecución arbitraria de código de manera root.” “Además, las vulnerabilidades de Nimbuspwn podrían ser potencialmente aprovechadas como vector de acceso root por amenazas más sofisticadas, como el malware o el ransomware, para lograr un mayor impacto en los dispositivos vulnerables”, dijo Or. “Las correcciones para estas vulnerabilidades, ahora identificadas como CVE-2022-29799 y CVE-2022-29800, han sido desplegadas con éxito por el mantenedor de networkd-dispatcher, Clayton Craft. Se recomienda a los usuarios de networkd-dispatcher que actualicen sus instancias.” Los investigadores de Microsoft descubrieron los problemas mientras realizaban revisiones de código y análisis dinámicos en servicios que se ejecutan como root.Microsoft discovered vulnerabilities, collectively referred to as Nimbuspwn, that can be chained together to gain root privileges on Linux systems, allowing attackers to potentially deploy payloads on vulnerable devices. Read our blog via @yo_yo_yo_jbo:https://t.co/QqPP0UgtQD
— Microsoft Security Intelligence (@MsftSecIntel) April 26, 2022
Los problemas giran en torno a D-Bus, abreviatura de “Desktop-Bus”, que fue desarrollado por el proyecto freedesktop.org y sirve como “mecanismo de comunicación entre procesos (IPC)”.
D-Bus permite que los procesos de un mismo endpoint se comuniquen transmitiendo mensajes y respondiendo a ellos, según Or. “Se trata de un interesante conjunto de vulnerabilidades que afectan a los usuarios de escritorios Linux. La huella de riesgo podría ser amplia: Los escritorios Linux no son sólo para los aficionados, decenas de miles de empleados de Google utilizan un derivado de Debian como su sistema operativo de escritorio, y hay una serie de otras instalaciones corporativas, gubernamentales y de investigación notables que tienen grandes despliegues de escritorio Linux”, dijo Casey Bisson de BluBracket. “Un ataque de escalada de privilegios contra esta base de usuarios podría utilizarse para el espionaje o como parte de un ataque encadenado para obtener el control de recursos adicionales”. Mike Parkin, de Vulcan Cyber, dijo a The Record que no hay indicios de que las vulnerabilidades hayan sido explotadas y que la explotación de estas vulnerabilidades parece requerir una cuenta local. Señaló que hay múltiples formas de mitigarlas más allá del parcheo recomendado. Otros expertos, como Bud Broomhead, director general de Viakoo, afirmaron que Nimbuspwn es otro ejemplo de cómo los actores de las amenazas cambian los vectores de ataque hacia el código abierto y los exploits basados en Linux. “Por su naturaleza son más difíciles de remediar y a menudo tienen un período de vulnerabilidad prolongado porque las soluciones tradicionales para la detección y el remedio pueden no aplicarse, y como hay múltiples distribuciones de Linux (más de 600) puede haber igualmente muchos parches que necesitan ser aplicados”, dijo Broomhead. “La escalada de privilegios mediante la explotación de Nimbuspwn requiere una acción urgente; no sólo puede conducir a la ejecución remota de código, sino también a la exfiltración de datos, la implantación de deepfakes y la distribución de ransomware.” El principal cazador de amenazas de Netenrich, John Bambenek, explicó que la mayoría de las distribuciones de Linux basadas en Debian utilizan la configuración destacada en el blog de Microsoft por defecto, pero señaló que requiere que un atacante ya tenga acceso al shell en la máquina. “Esto parece ser un problema bastante frecuente”, dijo Bambenek. “Se trata de un hallazgo sólido por parte de Microsoft, que se hace más interesante por el hecho de que los aspectos de Linux incluidos en Microsoft no incluyen esto”. Mr. X
Exploitables es una comunidad de ciberseguridad y tecnología nacida en Málaga. Queremos compartir conocimientos de manera desinteresada.
