在本周的安全摘要中,我们将讨论在开源项目和Windows中发现的各种问题和漏洞。
Linux内核在netfilter子系统中的 "免费使用"(use-after-free)问题
在Linux内核netfilter子系统中发现一个 "使用后自由写入 "的漏洞。触发这个问题需要在系统上创建用户/网络 命名空间的权限,利用这个漏洞,可以在受影响的系统上实现权限升级到root。
这个弱点与未能在销毁表达式之前从集合的绑定列表中删除表达式有关。我们发现这影响了多个表达式,但至少影响了 "lookup "和 "dynset "表达式。
这个动作创造了一种状态,即任何后续使用设置绑定列表的行为最终都会将链接指针地址写入一个已经被释放并可能被重新分配的板块对象中。关于这个漏洞的更深入的细节,你可以参考研究人员的原始披露。缓解该漏洞的补丁已于2022年5月26日提交。
使用 "ctx "和 "phpass "的软件供应链攻击
两个恶意的Python 和PHP包被发现,进行了针对开源生态系统的软件供应链攻击。其中一个包是 "ctx",是PyPi存储库中的一个Python 模块。另一个涉及 "phpass",这是一个在GitHub上被分叉的PHP包,用于发布一个流氓更新。
2022年5月21日,"ctx "中引入了一个恶意的更新。这两个软件包都没有维护,"ctx "的最后一次合法更新是在2014年12月19日发布的,而 "phpass "是在2012年8月31日。在其核心部分,这些修改旨在将AWS 凭证外流到Heroku URL,而且似乎犯罪者正试图获得所有的环境变量,将其编码为Base64,并将数据转发到犯罪者控制的网络应用中。
负责任的人通过购买维护者的过期域名并向自己发送密码重置链接,得以劫持维护者的废弃PyPi账户。
Follina - Windows中的微软支持诊断工具(MSDT)存在RCE漏洞
当MSDT被使用URL协议从一个调用应用程序(如Word)调用时,存在一个远程代码执行漏洞。这个恶意文件使用Word远程模板功能从远程网络服务器检索一个HTML文件,该文件又使用ms-msdtMSProtocol URI方案加载一些代码并执行一些PowerShell。CVE-2022-30190一个允许在Office产品中执行代码的零日。
成功利用这个漏洞的攻击者可以用调用应用程序的权限运行任意代码。然后,攻击者可以安装程序,查看、改变或删除数据,或在用户权限允许的范围内创建新账户。
微软表示,该漏洞影响到所有仍在接受安全更新的Windows版本(Windows 7+和Server 2008+)。据供应商称,管理员和用户可以通过禁用MSDT URL协议来阻止利用CVE-2022-30190的攻击,恶意行为者利用该协议来启动故障排除器并在脆弱系统上执行代码。参考微软的安全指南,在Windows设备上禁用MSDT URL协议。在微软发布补丁后,你可以撤销该变通方法并应用推荐的补丁。
注释