NetWorld - Blog

Especialistas em segurança da Microsoft descobriram duas vulnerabilidades no Linux que dão ao invasor acesso root ao sistema. Chamadas pela companhia de Nimbuspwn, as falhas são consideradas graves. Ambas podem ser exploradas para ataques de ransomware ou roubo de dados, por exemplo.

Oficialmente, as vulnerabilidades foram identificadas como CVE-2022-29799 e CVE-2022-29800. Elas se manifestam no networkd-dispatcher. Trata-se de um componente presente na maioria das distribuições Linux que reporta mudanças no status de rede e pode executar scripts em resposta a elas.

O primeiro problema consiste em uma vulnerabilidade de passagem de diretório. Nessa modalidade, o invasor pode ter acesso a arquivos ou diretórios existentes fora do diretório raiz. Isso significa, basicamente, que um hacker pode sair do diretório do networkd-dispatcher (normalmente, /etc/networkd-dispatcher) para explorar outras partes do sistema.

Por sua vez, o segundo problema é do tipo TOCTOU, sigla para Time Of Check To Time Of Use (Tempo de Verificação até o Tempo de Uso, em tradução livre). Falhas do tipo exploram a diferença de tempo existente entre a verificação do estado de um componente e sua execução.

No networkd-dispatcher, o TOCTOU é explorado com base no intervalo de tempo entre scripts serem checados e executados. Um hacker pode explorar esse período para substituir scripts legítimos por maliciosos.

Para garantir que a carga maliciosa seja executada, o invasor precisa injetar vários scripts no sistema. Mas esse é apenas um complicador, não um impeditivo. Com essa abordagem, os pesquisadores da Microsoft precisaram de apenas três tentativas para um script malicioso ser executado durante o experimento.

A exploração de ambos os problemas dá acesso ao sistema com privilégios de administrador (root). As consequências podem ser desastrosas, afinal, o leque de ações maliciosas possíveis por meio desses privilégios é amplo.

Hackers podem usar as vulnerabilidades Nimbuspwn para instalar backdoors, implementar ransomwares, roubar dados sigilosos, derrubar proteções do sistema e assim por diante.

Falhas Nimbuspwn já têm solução

As vulnerabilidades Nimbuspwn são preocupantes, como ficou claro. Mas há uma boa notícia: quando soube delas, Clayton Craft, mantenedor do networkd-dispatcher, tratou de trabalhar nas correções. Não por acaso, a Microsoft agradeceu ao desenvolvedor “por seu profissionalismo e colaboração na resolução desses problemas”.

Como as correções já estão disponíveis, é de se esperar que as distribuições as incluam em seus próximos ciclos de atualizações. É recomendável que elas sejam instaladas o quanto antes, é claro, especialmente em instalações do Linux em servidores.

No decorrer do texto, talvez você tenha se perguntado: por que a Microsoft pesquisou problemas de segurança no Linux? A explicação está no fato de a descoberta ter vindo da divisão Microsoft 365 Defender, que atua no segmento corporativo. Os clientes dessa divisão podem trabalhar com várias plataformas, razão pela qual a companhia não limita o seu raio de ações ao ecossistema do Windows.