Cette faille insensée dans Linux donne à n'importe qui l'accès root à votre boîte

Publicité

Publicité
Publicité

Les téléphones Android et les ordinateurs de bureau et serveurs Linux partagent tous une même origine. Ils sont tous basés sur un noyau commun et partagent des utilitaires et des composants communs. Chaque fois qu'une vulnérabilité de sécurité est trouvée dans ces zones, la contagion est massive, et des centaines de millions d'ordinateurs et d'appareils mobiles seront inévitablement affectés.

Une vulnérabilité récemment découverte (CVE-2016-0728) dans le noyau Linux en est un exemple étonnant. Il profite d'une faille dans le trousseau de clés du système d'exploitation et permet à tout attaquant ou utilisateur non privilégié d'obtenir un accès root au système en question. Voici comment cela fonctionne, et ce dont vous devez vous méfier.

Comprendre cette vulnérabilité

Cette vulnérabilité a été découverte par Perception Point - un important cabinet de conseil en sécurité de l'information basé à Tel Aviv. La faille a été introduite il y a environ trois ans, avec la sortie du noyau Linux. Le noyau Linux: une explication aux termes de Layman Le noyau Linux: une explication aux termes de Layman Il n'y a qu'une chose de fait que les distributions Linux ont en commun: Noyau Linux. Mais même si on en parle souvent, beaucoup de gens ne savent pas exactement ce qu'il fait. Lire la suite version 3.8. Perception Point estime qu'environ les deux tiers des appareils Android et un nombre incalculable d'ordinateurs et de serveurs Linux (probablement des dizaines de millions) sont vulnérables.

Comme mentionné précédemment, cette faille se trouve dans le trousseau de clés OS. C'est le composant utilisé sous Linux qui permet aux pilotes de mettre en cache les données de sécurité, telles que les clés de chiffrement et les jetons d'authentification. De par leur conception, les données contenues dans le trousseau de clés OS ne doivent pas être accessibles à d'autres applications.

passwordfile

L'exploit lui-même profite d'une faille dans la façon dont la mémoire est gérée dans l'OS Keyring. En exécutant un débordement de mémoire tampon, les attaquants peuvent déclencher l'exécution par le système d'exploitation d'un shellcode arbitraire, qui serait exécuté en tant que root.

On s'attend à ce que la majorité des distributions Linux publie des correctifs au début de la semaine prochaine. Mais si vous avez un processeur Intel moderne (Broadwell ou ultérieur), SMAP (Supervision Mode Access Prevention) et SMEP (Supervisory Mode Execution Prevention) doivent être activés, et limiteront les dégâts que cette vulnérabilité peut causer.

En attendant, si vous êtes sur Android, SELinux devrait également faire l'affaire. Il convient de souligner que Google a minimisé avec véhémence les risques présentés par cette vulnérabilité. Dans une déclaration, ils ont dit que tous les appareils fonctionnant sous Android 5.0 Lollipop et plus tard sont protégés par SELinux, et la majorité des appareils plus anciens (exécutant Android 4.4 KitKat et plus tôt) ne contiennent pas le code vulnérable introduit dans la version 3.8 du noyau Linux. .

L'équipe de sécurité Android s'est également plainte de ne pas avoir reçu de notification pour l'émission d'un correctif. Essentiellement, ils ont dit que Perception Point n'a pas divulgué de manière responsable Divulgation complète ou responsable: divulgation des vulnérabilités de sécurité Divulgation complète ou responsable: divulgation des vulnérabilités de sécurité Les failles de sécurité dans les progiciels populaires sont découvertes en permanence, mais comment sont-elles rapportés aux développeurs, et comment les hackers apprennent-ils les vulnérabilités qu'ils peuvent exploiter? Lire la suite .

Essentiellement, ils ne disent pas qu'il n'y a pas de problème, mais que cela affecte une proportion beaucoup plus faible d'appareils Android, comme cela a été précédemment revendiqué par Perception Point. Malgré cela, ils émettent un correctif qui, une fois libéré, devrait fermer une fois pour toutes cette vulnérabilité béante.

Vérification de votre privilège

Un des principes les plus fondamentaux de la sécurité informatique peut être résumée succinctement: tous les utilisateurs ne devraient pas être capables de tout faire à tout moment .

Si un utilisateur était connecté en permanence en tant que root ou administrateur, il serait beaucoup plus facile pour un logiciel malveillant ou un attaquant distant de causer des dommages importants. C'est pour cette raison que la plupart des utilisateurs et des applications existent dans un mode restreint avec des permissions limitées. Quand ils veulent faire quelque chose qui pourrait causer des dommages à l'ordinateur - comme installer un nouveau programme ou modifier un fichier de configuration important - ils doivent d'abord élever leurs privilèges. Ce concept est universel, et peut être trouvé de pratiquement tous les systèmes d'exploitation.

Supposons que quelqu'un soit connecté à un ordinateur Linux ou Mac avec un compte d'administrateur, et qu'il souhaite modifier ses hôtes. Comment modifier le fichier Hosts de Mac OS X (et pourquoi vous voudriez) Comment modifier le fichier Hosts de Mac OS X (Et Pourquoi vous pourriez vouloir) Le fichier hosts est utilisé par votre ordinateur pour mapper les noms d'hôtes aux adresses IP. En ajoutant ou en supprimant des lignes à votre fichier hosts, vous pouvez changer l'endroit où certains domaines pointent lorsque vous y accédez ... Lisez le fichier More pour remapper un nom d'hôte en une adresse IP locale. S'ils essayent juste de l'ouvrir immédiatement avec un éditeur de texte, le système d'exploitation retournera avec un message d'erreur disant quelque chose comme "accès refusé".

Pour que cela fonctionne, ils devraient élever leurs privilèges. Ils peuvent entrer indéfiniment en mode superutilisateur. Qu'est-ce que SU et pourquoi est-il important d'utiliser Linux efficacement? Qu'est-ce que SU et pourquoi est-il important d'utiliser Linux efficacement? Le compte d'utilisateur Linux SU ou root est un outil puissant qui peut être utile lorsqu'il est utilisé correctement ou dévastateur s'il est utilisé de manière imprudente. Voyons pourquoi vous devriez être responsable lorsque vous utilisez SU. Lire la suite en exécutant "sudo su". Ceci est utile si elles doivent exécuter une série d'actions restreintes, sur une durée indéterminée. Pour quitter ce mode et revenir au compte utilisateur normal, utilisez simplement la commande "exit".

Pour exécuter une seule commande en tant que super utilisateur, il vous suffit de préfacer cette commande avec "sudo". En utilisant l'exemple du fichier hosts, vous pouvez l'éditer avec "sudo vim etc / hosts". Vous serez ensuite invité à entrer votre mot de passe. Si le compte n'a pas de privilèges d'administrateur (c'est-à-dire est un compte d'utilisateur standard), la commande ne fonctionnera pas.

Sur Android, ils ont un modèle fondamentalement différent d'autorisations, où les applications sont atomisées et en bac à sable, et les utilisateurs peuvent faire des changements limités sous le capot. Les utilisateurs sont activement découragés d'avoir accès à la racine. C'est pourquoi la plupart des transporteurs et des fabricants (avec HTC parmi les exceptions Comment rooter votre première génération HTC One Comment rooter votre première génération HTC One inhabituellement, il n'y a pas d'utilitaires spéciaux qui permettent cela - à la place, vous devez utiliser l'enracinement approuvé HTC En savoir plus) décourager activement les utilisateurs d'enraciner leurs téléphones, et pourquoi il est devenu un peu "un art sombre".

Windows a aussi son propre système de privilèges élevés. Chaque fois qu'un programme apporte une modification au système nécessitant des autorisations étendues, Windows invite l'utilisateur à ouvrir une fenêtre UAC (User Access Control). Cela montre le programme qui demande des autorisations élevées. Si le code a reçu une signature cryptographique, il indiquera qui l'a signé, ce qui vous permettra de repérer les programmes imposteurs. L'utilisateur peut alors choisir de donner au programme les permissions demandées, ou refuser.

UAC

Bien que ce processus ne soit pas sans défauts (les fenêtres UAC sont considérées comme plutôt ennuyeuses Arrêtez les invites UAC ennuyeuses - Comment créer une liste blanche de contrôle de compte utilisateur [Windows] Arrêtez les invites UAC ennuyeuses - Comment créer une liste blanche de contrôle de compte utilisateur [Windows] Vista, nous les utilisateurs de Windows ont été harcelés, buggés, ennuyés, et fatigué de l'invite de contrôle de compte d'utilisateur (UAC) nous indiquant un programme que nous avons intentionnellement lancé.Certain, il a amélioré, ... Lire la suite, et sont généralement juste "cliqué", par exemple), c'est celui qui fonctionne généralement. Cependant, il peut facilement être contourné par des failles dans le système d'exploitation, un peu comme celle identifiée par Perception Point.

Augmentation des menaces sur les périphériques Linux

Au cours des dernières années, nous avons assisté à un déluge d'attaques ciblant les systèmes d'exploitation basés sur Linux, car il renforce sa position sur le marché des serveurs et augmente sa part de marché sur le poste de travail.

Récemment, un chercheur en Russie a découvert un cheval de Troie d'accès à distance Comment gérer simplement et efficacement les chevaux de Troie d'accès à distance Comment traiter simplement et efficacement les chevaux de Troie d'accès à distance sentir une RAT? Si vous pensez avoir été infecté par un cheval de Troie d'accès à distance, vous pouvez facilement vous en débarrasser en suivant ces étapes simples. Lire la suite a été conçu pour aider un attaquant à espionner les utilisateurs. Appelé Linux.Ekoms.1, le cheval de Troie prend une capture d'écran toutes les 30 secondes et l'enregistre dans un dossier temporaire sous la forme d'un fichier JPEG déguisé avec une extension de fichier différente. Une analyse plus approfondie du cheval de Troie a révélé que les développeurs travaillaient sur des fonctionnalités qui lui permettraient d'enregistrer de l'audio. Ces fichiers seraient ensuite envoyés à un serveur distant. Les attaquants pourraient également lancer des commandes via un serveur de commande et de contrôle.

Un autre rootkit pour Linux - appelé Snakso-A - serveurs Web 64 bits ciblant Linux, et détournait silencieusement les pages Web qui étaient servies, afin d'injecter un iFrame au service des logiciels malveillants.

Crypte

Ensuite, bien sûr, il y a les vulnérabilités qui étaient si sévères, elles sont devenues des nouvelles internationales. Je parle des goûts de Shellshock Worse Than Heartbleed? Rencontrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux, pire que Heartbleed? Découvrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux En savoir plus, la vulnérabilité GHOST La faille Ghost Linux: tout ce que vous devez savoir La faille Ghost Linux: tout ce que vous devez savoir La vulnérabilité GHOST est une faille dans une partie vitale de chaque grande distribution Linux. Il pourrait, en théorie, permettre aux pirates de prendre le contrôle des ordinateurs sans avoir besoin d'un nom d'utilisateur ou d'un mot de passe. Lire la suite, et Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite .

Ces menaces sont généralement résolues de manière expéditive par les responsables et les développeurs des composants Linux qu'ils effectuent. Cependant, au cours des derniers mois, leur capacité à le faire a été remise en question en raison des pénuries de financement et de personnel, ce qui a amené certains à se demander si Linux a été victime de son succès. Linux at-il été victime de son succès? Linux a-t-il été victime de son propre succès? Pourquoi le président de la Fondation Linux, Jim Zemlin, a-t-il récemment déclaré que «l'âge d'or de Linux» pourrait bientôt prendre fin? La mission de «promouvoir, protéger et faire progresser Linux» a-t-elle échoué? Lire la suite .

Vérifier les mises à jour

Au cours des prochains jours, la majorité des distributions Linux émettront des correctifs, tout comme Google pour Android. Nous vous conseillons de vérifier régulièrement les mises à jour de votre gestionnaire de paquets.

Cette vulnérabilité vous at-elle posé la question de savoir si vous devriez continuer à utiliser Linux? Parlez-moi de cela dans les commentaires ci-dessous.

Crédits photos: Crypt (Christian Ditaputratama), PasswordFile (Christiaan Colen)

In this article