Security Week 24: эскалация привилегий в Linux

В четверг 10 июня исследователь из GitHub Security Lab Кевин Бэкхауз опубликовал детали уязвимости в сервисе polkit, по умолчанию включенному в большинство дистрибутивов на базе Linux. Уязвимость позволяет пользователю с обычными правами повысить привилегии в системе до максимальных, точнее — создать нового пользователя с правами root.


Сервис polkit отвечает за авторизацию пользователя, он проверяет наличие необходимых прав для выполнения команды, и в графическом интерфейсе его работа обычно ограничивается окном с предложением ввести пароль. Его использует системное ПО systemd; polkit также можно вызвать через командную строку. Уязвимость эксплуатируется через простой набор команд. Если в удачный момент «убить» процесс с запросом на создание нового пользователя, ошибка в коде polkit приведет не только к созданию нового юзера, но и к добавлению его в группу sudo.

Дальше все просто: создаем пароль для пользователя (у нас пока нет на это прав, но мы еще раз пользуемся уязвимостью) и получаем неограниченный контроль над системой. Последовательность команд описана в статье Бэкхауза и показана в этом видео:

Проблема заключается в некорректной обработке ошибки, когда подключение к процессу, требующему проверку прав пользователя, более недоступно (отсюда необходимость «убить» процесс). Вместо того чтобы «умереть», polkit обрабатывает запрос так, будто тот пришел от суперпользователя. Ошибка попала в код программы 7 лет назад. Уязвимости подвержены такие дистрибутивы, как Red Hat Enterprise Linux 8, Fedora 21 и Ubuntu 20.04. Так как некоторые сборки используют форк polkit, в который уязвимость прокралась позже, они в безопасности. Это относится, в частности, к стабильной версии Debian 10. По шкале CVSS v3 проблема получила оценку в 7,8 балла из 10, патч для ряда дистрибутивов уже доступен .

Что еще произошло

Взломы крупных компаний продолжаются. На прошлой неделе стало известно о краже исходных кодов игр и другой информации у компании EA. Позже появились подробности взлома: по данным издания Vice (см. также перевод на Хабре), точкой входа в корпоративную сеть стал приватный чат в Slack. Токен для доступа к нему взломщики купили на черном рынке за 10 долларов, а затем путем социальной инженерии проникли непосредственно в локальную сеть.

Другая утечка на прошлой неделе произошла в компании Volkswagen: данные более чем 3 млн клиентов лежали в открытом доступе на сервере одного из подрядчиков.

Июньский набор патчей для Android закрывает несколько критических уязвимостей, позволяющих получить контроль над мобильным устройством.

В браузере Google Chrome закрыли уязвимость нулевого дня. Она работала вместе с другим багом , уже в Windows. По данным Google, этот комплект продавался одним из коммерческих брокеров.

Еще одну активно эксплуатируемую уязвимость, закрытую в свежем наборе патчей Microsoft, подробно описывают специалисты «Лаборатории Касперского».



Украденная в феврале у разработчика CD Projekt Red информация попала в открытый доступ .