Zum Inhalt springen
BlogSicherheitLinode Security Digest 29. Mai bis 5. Juni 2022

Linode Security Digest 29. Mai bis 5. Juni 2022

Linode Security Digest

Im Sicherheitsbericht dieser Woche werden wir verschiedene Probleme und Schwachstellen besprechen, die in Open-Source-Projekten und Windows entdeckt wurden.

Linux-Kernel use-after-free im Netzfilter-Subsystem

Eine Use-after-free-Schreibschwachstelle wurde im Linux-Kernel-Netfilter-Subsystem entdeckt. Das Auslösen dieses Problems erfordert die Berechtigung, Benutzer-/Netz-Namensräume auf dem System zu erstellen, und diese Schwachstelle kann ausgenutzt werden, um eine Privilegienerweiterung zu root auf den betroffenen Systemen zu erreichen.

Diese Schwäche hängt damit zusammen, dass ein Ausdruck nicht aus der Bindungsliste eines Sets entfernt wird, bevor der Ausdruck zerstört wird. Es wurde festgestellt, dass dies mehrere Ausdrücke betrifft, zumindest aber die Ausdrücke "lookup" und "dynset".

Diese Aktion schafft einen Zustand, in dem jede nachfolgende Verwendung der Set-Binding-Liste dazu führt, dass eine Link-Pointer-Adresse in ein Slab-Objekt geschrieben wird, das bereits freigegeben und möglicherweise neu zugewiesen wurde. Ausführlichere Details zu dieser Schwachstelle finden Sie in der ursprünglichen Veröffentlichung des Forschers. Der Patch zur Behebung der Sicherheitslücke wurde am 26. Mai 2022 veröffentlicht.

Angriff auf die Software-Lieferkette mit "ctx" und "phpass"

Zwei bösartige Python - und PHP-Pakete wurden aufgedeckt, die einen Angriff auf die Software-Lieferkette im Open-Source-Ökosystem durchführen. Bei einem der Pakete handelt es sich um "ctx", ein Modul von Python , das im PyPi-Repository verfügbar ist. Bei dem anderen handelt es sich um "phpass", ein PHP-Paket, das auf GitHub geforkt wurde, um ein gefälschtes Update zu verbreiten.

Eine bösartige Aktualisierung wurde am 21. Mai 2022 in "ctx" eingeführt. Beide Pakete werden nicht gewartet. Das letzte legitime Update für "ctx" wurde am 19. Dezember 2014 und für "phpass" am 31. August 2012 veröffentlicht. Im Kern zielen die Modifikationen darauf ab, AWS Anmeldeinformationen an eine Heroku-URL zu exfiltrieren, und es scheint, dass der Täter versucht, alle Umgebungsvariablen zu erhalten, sie in Base64 zu kodieren und die Daten an eine Web-App unter der Kontrolle des Täters weiterzuleiten.

Die verantwortliche Person war in der Lage, das verlassene PyPi-Konto des Maintainers zu kapern, indem sie dessen abgelaufene Domain kaufte und sich selbst einen Link zum Zurücksetzen des Passworts schickte. 

Follina - RCE-Schwachstelle in Microsoft Support Diagnostic Tool (MSDT) in Windows

Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn MSDT über das URL-Protokoll von einer aufrufenden Anwendung wie Word aufgerufen wird. Dieses bösartige Dokument verwendet die Word-Funktion für entfernte Vorlagen, um eine HTML-Datei von einem entfernten Webserver abzurufen, die wiederum das ms-msdt MSProtocol URI-Schema verwendet, um Code zu laden und PowerShell auszuführen. CVE-2022-30190 ein Zero-Day, der die Ausführung von Code in Office-Produkten ermöglicht.

Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem durch die Rechte des Benutzers erlaubten Kontext erstellen.

Laut Microsoft betrifft die Schwachstelle alle Windows-Versionen, die noch Sicherheitsupdates erhalten (Windows 7+ und Server 2008+). Nach Angaben des Herstellers können Administratoren und Benutzer Angriffe, die CVE-2022-30190 ausnutzen, blockieren, indem sie das MSDT-URL-Protokoll deaktivieren, das böswillige Akteure verwenden, um Troubleshooter zu starten und Code auf anfälligen Systemen auszuführen. Lesen Sie die Sicherheitsanleitung von Microsoft, um das MSDT-URL-Protokoll auf einem Windows-Gerät zu deaktivieren. Nachdem Microsoft einen Patch veröffentlicht hat, können Sie die Umgehung rückgängig machen und die empfohlenen Patches anwenden. 


Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet