Os tópicos no boletim de segurança desta semana incluem:
- uma condição de raça no subsistema de memória do kernel Linux;
- uma vulnerabilidade de travessia no software UnRAR que leva a um dia zero em Zimbra; e
- descoberta de um bug arquitetônico nas CPUs da Intel.
Vulnerabilidade do Kernel Linux - CVE-2022-2590
David Hildenbrand da Red Hat - com participação de Amit Nadav da VMware- recentemente descobriu uma vulnerabilidade nas versões 5.16 ou superiores do kernel Linux, que poderia resultar em um adversário modificando o conteúdo dos arquivos de memória compartilhada (shmem/tmpfs). Chamada de "Dirty COW vulnerability restricted to tmpfs/shmem", a falha(CVE-2022-2590) pode permitir que um usuário autenticado local aumente seus privilégios no sistema explorando uma condição de raça no mecanismo de copy-on-write no subsistema de gerenciamento de memória do Linux. As plataformas x86-64 e aarch64 são afetadas.
Copy-on-write é uma estratégia de gerenciamento de recursos implementada em vários sistemas, tais como bancos de dados, sistemas de arquivos e sistemas operacionais. Uma explicação simplificada seria que se diferentes processos estiverem acessando o mesmo recurso/objeto na memória, e se um processo tentar escrever no recurso compartilhado, ocorre uma falha na página e o kernel cria uma nova cópia privada do recurso para o processo de escrita. Isto evita que a corrupção de dados e qualquer escrita no recurso compartilhado se torne visível para outros processos. O efeito desta vulnerabilidade parece estar limitado ao sistema de arquivos tmpfs, que é mais comumente usado para montagem de diretórios /tmp, /var/lock, /var/run e /dev/shm.
Um pré-requisito para exploração é que o kernel seja compilado com CONFIG_USERFAULTFD=y, o que permite que os processos de espaço do usuário lidem com falhas de página através da chamada de sistema com falha do usuário.
Mais informações podem ser encontradas no campo "upstream commit patch".
Vulnerabilidade de Travessia no UnRAR
Uma vulnerabilidade de travessia nas versões Unix/Linux do software UnRAR foi encontrada por Simon Scannell, um pesquisador da SonarSource, no final de junho. A vulnerabilidade, rastreada como CVE-2022-30333, é explorável quando um usuário ou serviço tenta extrair um arquivo RAR maliciosamente criado, levando à criação de arquivos fora da pasta de extração do alvo.
Zimbra é um software colaborativo popular e uma plataforma de e-mail disponível para Linux. É parte de uma campanha contínua de ataque de dia zero que explora instalações UnRAR não remarcadas no servidor. Isto levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a adicionar a falha da UnRAR ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas.
Pelo blog SonarSource, um ator ameaçador pode enviar um e-mail contendo um anexo malicioso .rar a uma instância do Zimbra, o e-mail passa pelo serviço Amavis, que é responsável por analisar e verificar a mensagem recebida. O serviço também pode extrair anexos de e-mail a serem verificados em busca de spam ou malware, não exigindo nenhuma interação do usuário. Como o Amavis depende do UnRAR para extrair quaisquer anexos .rar, um atacante pode soltar arquivos arbitrários em um sistema alvo ou conseguir execução remota de código explorando a vulnerabilidade no UnRAR para comprometer uma instância do Zimbra.
A vulnerabilidade no UnRAR foi abordada pelo RarLab na versão 6.1.7 do código fonte e está corrigida na versão 6.12. Zimbra mitigou a falha nas últimas atualizações de seus serviços e plataforma.
ÆPIC Vazamento, um erro arquitetônico nas CPUs Intel
Um erro arquitetônico que afeta as CPUs Intel da 10ª, 11ª e 12ª gerações foi descoberto conjuntamente por pesquisadores da Universidade Sapienza de Roma, da Universidade de Tecnologia Graz, Amazon Web Services e do Centro Helmholtz da CISPA para Segurança da Informação. A falha está no componente CPU The Advanced Programmable Interrupt Controller (APIC), que é responsável por aceitar, priorizar e despachar as interrupções nos núcleos do processador. Uma exploração bem sucedida requer privilégios de Administrador ou raiz para o APIC MMIO e pode resultar na divulgação de informações sensíveis do processador.
Como foi observado no site ÆPIC Leak, este bug difere das vulnerabilidades de Meltdown e Spectre, pois os dados sensíveis podem ser divulgados sem depender de ataques de canais laterais. Além disso, as cargas de trabalho da nuvem não têm acesso direto ao Controlador de Interrupção Programável Avançado do hardware subjacente pelos hipervisores, de modo que o risco da vulnerabilidade ser explorada por uma VM da nuvem é mitigado.
A Intel lançou uma consultoria de segurança para as atualizações do bug e do firmware para resolver esta vulnerabilidade.
Vulnerabilidades de tendências esta semana
- CVE-2022-27925: Travessia de diretório na Colaboração Zimbra
- CVE-2022-37042: Potencial de travessia de diretório e execução de código remoto no conjunto Zimbra Collaboration
- CVE-2022-32893: Execução de código arbitrário no Safari
- CVE-2022-28756: Escalação de privilégios locais em Zoom Cliente para reuniões para MacOS
- CVE-2022-30190: Ferramenta de Diagnóstico de Suporte Microsoft Windows (MSDT) Vulnerabilidade de Execução de Código Remoto.
Comentários