31 Luglio 2020 - Tempo di lettura: 12 minuti
Esiste una vulnerabilità nell'utilità di estrazione predefinita di KDE chiamata ARK che consente agli aggressori di sovrascrivere i file o eseguire codice sui computer delle vittime semplicemente inducendoli a scaricare un archivio ed estrarlo.
KDE è un ambiente desktop presente nelle distribuzioni Linux come OpenSUSE, Kali, KUbuntu e altri che offre un'interfaccia utente grafica al sistema operativo.
Scoperta dal ricercatore di sicurezza Dominik Penner di Hackers for Change, è stata rilevata una vulnerabilità di attraversamento del percorso nell'utilità di archiviazione ARK predefinita che consente agli attori malintenzionati di eseguire l'esecuzione di codice in remoto distribuendo archivi dannosi.
Una volta che un utente apre l'archivio, l'utente malintenzionato può creare autotrapunti che avviano automaticamente programmi in grado di crittografare i file di un utente con ransomware, installare minatori o backdoor che consentono agli attaccanti remoti di accedere alla shell dell'account della vittima.
Penner ha segnalato questa vulnerabilità al team di sicurezza di KDE il 20 luglio 2020 e il bug è stato rapidamente risolto in Ark 20.08.0, che è stato rilasciato oggi.
Poiché ARK è l'estrattore predefinito nell'ambiente desktop KDE e utilizzato in quasi tutte le distribuzioni Linux, si consiglia a tutti gli utenti di installare l'aggiornamento più recente il più presto possibile.
L'ambiente desktop KDE consente agli utenti di avviare automaticamente le applicazioni quando un utente accede ai sistemi operativi.
Questi autostanti vengono configurati creando file .desktop speciali nella ~/.config/autostart
cartella che specifica quale programma deve essere eseguito al momento dell'accesso.
Ad esempio, il file desktop mostrato di seguito avvierà automaticamente l'applicazione 'konsole' quando un utente accede al desktop.
Penner ha scoperto che l'utilità di archiviazione ARK non riesce a rimuovere i caratteri di attraversamento del percorso durante la decompressione di un archivio. Questo bug gli ha permesso di creare archivi in grado di estrarre file ovunque un utente abbia accesso.
"KDE Ark è vulnerabile a una vulnerabilità di scrittura arbitraria che porta all'esecuzione di comandi tramite l'attraversamento di directory. Ark non riesce a rimuovere i caratteri di attraversamento di directory durante la decompressione di file tar, gzip, bzip2, rar e zip, consentendo in definitiva a un utente malintenzionato di scrivere silenziosamente file nel file ~ / .config / directory di avvio automatico, che porta all'esecuzione del comando al successivo riavvio. Questa vulnerabilità è più comunemente definita vulnerabilità Zip Slip", ha scritto Penner in un rapporto di vulnerabilità condiviso con BleepingComputer.
Usando questo bug, Penner ha creato un exploit di prova del concetto che crea automaticamente i file di configurazione di avvio automatico di KDE semplicemente estraendo un archivio appositamente predisposto nella cartella corrente.
Una volta creato un avvio automatico, al successivo riavvio del computer e un utente accede al proprio account, verrà eseguito il programma specificato, portando all'esecuzione di codice in modalità remota.
Penner ha condiviso un PoC con BleepingComputer e nei nostri test questa vulnerabilità è stata incredibilmente facile da sfruttare.
Eseguendo l'exploit, ci rimane un archivio appositamente predisposto che payload.desktop avvia automaticamente il file in un archivio il cui percorso di estrazione include caratteri di attraversamento del percorso.
Ad esempio: "../../../.config/autostart/hackersforchange.desktop
".
Quando un utente estrae l'archivio, ARK utilizzerà l'attraversamento del percorso sopra per creare un file in ~ / .config / autostart / hackersforchange.desktop, che avvia xcalc la volta successiva che l'utente accede al desktop KDE di Linux.
A causa della semplicità di sfruttamento di questa vulnerabilità, si consiglia a tutti gli utenti di KDE di eseguire l'aggiornamento a Ark 20.08.0 o versioni successive.
Questo bug non è la prima vulnerabilità di KDE scoperta da Penner.
Nel 2019, Penner ha scoperto una vulnerabilità che avrebbe eseguito l'esecuzione di codice in modalità remota semplicemente aprendo una cartella estratta.
Penner fa parte dell'organizzazione no profit Hackers for Change in cui i professionisti della sicurezza si offrono volontariamente il loro tempo per aiutare enti di beneficenza di piccole e medie dimensioni.
"Hackers for Change è una organizzazione no-profit gestita da volontari fondata sull'idea di colmare il divario tra enti di beneficenza e buone pratiche di sicurezza informatica. Lo facciamo educando e consentendo enti di beneficenza di piccole e medie dimensioni e altri progetti a guida volontaria per proteggere i loro computer e sistemi informatici dagli attacchi informatici, consentendo loro di concentrarsi sulla massimizzazione del loro impatto sociale ", ha detto Penner in una conversazione a BleepingComputer.