Cette faille insensée sous Linux donne à tout le monde un accès root à votre box

Cette faille insensée sous Linux donne à tout le monde un accès root à votre box / Linux

Les téléphones Android, ainsi que les ordinateurs de bureau et serveurs Linux partagent tous une ascendance commune. Ils sont tous basés sur un noyau commun et partagent des utilitaires et des composants communs. Chaque fois qu'une faille de sécurité est trouvée dans ces zones, la contagion est massive et des centaines de millions d'ordinateurs et de périphériques mobiles seront inévitablement affectés..

Une vulnérabilité récemment découverte (CVE-2016-0728) dans le noyau Linux en est un exemple étonnant. Il tire parti d’une faille dans le trousseau de clés du système d’exploitation et permettrait à tout attaquant ou utilisateur non privilégié d’obtenir un accès root au système en question. Voici comment cela fonctionne et ce dont vous devez vous méfier.

Comprendre cette vulnérabilité

Cette vulnérabilité a été découverte par Perception Point - un important cabinet de conseil en sécurité de l'information basé à Tel Aviv. La faille a été introduite pour la première fois il y a environ trois ans, avec la publication du noyau Linux Le noyau Linux: une explication dans les termes de Layman Le noyau Linux: une explication dans les termes de Layman Il existe un seul élément de facto que les distributions Linux ont en commun: Noyau Linux. Mais alors que l'on en parle souvent, beaucoup de gens ne savent pas vraiment ce que ça fait. Lire la version 3.8. Perception Point estime qu'environ les deux tiers des appareils Android et une quantité inconnue de postes de travail et de serveurs Linux (probablement de l'ordre de plusieurs millions) sont vulnérables..

Comme mentionné précédemment, cette faille se trouve dans le trousseau de clés du système d'exploitation. C'est le composant utilisé sous Linux qui permet aux pilotes de mettre en cache des données de sécurité, telles que des clés de cryptage et des jetons d'authentification. De par leur conception, les données contenues dans le trousseau de clés du système d'exploitation ne devraient pas être accessibles à d'autres applications..

L'exploit lui-même tire parti d'une faille dans la gestion de la mémoire dans le trousseau de clés du système d'exploitation. En exécutant un débordement de tampon, les attaquants peuvent amener le système d'exploitation à exécuter un shellcode arbitraire, qui serait exécuté en tant que root..

On s'attend à ce que la majorité des distributions Linux publient des correctifs d'ici le début de la semaine prochaine. Mais si vous disposez d'un processeur Intel moderne (Broadwell ou ultérieur), il convient d'activer SMAP (Prévention des accès en mode supervision) et SMEP (Prévention en mode supervision), afin de limiter les dommages que cette vulnérabilité peut infliger..

En attendant, si vous utilisez Android, SELinux devrait également faire l'affaire. Il convient de souligner que Google a minimisé avec véhémence les risques présentés par cette vulnérabilité. Dans une déclaration, ils ont déclaré que tous les appareils fonctionnant sous Android 5.0 Lollipop et versions ultérieures étaient protégés par SELinux, et que la majorité des appareils plus anciens (exécutant Android 4.4 KitKat et versions antérieures) ne contenaient pas le code vulnérable introduit dans la version 3.8 du noyau Linux..

L’équipe de sécurité d’Android s’est également plainte de ne pas avoir émis de correctif. En substance, ils ont déclaré que le point de perception n'effectuait pas la divulgation responsable. Divulgation complète ou responsable: Comment les vulnérabilités de sécurité sont divulguées? Divulgation complète ou responsable: Comment les vulnérabilités de sécurité sont divulguées? Des vulnérabilités de sécurité dans des progiciels populaires sont découvertes tout le temps, mais comment aux développeurs, et comment les pirates informatiques découvrent-ils les vulnérabilités qu’ils peuvent exploiter? Lire la suite .

Ils ne disent pas essentiellement qu'il n'y a pas de problème, mais que cela concerne une proportion beaucoup plus faible d'appareils Android, comme le disait précédemment Perception Point. Malgré cela, ils publient un correctif qui, une fois publié, devrait fermer cette vulnérabilité béante une fois pour toutes..

Vérifier votre privilège

L’un des principes les plus fondamentaux de la sécurité informatique peut être résumé de la manière suivante: tous les utilisateurs ne devraient pas être capables de tout faire à tout moment.

Si un utilisateur était connecté en permanence en tant qu'utilisateur root ou administrateur, il serait beaucoup plus facile pour un malware ou un attaquant distant de causer des dommages importants. C'est pour cette raison que la plupart des utilisateurs et des applications existent en mode restreint avec des autorisations limitées. Lorsqu'ils veulent faire quelque chose qui pourrait endommager l'ordinateur, comme installer un nouveau programme ou modifier un fichier de configuration important, ils doivent d'abord élever leurs privilèges. Ce concept est universel et concerne pratiquement tous les systèmes d'exploitation..

Supposons que quelqu'un soit connecté à un ordinateur Linux ou Mac avec un compte administrateur et qu'il souhaite modifier ses hôtes. Comment modifier le fichier d'hôtes Mac OS X (et pourquoi vouloir le faire) Comment modifier le fichier d'hôtes Mac OS X (et Pourquoi vous voudriez peut-être) Le fichier hosts est utilisé par votre ordinateur pour mapper les noms d'hôtes aux adresses IP. En ajoutant ou en supprimant des lignes dans votre fichier hosts, vous pouvez modifier l'emplacement de certains domaines lorsque vous y accédez… Lire le fichier pour rediffuser un nom d'hôte en une adresse IP locale. S'ils essaient simplement de l'ouvrir immédiatement avec un éditeur de texte, le système d'exploitation renverra un message d'erreur disant quelque chose comme: “accès refusé”.

