Истраживач безбедности би ГитХуб дао до знања недавно идентификовали сте рањивост (ЦВЕ-2020-16125) у ГНОМЕ Дисплаи Манагер-у (ГДМ), који је одговоран за приказ екрана за пријаву.
У комбинацији са другом рањивошћу у услузи праћења налога (аццоунтс-даемон), проблем омогућава да се код изврши као роот. Рањивост је повезана са нетачним покретањем услужног програма за почетну конфигурацију ако је немогуће приступити услузи демона налога путем ДБус-а.
О рањивости
Непривилеговани корисник може срушити процес аццоунт-даемон или спусти слушалицу, шта ће створити услове да би се услужни програм гноме-Инитиал-Сетуп могао покренути из ГДМ-а, путем којег се нови корисник може регистровати као члан судо групе, односно имати могућност покретања програма као роот.
Нормално ГДМ позива гноме-Инитиал-сетуп да постави првог корисника ако у систему нема рачуна. Провера постојања налога врши се контактирањем аццоунт-даемон. Ако наведени поступак не успије, ГДМ претпоставља да рачуни недостају и започиње поступак почетне конфигурације.
Истраживач је идентификовао два начина да поремети процес демон-рачуна- Прва (ЦВЕ-2020-16126) је због нетачног ресетовања привилегија и друга (ЦВЕ-2020-16127) грешка током обраде датотеке .пам_енвиронмент.
Поред тога, пронађена је још једна рањивост у даемон-налозима (ЦВЕ-2018-14036) узроковане нетачним проверама путање датотека и омогућавањем читања садржаја произвољних датотека на систему.
Рањивости у аццоунтс-даемон су узроковане променама које су направили програмери Убунту-а и не појављују се у главном аццоунт-даемон коду пројекта ФрееДесктоп и Дебиан пакета.
Проблем ЦВЕ-2020-16127 присутан је у закрпи додатој у Убунту која имплементира функцију ис_ин_пам_енвиронмент, која чита садржај датотеке .пам_енвиронмент из корисниковог кућног директоријума. Ако на место ове датотеке ставите симболичку везу до / дев / зеро, процес демона налога виси на бесконачним операцијама читања и престаје да одговара на захтеве преко ДБус-а.
Необично је да је рањивост у савременом оперативном систему тако лако искористити. У неким приликама сам написао хиљаде редова кода да бих искористио рањивост.
Већина модерних искоришћавања укључује компликоване трикове, као што је коришћење рањивости због оштећења меморије за лажирање лажних објеката у гомили или замена датотеке симболичком везом до микросекундне прецизности да би се искористила ТОЦТОУ рањивост.
Тако да је данас релативно ретко пронаћи рањивост која не захтева вештине кодирања да би се искористиле. Такође мислим да је рањивост лако разумљива, чак и ако немате предзнања о томе како Убунту ради или нема искуства у истраживању безбедности.
Рањивост ЦВЕ-2020-16126 је узрокована другом закрпом која ресетује привилегије тренутног корисника током обраде неких ДБус позива (на пример, орг.фреедесктоп.Аццоунтс.Усер.СетЛангуаге).
Процес демон налога се нормално изводи као роот, што спречава нормалног корисника да шаље сигнале.
Али захваљујући додатку закрпе, привилегије процеса могу се ресетовати а корисник овај процес може завршити слањем сигнала. Да бисте извршили напад, једноставно створите услове за уклањање привилегија (РУИД) и пошаљите сигнал СИГСЕГВ или СИГСТОП у процес демона налога.
Корисник завршава графичку сесију и прелази на текстуалну конзолу (Цтрл-Алт-Ф1).
По завршетку графичке сесије, ГДМ покушава да прикаже екран за пријаву, али виси када покушава да добије одговор од налога-даемон.
Сигнали СИГСЕГВ и СИГЦОНТ шаљу се с конзоле у процес демона налога, што доводи до тога да она виси.
Такође можете да шаљете сигнале пре изласка из графичке сесије, али то морате учинити са закашњењем да бисте имали времена да завршите сесију и пре него што се сигнал пошаље, ГДМ је имао времена да започне.
Захтев демону налога у ГДМ-у не успева и ГДМ позива услужни програм гноме-Инитиал-Сетуп, у чијем је интерфејсу довољно за креирање новог налога.
Рањивост је исправљена у ГНОМЕ 3.36.2 и 3.38.2. Искоришћавање рањивости потврђено је у Убунту-у и његовим дериватима.
izvor: https://securitylab.github.com