Dans le bulletin de sécurité de cette semaine, nous aborderons divers problèmes et vulnérabilités découverts dans les projets open source et Windows.
Utilisation après coup du noyau Linux dans le sous-système netfilter
Une vulnérabilité d'écriture "use-after-free" a été identifiée dans le sous-système "netfilter" du noyau Linux. Le déclenchement de ce problème nécessite le privilège de créer des espaces de noms utilisateur/réseau sur le système, et cette vulnérabilité peut être exploitée pour réaliser une escalade de privilèges jusqu'à l'utilisateur root sur les systèmes affectés.
Cette faiblesse est liée au fait qu'une expression n'est pas supprimée de la liste des liaisons d'un ensemble avant d'être détruite. Il a été constaté que cela affecte plusieurs expressions, mais au minimum les expressions "lookup" et "dynset".
Cette action crée un état dans lequel toute utilisation ultérieure de la liste set binding finira par écrire l'adresse d'un pointeur de lien dans un objet slab qui a déjà été libéré et éventuellement réalloué. Pour plus de détails sur cette vulnérabilité, vous pouvez vous référer à la divulgation originale du chercheur. Le correctif permettant d'atténuer la vulnérabilité a été publié le 26 mai 2022.
Attaque de la chaîne d'approvisionnement en logiciels utilisant "ctx" et "phpass"
Deux paquets malveillants Python et PHP ont été découverts, menant une attaque de la chaîne d'approvisionnement logicielle ciblant l'écosystème open source. L'un des paquets est "ctx", un module Python disponible dans le dépôt PyPi. L'autre est "phpass", un paquet PHP qui a été forké sur GitHub pour distribuer une mise à jour malveillante.
Une mise à jour malveillante a été introduite dans "ctx" le 21 mai 2022. Les deux paquets ne sont pas maintenus, la dernière mise à jour légitime pour "ctx" ayant été publiée le 19 décembre 2014 et, dans le cas de "phpass", le 31 août 2012. À la base, les modifications sont conçues pour exfiltrer les identifiants AWS vers une URL Heroku et il semble que l'auteur essaie d'obtenir toutes les variables d'environnement, de les encoder en Base64 et de transmettre les données à une application web sous le contrôle de l'auteur.
L'individu responsable a pu détourner le compte PyPi abandonné du responsable en achetant son domaine expiré et en s'envoyant un lien de réinitialisation du mot de passe.
Follina - Vulnérabilité RCE dans Microsoft Support Diagnostic Tool (MSDT) sous Windows
Une vulnérabilité d'exécution de code à distance existe lorsque MSDT est appelé à l'aide du protocole URL à partir d'une application appelante telle que Word. Ce document malveillant utilise la fonction de modèle à distance de Word pour récupérer un fichier HTML à partir d'un serveur web distant, qui à son tour utilise le schéma URI ms-msdt MSProtocol pour charger du code et exécuter du PowerShell. CVE-2022-30190: un jour zéro permettant l'exécution de code dans les produits Office.
Un attaquant qui réussit à exploiter cette vulnérabilité peut exécuter du code arbitraire avec les privilèges de l'application appelante. Il peut alors installer des programmes, visualiser, modifier ou supprimer des données, ou encore créer de nouveaux comptes dans le contexte autorisé par les droits de l'utilisateur.
Microsoft indique que cette faille concerne toutes les versions de Windows qui reçoivent encore des mises à jour de sécurité (Windows 7+ et Server 2008+). Selon l'éditeur, les administrateurs et les utilisateurs peuvent bloquer les attaques exploitant CVE-2022-30190 en désactivant le protocole URL MSDT, que les acteurs malveillants utilisent pour lancer des dépanneurs et exécuter du code sur les systèmes vulnérables. Consultez les conseils de sécurité de Microsoft pour désactiver le protocole URL MSDT sur un appareil Windows. Après la publication d'un correctif par Microsoft, vous pouvez annuler la solution de contournement et appliquer les correctifs recommandés.
Commentaires