Les sujets abordés dans le bulletin de sécurité de cette semaine sont les suivants :
- une condition de concurrence dans le sous-système de mémoire du noyau Linux ;
- une vulnérabilité de traversée de chemin dans le logiciel UnRAR conduisant à un zero-Day dans Zimbra ; et
- découverte d'un bogue architectural dans les processeurs d'Intel.
Vulnérabilité du noyau Linux - CVE-2022-2590
David Hildenbrand de Red Hat - avec la participation d'Amit Nadav de VMware - a récemment découvert une vulnérabilité dans les versions 5.16 ou supérieures du noyau Linux, qui pourrait permettre à un adversaire de modifier le contenu des fichiers de mémoire partagée (shmem/tmpfs). Nommée "Dirty COW vulnerability restricted to tmpfs/shmem", la faille(CVE-2022-2590) peut permettre à un utilisateur local authentifié d'élever ses privilèges sur le système en exploitant une condition de course dans le mécanisme de copie sur écriture dans le sous-système de gestion de la mémoire de Linux. Les plateformes x86-64 et aarch64 sont concernées.
La copie sur écriture est une stratégie de gestion des ressources mise en œuvre dans divers systèmes, tels que les bases de données, les systèmes de fichiers et les systèmes d'exploitation. Une explication simplifiée serait que si différents processus accèdent à la même ressource/objet dans la mémoire, et si un processus tente d'écrire dans la ressource partagée, un défaut de page se produit et le noyau crée une nouvelle copie privée de la ressource pour le processus d'écriture. Cela empêche la corruption des données et toute écriture dans la ressource partagée de devenir visible par d'autres processus. L'effet de cette vulnérabilité semble être limité au système de fichiers tmpfs, qui est le plus souvent utilisé pour monter les répertoires /tmp, /var/lock, /var/run et /dev/shm.
Une condition préalable à l'exploitation est que le noyau soit compilé avec CONFIG_USERFAULTFD=y, ce qui permet aux processus de l'espace utilisateur de gérer les erreurs de page par l'intermédiaire de l'appel système userfaultfd.
Plus d'informations peuvent être trouvées dans le patch du commit amont.
Vulnérabilité de traversée de chemin dans UnRAR
Une vulnérabilité de traversée de chemin dans les versions Unix/Linux du logiciel UnRAR a été découverte par Simon Scannell, un chercheur de SonarSource, à la fin du mois de juin. La vulnérabilité, répertoriée sous le nom de CVE-2022-30333, est exploitable lorsqu'un utilisateur ou un service tente d'extraire une archive RAR malicieusement conçue, ce qui entraîne la création de fichiers en dehors du dossier d'extraction cible.
Zimbra est un logiciel collaboratif populaire et une plateforme de messagerie électronique disponible pour Linux. Il fait partie d'une campagne d'attaques zero-day en cours qui exploite des installations UnRAR non corrigées sur le serveur. Cela a incité l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter la faille dans UnRAR à son catalogue de vulnérabilités connues et exploitées (Known Exploited Vulnerabilities Catalog).
Selon le blog de SonarSource, un acteur de la menace peut envoyer un e-mail contenant une pièce jointe .rar malveillante à une instance Zimbra, l'e-mail passe par le service Amavis, qui est responsable de l'analyse et de la vérification du message entrant. Le service peut également extraire les pièces jointes des courriels pour vérifier la présence de spams ou de logiciels malveillants, sans aucune interaction de la part de l'utilisateur. Comme Amavis s'appuie sur UnRAR pour extraire les pièces jointes .rar, un attaquant peut déposer des fichiers arbitraires sur un système cible ou exécuter du code à distance en exploitant la vulnérabilité d'UnRAR pour compromettre une instance Zimbra.
La vulnérabilité dans UnRAR a été corrigée par RarLab dans la version 6.1.7 du code source et est corrigée dans la version 6.12. Zimbra a atténué la faille dans les dernières mises à jour de ses services et de sa plateforme.
ÆPIC Leak, un bogue architectural dans les processeurs Intel
Un bogue architectural affectant les processeurs Intel de 10e, 11e et 12e génération a été découvert conjointement par des chercheurs de l'université Sapienza de Rome, de l'université technologique de Graz, de Amazon Web Services et du CISPA Helmholtz Center for Information Security. La faille se trouve dans le composant APIC (Advanced Programmable Interrupt Controller) du processeur, qui est responsable de l'acceptation, de la hiérarchisation et de la distribution des interruptions aux cœurs du processeur. Une exploitation réussie nécessite des privilèges d'administrateur ou de root sur le MMIO APIC et pourrait entraîner la divulgation d'informations sensibles provenant du processeur.
Comme indiqué sur le site ÆPIC Leak, ce bug diffère des vulnérabilités Meltdown et Spectre dans la mesure où les données sensibles peuvent être divulguées sans s'appuyer sur des attaques par canal latéral. En outre, les charges de travail en nuage ne bénéficient pas d'un accès direct au contrôleur d'interruption programmable avancé du matériel sous-jacent par les hyperviseurs, de sorte que le risque que la vulnérabilité soit exploitée par une VM en nuage est atténué.
Intel a publié un avis de sécurité pour le bogue et les mises à jour du micrologiciel afin de corriger cette vulnérabilité.
Vulnérabilités en vogue cette semaine
- CVE-2022-27925: Traversée de répertoire dans Zimbra Collaboration
- CVE-2022-37042: Possibilité de traversée de répertoire et d'exécution de code à distance dans Zimbra Collaboration suite
- CVE-2022-32893: Exécution de code arbitraire dans Safari
- CVE-2022-28756: Escalade de privilèges locaux dans Zoom Client for Meetings pour macOS
- CVE-2022-30190: Vulnérabilité d'exécution de code à distance de l'outil de diagnostic du support Microsoft Windows (MSDT).
Commentaires