Las vulnerabilidades de dos por martes envían a los usuarios de Windows y Linux a luchar

Un candado de dibujos animados se ha retocado con Photoshop en chips de computadora brillantes.

El mundo se despertó el martes con dos nuevas vulnerabilidades, una en Windows y la otra en Linux, que permiten a los piratas informáticos que tienen un control en un sistema vulnerable eludir las restricciones de seguridad del sistema operativo y acceder a recursos confidenciales.

A medida que los sistemas operativos y las aplicaciones se vuelven más difíciles de piratear, los ataques exitosos generalmente requieren dos o más vulnerabilidades. Una vulnerabilidad permite al atacante acceder a recursos del sistema operativo con pocos privilegios, donde se puede ejecutar código o leer datos sensibles. Una segunda vulnerabilidad eleva la ejecución del código o el acceso a los archivos a los recursos del sistema operativo reservados para el almacenamiento de contraseñas u otras operaciones sensibles. En consecuencia, el valor de las denominadas vulnerabilidades de escalada de privilegios locales ha aumentado en los últimos años.

Rompiendo ventanas

La vulnerabilidad de Windows salió a la luz por accidente el lunes, cuando un investigador observó lo que él creía que era una regresión de codificación en una versión beta del próximo Windows 11. El investigador descubrió que el contenido del gerente de cuenta de seguridad—La base de datos que almacena las cuentas de usuario y los descriptores de seguridad para los usuarios en la computadora local— podría ser leída por usuarios con privilegios de sistema limitados.

Eso hizo posible extraer datos de contraseña protegidos criptográficamente, descubrir la contraseña utilizada para instalar Windows, obtener las claves de la computadora para la API de protección de datos de Windows, que se puede usar para descifrar claves de cifrado privadas, y crear una cuenta en la máquina vulnerable. El resultado es que el usuario local puede elevar los privilegios hasta el sistema, el nivel más alto en Windows.

“Todavía no conozco el alcance total del problema, pero creo que es demasiado para no ser un problema”, señaló el investigador Jonas Lykkegaard. “Para que nadie tenga dudas sobre lo que esto significa, es EOP to SYSTEM incluso para aplicaciones de espacio aislado”.

Anuncio publicitario

Las personas que respondieron a Lykkegaard señalaron que el comportamiento no era una regresión introducida en Windows 11. En cambio, la misma vulnerabilidad estaba presente en la última versión de Windows 10. El equipo de preparación para emergencias informáticas de EE. UU. dicho que la vulnerabilidad está presente cuando el Servicio de instantáneas de volumen, la función de Windows que permite que el sistema operativo o las aplicaciones tomen “instantáneas de un momento determinado” de un disco completo sin bloquear el sistema de archivos, está activado.

El aviso explicó:

Si está disponible una instantánea de VSS de la unidad del sistema, un usuario sin privilegios puede aprovechar el acceso a estos archivos para lograr una serie de impactos, que incluyen, entre otros:

  • Extraer y aprovechar los hash de contraseña de la cuenta
  • Descubra la contraseña de instalación de Windows original
  • Obtenga las claves de computadora DPAPI, que se pueden usar para descifrar todas las claves privadas de la computadora
  • Obtenga una cuenta de máquina de computadora, que se puede utilizar en un ataque de billete de plata

Tenga en cuenta que es posible que las instantáneas de VSS no estén disponibles en algunas configuraciones; Sin embargo, el simple hecho de tener una unidad del sistema de más de 128 GB y luego realizar una actualización de Windows o instalar un MSI garantizará que se realice una instantánea de VSS. creado automáticamente. Para comprobar si un sistema tiene instantáneas de VSS disponibles, ejecute el siguiente comando desde un símbolo del sistema con privilegios:
vssadmin list shadows

Investigador Benjamin Delpy mostró cómo se puede aprovechar la vulnerabilidad para obtener hashes de contraseña de otros datos confidenciales:

Actualmente, no hay ningún parche disponible. Un representante de Microsoft dijo que los funcionarios de la compañía están investigando la vulnerabilidad y tomarán las medidas adecuadas según sea necesario. La vulnerabilidad se rastrea como CVE-2021-36934. Microsoft dijo aquí que las hazañas en la naturaleza son “más probables”.

Y tu, Kernel de Linux?

La mayoría de las versiones de Linux, mientras tanto, están en proceso de distribuir una solución para una vulnerabilidad revelada el martes. CVE-2021-33909, a medida que se rastrea la falla de seguridad, permite a un usuario que no es de confianza obtener derechos sin restricciones del sistema al crear, montar y eliminar una estructura de directorio profunda con una longitud de ruta total que excede 1 GB y luego abrir y leer el /proc/self/mountinfo expediente.

“Explotamos con éxito esta escritura fuera de límites incontrolada y obtuvimos privilegios de root completos en instalaciones predeterminadas de Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 y Fedora 34 Workstation”, informaron investigadores de Qualys, la empresa de seguridad que descubrió la vulnerabilidad. y creó un código de prueba de concepto que lo explota, escribió. “Otras distribuciones de Linux son ciertamente vulnerables y probablemente explotables”.

El exploit que describió Qualys viene con una sobrecarga significativa, específicamente aproximadamente 1 millón de directorios anidados. El ataque también requiere alrededor de 5 GB de memoria y 1 millón inodos. A pesar de los obstáculos, un representante de Qualys describió el PoC como “extremadamente confiable” y dijo que se tarda unos tres minutos en completarlo.

Aquí hay una descripción general del exploit:

1 / Hacemos mkdir () una estructura de directorio profunda (aproximadamente 1M de directorios anidados) cuya longitud total de ruta excede 1GB, lo vinculamos y montamos en un espacio de nombres de usuario sin privilegios, y lo rmdir ().

2 / Creamos un hilo que vmalloc () es un pequeño programa eBPF (vía BPF_PROG_LOAD), y bloqueamos este hilo (vía userfaultfd o FUSE) después de que nuestro programa eBPF haya sido validado por el verificador de eBPF del kernel pero antes de que sea compilado con JIT por el kernel.

3 / Abrimos () / proc / self / mountinfo en nuestro espacio de nombres de usuario sin privilegios y comenzamos a leer () la ruta larga de nuestro directorio montado en enlace, escribiendo así la cadena “// eliminado” con un desplazamiento de exactamente -2GB- 10B debajo del comienzo de un búfer modificado con vmalloc ().

4 / Hacemos arreglos para que esta cadena “// eliminada” sobrescriba una instrucción de nuestro programa eBPF validado (y por lo tanto anule las comprobaciones de seguridad del verificador de eBPF del kernel) y transforme esta escritura fuera de límites no controlada en una divulgación de información y en una escritura fuera de límites limitada pero controlada.

5 / Transformamos esta escritura limitada fuera de límites en una lectura y escritura arbitrarias de la memoria del kernel reutilizando las hermosas técnicas btf y map_push_elem de Manfred Paul de:

https://www.thezdi.com/blog/2020/4/8/cve-2020-8835-linux-kernel-privilege-escalation-via-improper-ebpf-program-verification

Qualys tiene una reseña separada aquí.

Las personas que ejecutan Linux deben consultar con el distribuidor para determinar si hay parches disponibles para corregir la vulnerabilidad. Los usuarios de Windows deben esperar el consejo de Microsoft y de expertos en seguridad externos.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.