Nel bollettino di sicurezza di questa settimana, discuteremo di vari problemi e vulnerabilità scoperti nei progetti open source e in Windows.
Utilizzo del Kernel Linux nel sottosistema netfilter
È stata identificata una vulnerabilità di scrittura use-after-free nel sottosistema netfilter del kernel Linux. L'attivazione di questo problema richiede il privilegio di creare spazi dei nomi utente/rete sul sistema e questa vulnerabilità può essere sfruttata per ottenere l'escalation dei privilegi a root sui sistemi interessati.
Questa debolezza è legata alla mancata rimozione di un'espressione dall'elenco dei vincoli di un insieme prima di distruggere l'espressione. È stato rilevato che questo problema riguarda più espressioni, ma al minimo le espressioni "lookup" e "dynset".
Questa azione crea uno stato in cui qualsiasi uso successivo dell'elenco di binding impostato finirà per scrivere un indirizzo di puntatore di collegamento in un oggetto slab che è già stato liberato ed eventualmente riallocato. Per maggiori dettagli su questa vulnerabilità, è possibile consultare la divulgazione originale del ricercatore. La patch per mitigare la vulnerabilità è stata rilasciata il 26 maggio 2022.
Attacco alla catena di fornitura del software tramite "ctx" e "phpass"
Sono stati scoperti due pacchetti maligni di Python e PHP che stanno portando avanti un attacco alla catena di distribuzione del software che ha come obiettivo l'ecosistema open source. Uno dei pacchetti è "ctx", un modulo Python disponibile nel repository PyPi. L'altro è "phpass", un pacchetto PHP che è stato biforcato su GitHub per distribuire un aggiornamento illegale.
Un aggiornamento dannoso è stato introdotto in "ctx" il 21 maggio 2022. Entrambi i pacchetti non sono sottoposti a manutenzione: l'ultimo aggiornamento legittimo per "ctx" è stato rilasciato il 19 dicembre 2014 e nel caso di "phpass" il 31 agosto 2012. Le modifiche sono progettate per esfiltrare le credenziali di AWS in un URL di Heroku e sembra che l'autore del reato stia cercando di ottenere tutte le variabili di ambiente, codificarle in Base64 e inoltrare i dati a un'applicazione web sotto il suo controllo.
L'individuo responsabile è riuscito a dirottare l'account PyPi abbandonato del manutentore acquistando il suo dominio scaduto e inviandosi un link per la reimpostazione della password.
Follina - Vulnerabilità RCE in Microsoft Support Diagnostic Tool (MSDT) di Windows
Esiste una vulnerabilità di esecuzione di codice remoto quando MSDT viene richiamato utilizzando il protocollo URL da un'applicazione chiamante come Word. Questo documento dannoso utilizza la funzione di modello remoto di Word per recuperare un file HTML da un server Web remoto, che a sua volta utilizza lo schema URI MSProtocol ms-msdt per caricare del codice ed eseguire PowerShell. CVE-2022-30190 un giorno zero che consente l'esecuzione di codice nei prodotti Office.
Un utente malintenzionato che riesce a sfruttare questa vulnerabilità può eseguire codice arbitrario con i privilegi dell'applicazione chiamante. L'aggressore può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account nel contesto consentito dai diritti dell'utente.
Microsoft afferma che la falla riguarda tutte le versioni di Windows che ricevono ancora aggiornamenti di sicurezza (Windows 7+ e Server 2008+). Secondo il fornitore, gli amministratori e gli utenti possono bloccare gli attacchi che sfruttano la CVE-2022-30190 disabilitando il protocollo URL MSDT, che i malintenzionati utilizzano per lanciare i troubleshooter ed eseguire codice sui sistemi vulnerabili. Per disabilitare il protocollo URL MSDT su un dispositivo Windows, consultare la guida alla sicurezza di Microsoft. Dopo il rilascio di una patch da parte di Microsoft, è possibile annullare il workaround e applicare le patch consigliate.
Commenti