Avançar para o conteúdo principal
BlogSegurançaLinode Security Digest 14-21 de Agosto de 2022

Linode Security Digest 14-21 de Agosto de 2022

Linode Security Digest

Os tópicos no boletim de segurança desta semana incluem:

  • uma condição de raça no subsistema de memória do kernel Linux;
  • uma vulnerabilidade de passagem no software UnRAR que leva a um dia zero em Zimbra; e 
  • descoberta de um bug arquitectónico nas CPUs da Intel.

Vulnerabilidade do Kernel Linux - CVE-2022-2590

David Hildenbrand da Red Hat - com a participação de Amit Nadav da VMware- descobriu recentemente uma vulnerabilidade nas versões 5.16 ou superiores do kernel Linux, que poderia resultar na modificação do conteúdo dos ficheiros de memória partilhada (shmem/tmpfs) por um adversário. Nomeada a "vulnerabilidade COW suja restrita a tmpfs/shmem" a falha(CVE-2022-2590) pode permitir que um utilizador autenticado local aumente os seus privilégios no sistema, explorando uma condição de raça no mecanismo de copy-on-write no subsistema de gestão de memória do Linux. As plataformas x86-64 e aarch64 são afectadas.

Copy-on-write é uma estratégia de gestão de recursos implementada em vários sistemas, tais como bases de dados, sistemas de ficheiros, e sistemas operativos. Uma explicação simplificada seria que se diferentes processos estiverem a aceder ao mesmo recurso/objecto na memória, e se um processo tentar escrever no recurso partilhado, ocorre uma falha na página e o núcleo cria uma nova cópia privada do recurso para o processo de escrita. Isto evita que a corrupção de dados e qualquer escrita no recurso partilhado se torne visível para outros processos. O efeito desta vulnerabilidade parece estar limitado ao sistema de ficheiros tmpfs, que é mais comumente utilizado para montagem /tmp, /var/lock, /var/run e /dev/shm directórios. 

Um pré-requisito para a exploração é que o núcleo seja compilado com CONFIG_USERFAULTFD=y, o que permite aos processos de espaço do utilizador lidarem com falhas de página através da chamada de sistema com falha do utilizador.

Mais informações podem ser encontradas na correcção de compromisso a montante.

Vulnerabilidade de Travessia no UnRAR

Simon Scannell, um investigador da SonarSource, encontrou, em finais de Junho, uma vulnerabilidade de passagem nas versões Unix/Linux do software UnRAR. A vulnerabilidade, rastreada como CVE-2022-30333, é explorável quando um utilizador ou um serviço tenta extrair um arquivo RAR maliciosamente criado, levando à criação de ficheiros fora da pasta de extracção do alvo.

Zimbra é um software colaborativo popular e uma plataforma de correio electrónico disponível para Linux. Faz parte de uma campanha contínua de ataque de dia zero que explora instalações UnRAR não adaptadas no servidor. Isto levou a Agência de Segurança Cibernética e Infra-estrutura dos EUA (CISA) a adicionar a falha da UnRAR ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas

Pelo blog SonarSource, um actor ameaçador pode enviar um e-mail contendo um anexo malicioso .rar a uma instância Zimbra, o e-mail passa pelo serviço Amavis, que é responsável pela análise e verificação da mensagem recebida. O serviço pode também extrair anexos de correio electrónico a serem verificados para detectar spam ou malware, não exigindo qualquer interacção do utilizador. Uma vez que o Amavis depende do UnRAR para extrair quaisquer anexos .rar, um atacante pode largar ficheiros arbitrários num sistema alvo ou conseguir execução remota de código explorando a vulnerabilidade no UnRAR para comprometer uma instância Zimbra.

A vulnerabilidade no UnRAR foi abordada pelo RarLab na versão 6.1.7 do código fonte e é corrigida na versão 6.12. Zimbra mitigou a falha nas últimas actualizações dos seus serviços e plataforma.

ÆPIC Vazamento, um Insecto Arquitectónico nas CPUs Intel

Um erro arquitectónico que afecta as CPUs Intel da 10ª, 11ª e 12ª gerações foi descoberto conjuntamente por investigadores da Universidade Sapienza de Roma, da Universidade de Tecnologia de Graz, Amazon Web Services, e do CISPA Helmholtz Center for Information Security. A falha está no componente CPU The Advanced Programmable Interrupt Controller (APIC), que é responsável pela aceitação, priorização e envio de interrupções para os núcleos do processador. Uma exploração bem sucedida requer privilégios de Administrador ou de raiz à APIC MMIO e pode resultar na divulgação de informação sensível do processador.

Como referido no website ÆPIC Leak, este bug difere das vulnerabilidades de Meltdown e Spectre na medida em que os dados sensíveis podem ser divulgados sem depender de ataques de canais laterais. Além disso, não é concedido acesso directo ao Controlador de Interrupção Programável Avançado do hardware subjacente pelos hipervisores, pelo que o risco de a vulnerabilidade ser explorada por uma VM nuvem é mitigado.

A Intel lançou um aviso de segurança para as actualizações do bug e firmware para resolver esta vulnerabilidade.

Vulnerabilidades de Tendência esta Semana

  • CVE-2022-27925: Travessia de directório na Colaboração Zimbra
  • CVE-2022-37042: Potencial de travessia de directório e execução de código remoto no conjunto de Colaboração Zimbra
  • CVE-2022-32893: Execução de código arbitrário no Safari
  • CVE-2022-28756: Escalada de Privilégios Locais em Zoom Cliente para reuniões para macOS
  • CVE-2022-30190: Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability.

Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *