Il difetto dello strumento di archiviazione di KDE consente agli hacker di catturare account Linux

Il difetto dello strumento di archiviazione di KDE consente agli hacker di catturare account Linux

Esiste una vulnerabilità nell'utilità di estrazione predefinita di KDE chiamata ARK che consente agli aggressori di sovrascrivere i file o eseguire codice sui computer delle vittime semplicemente inducendoli a scaricare un archivio ed estrarlo. 

KDE è un ambiente desktop presente nelle distribuzioni Linux come OpenSUSE, Kali, KUbuntu e altri che offre un'interfaccia utente grafica al sistema operativo.

Scoperta dal ricercatore di sicurezza Dominik Penner di Hackers for Change, è stata rilevata una vulnerabilità di attraversamento del percorso nell'utilità di archiviazione ARK predefinita che consente agli attori malintenzionati di eseguire l'esecuzione di codice in remoto distribuendo archivi dannosi.

Una volta che un utente apre l'archivio, l'utente malintenzionato può creare autotrapunti che avviano automaticamente programmi in grado di crittografare i file di un utente con ransomware, installare minatori o backdoor che consentono agli attaccanti remoti di accedere alla shell dell'account della vittima.

Penner ha segnalato questa vulnerabilità al team di sicurezza di KDE il 20 luglio 2020 e il bug è stato rapidamente risolto in Ark 20.08.0, che è stato rilasciato oggi.

Poiché ARK è l'estrattore predefinito nell'ambiente desktop KDE e utilizzato in quasi tutte le distribuzioni Linux, si consiglia a tutti gli utenti di installare l'aggiornamento più recente il più presto possibile.

Il bug di attraversamento del percorso porta all'esecuzione del codice

L'ambiente desktop KDE consente agli utenti di avviare automaticamente le applicazioni quando un utente accede ai sistemi operativi.

Questi autostanti vengono configurati creando file .desktop speciali nella ~/.config/autostart cartella che specifica quale programma deve essere eseguito al momento dell'accesso.

Ad esempio, il file desktop mostrato di seguito avvierà automaticamente l'applicazione 'konsole' quando un utente accede al desktop.

Penner ha scoperto che l'utilità di archiviazione ARK non riesce a rimuovere i caratteri di attraversamento del percorso durante la decompressione di un archivio. Questo bug gli ha permesso di creare archivi in ​​grado di estrarre file ovunque un utente abbia accesso.

"KDE Ark è vulnerabile a una vulnerabilità di scrittura arbitraria che porta all'esecuzione di comandi tramite l'attraversamento di directory. Ark non riesce a rimuovere i caratteri di attraversamento di directory durante la decompressione di file tar, gzip, bzip2, rar e zip, consentendo in definitiva a un utente malintenzionato di scrivere silenziosamente file nel file ~ / .config / directory di avvio automatico, che porta all'esecuzione del comando al successivo riavvio. Questa vulnerabilità è più comunemente definita vulnerabilità Zip Slip", ha scritto Penner in un rapporto di vulnerabilità condiviso con BleepingComputer.

Usando questo bug, Penner ha creato un exploit di prova del concetto che crea automaticamente i file di configurazione di avvio automatico di KDE semplicemente estraendo un archivio appositamente predisposto nella cartella corrente.

Una volta creato un avvio automatico, al successivo riavvio del computer e un utente accede al proprio account, verrà eseguito il programma specificato, portando all'esecuzione di codice in modalità remota.

Test del difetto

Penner ha condiviso un PoC con BleepingComputer e nei nostri test questa vulnerabilità è stata incredibilmente facile da sfruttare.

Eseguendo l'exploit, ci rimane un archivio appositamente predisposto che payload.desktop avvia automaticamente il file in un archivio il cui percorso di estrazione include caratteri di attraversamento del percorso.

Ad esempio: "../../../.config/autostart/hackersforchange.desktop".

Quando un utente estrae l'archivio, ARK utilizzerà l'attraversamento del percorso sopra per creare un file in ~ / .config / autostart / hackersforchange.desktop, che avvia xcalc la volta successiva che l'utente accede al desktop KDE di Linux.

A causa della semplicità di sfruttamento di questa vulnerabilità, si consiglia a tutti gli utenti di KDE di eseguire l'aggiornamento a Ark 20.08.0 o versioni successive.

Questo bug non è la prima vulnerabilità di KDE scoperta da Penner.

Nel 2019, Penner ha scoperto una vulnerabilità che avrebbe eseguito l'esecuzione di codice in modalità remota semplicemente aprendo una cartella estratta.

Penner fa parte dell'organizzazione no profit Hackers for Change in cui i professionisti della sicurezza si offrono volontariamente il loro tempo per aiutare enti di beneficenza di piccole e medie dimensioni.

"Hackers for Change è una organizzazione no-profit gestita da volontari fondata sull'idea di colmare il divario tra enti di beneficenza e buone pratiche di sicurezza informatica. Lo facciamo educando e consentendo enti di beneficenza di piccole e medie dimensioni e altri progetti a guida volontaria per proteggere i loro computer e sistemi informatici dagli attacchi informatici, consentendo loro di concentrarsi sulla massimizzazione del loro impatto sociale ", ha detto Penner in una conversazione a BleepingComputer.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.