SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

PoC-атаки на текстовые редакторы через плагины

20 марта 2018 г., вторник, 20:12

Ошибки в популярных продуктах позволяют повысить привилегии, используя вредоносные расширения.

Аналитическая компания SafeBreach предупреждает, что наличие ошибок в популярных расширяемых текстовых редакторах позволяет повысить привилегии в целевой системе, используя плагины.

Неадекватное разделение обычного и привилегированного режимов загрузки плагинов, а также отсутствие проверки целостности разрешений на доступ к папкам открывают возможность для выполнения произвольного кода с правами обычного пользователя.

В опубликованном 15 марта отчете SafeBreach представлены результаты исследования, проведенного Дором Азури (Dor Azouri), который изучил пять широко используемых текстовых редакторов, предлагающих возможность расширения функционала. Загрузив плагины для Sublime, Vim, Emacs, Gedit и Pico/Nano — популярных редакторов, используемых в UNIX-подобных системах, Азури смог успешно провести экспериментальные атаки, нацеленные на повышение привилегий.

Поскольку функциональность таких приложений расширяется через систему плагинов, с этой целью зачастую используются сторонние разработки. К сожалению, повышая эффективность и производительность, многие забывают о рисках. Вместе с тем загрузка плагина без надлежащего соблюдения целостности разрешений для папок может оказаться небезопасной.

Более того, PoC-атаки Азури доказали, что успех в данном случае не зависит от того, открыт файл в редакторе или нет, поэтому ограничения, обычно вводимые для команд sudo, ситуацию вряд ли спасут. Злоумышленник может выбрать специфическое место для размещения вредоносного расширения, и безобидный редактор превратится в средство повышения привилегий на машине.

Если автор атаки завладел учетными данными пользователя посредством фишинга или другим незаконным путем, он сможет записать вредоносный код в папку пользователя, не имея соответствующих прав. Подобные атаки особенно актуальны для Linux-серверов, пользователи которых обычно запускают текстовый редактор с высокими привилегиями. В итоге, когда пользователь вводит root-пароль для запуска текстового редактора, происходит исполнение вредоносного кода.

Возможность расширения ПО за счет сторонних плагинов уже не раз использовалась в атаках, однако случаев злоупотребления ею в текстовых редакторах для повышения привилегий пока не наблюдалось.

Разработчики пяти названных продуктов в курсе результатов, полученных SafeBreach, но не планируют вносить какие-либо изменения. Для снижения рисков исследователь рекомендует добавить ряд правил к настройкам syscheck системы обнаружения вторжений OSSEC.

Чтобы повысить защиту разрешений на доступ, Азури советует полностью изолировать папки с плагинами, которые задействует редактор, запущенный с повышенными привилегиями (с помощью sudo).

«В этом случае владельцем одной папки будет пользователь, которому дозволено помещать в нее свои плагины, а другой, где содержатся все одобренные к загрузке плагины, — суперпользователь, — поясняет исследователь. — Если редактор запущен в привилегированном режиме, он будет загружать плагины только из папки, принадлежащей суперпользователю. В результате модификация плагинов в этой папке потребует введения root-пароля».

Риск и вероятность подобной атаки определяются факторами, которые во всех организациях различны. На уровень риска влияют, среди прочего, масштабы использования UNIX-систем в сети, а также степень популярности инструментов, привлекаемых для редактирования файлов.

Поскольку разработчики текстовых редакторов не собираются латать бреши, Азури предложил пользователям следующие меры защиты:

  • запретить доступ на запись непривилегированным пользователям, создав root-владельца папки с соответствующими плагинами (к примеру, через ~/.config/sublime-text-3/Packages/User);
  • контролировать модификацию ключевых файлов и папок, упомянутых в отчете SafeBreach;
  • отслеживать и просматривать изменения;
  • проверять код сторонних плагинов, прежде чем одобрить их использование в сетевой среде;
  • использовать более простые редакторы, которые не открывают сторонним плагинам доступ к мощным API.

Поскольку аналогичные модели расширения присутствуют и в другом ПО, исследователь пишет: «По моему мнению, пользователям и разработчикам следует соблюдать эти меры предосторожности в равной степени, притом применительно не только к текстовым редакторам, но также в отношении любого расширяемого софта, допускающего загрузку внешних модулей».

(Автором этой заметки является наш гость Kacy Zurkus. В Твиттере он доступен как @KSZ714

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.068
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.