Pour que cela fonctionne, il leur faudrait élever leurs privilèges. Ils peuvent entrer indéfiniment en mode superutilisateur Qu'est-ce que SU & Pourquoi est-il important d'utiliser Linux efficacement? Qu'est-ce que SU & pourquoi est-il important d'utiliser efficacement Linux? Le compte utilisateur Linux ou root est un outil puissant qui peut être utile s’il est utilisé correctement ou dévastateur s’il est utilisé de manière imprudente. Voyons pourquoi vous devriez être responsable lorsque vous utilisez SU. Lire plus en courant “sudo su”. Ceci est utile s'ils doivent exécuter une série d'actions restreintes sur une durée indéterminée. Pour quitter ce mode et revenir au compte utilisateur normal, utilisez simplement le bouton “sortie” commander.

Pour exécuter une seule commande en tant que super utilisateur, il suffit de préfacer cette commande avec “sudo”. En utilisant l’exemple du fichier hosts, vous pouvez le modifier avec “sudo vim etc / hosts”. Vous serez alors invité à entrer votre mot de passe. Si le compte ne dispose pas de privilèges d'administrateur (c'est-à-dire un compte d'utilisateur standard), la commande ne fonctionnera pas..

Sur Android, ils ont un modèle d'autorisations fondamentalement différent, dans lequel les applications sont atomisées et en mode bac à sable, et les utilisateurs peuvent apporter des modifications limitées sous le capot. Les utilisateurs sont activement découragés d'accéder à la racine. C’est pour cette raison que la plupart des opérateurs et des fabricants (avec HTC parmi les exceptions. Comment déraciner votre HTC One de première génération? Comment déraciner votre HTC One de première génération? Exceptionnellement, il n’existe aucun utilitaire spécial qui permette cette opération. Vous devez plutôt utiliser l’enregistrement approuvé par HTC. En savoir plus) découragent activement les utilisateurs d’enraciner leurs téléphones et pourquoi c’est devenu un peu un “art sombre”.

Windows a aussi son propre système de privilèges élevés. Lorsqu'un programme apporte au système une modification nécessitant des autorisations étendues, Windows invite l'utilisateur à afficher une fenêtre UAC (Contrôle d'accès utilisateur). Cela montre le programme qui demande des autorisations élevées. Si le code a reçu une signature cryptographique, il indiquera qui l'a signé, ce qui vous permettra de repérer les programmes imposteurs. L’utilisateur peut ensuite choisir d’accorder au programme les autorisations demandées ou de refuser.

Bien que ce processus ne soit pas sans défauts (les fenêtres UAC sont considérées comme plutôt gênantes) Arrêtez les invites agaçantes du contrôle de compte d'utilisateur - Comment créer un contrôle de compte d'utilisateur liste blanche [Windows] Arrêtez les invites agaçantes de contrôle de compte d'utilisateur - Depuis la création de Vista, nous, les utilisateurs de Windows, avons été harcelés, bogués, ennuyés et fatigués de l'invite du contrôle de compte d'utilisateur (UAC) nous informant qu'un programme est en train d'être lancé que nous avons intentionnellement lancé. «cliqué», par exemple), c’est celui qui fonctionne généralement. Cependant, il peut être facilement contourné par des failles dans le système d'exploitation, un peu comme celle identifiée par Perception Point..

Menaces croissantes pour les périphériques Linux

Ces dernières années, nous avons assisté à un déluge d’attaques ciblant les systèmes d’exploitation basés sur Linux, qui renforcent leur emprise sur le marché des serveurs et augmentent leur part de marché sur les ordinateurs de bureau..

Un chercheur en Russie a récemment découvert un cheval de Troie d'accès à distance. Comment traiter simplement et efficacement des chevaux de Troie d'accès à distance? Comment traiter simplement et efficacement des chevaux de Troie d'accès à distance une odeur de rat? Si vous pensez avoir été infecté par un cheval de Troie d'accès distant, vous pouvez vous en débarrasser facilement en suivant ces étapes simples. En savoir plus, conçu pour aider un attaquant à espionner les utilisateurs. Appelé Linux.Ekoms.1, le cheval de Troie prend une capture d'écran toutes les 30 secondes et l'enregistre dans un dossier temporaire au format JPEG déguisé avec une extension de fichier différente. Une analyse plus approfondie du cheval de Troie a révélé que les développeurs travaillaient sur des fonctionnalités qui lui permettraient d'enregistrer de l'audio. Ces fichiers seraient ensuite envoyés à un serveur distant. Les attaquants pourraient également émettre des commandes via un serveur de commande et contrôle..

Un autre rootkit pour Linux, appelé Snakso-A, ciblait les serveurs Web Linux 64 bits et détournait silencieusement les pages Web en cours de traitement afin d'injecter un iFrame serveur de programmes malveillants..

Ensuite, bien sûr, il y a les vulnérabilités qui étaient si graves qu'elles sont devenues des nouvelles internationales. Je parle des goûts de Shellshock Worse Than Heartbleed? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux pire que le chaos? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux En savoir plus, la vulnérabilité GHOST La faille fantôme de Linux: tout ce que vous avez besoin de savoir La faille fantôme de Linux: tout ce dont vous avez besoin de savoir La vulnérabilité GHOST est une faille dans principale distribution Linux. En théorie, cela pourrait permettre aux pirates de prendre le contrôle de leurs ordinateurs sans avoir besoin d’un nom d’utilisateur ou d’un mot de passe. En savoir plus et Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite .

Ces menaces sont généralement résolues de manière rapide par les responsables et les développeurs des composants Linux qu’elles appliquent. Cependant, au cours des derniers mois, leur capacité à le faire a été remise en question, en raison du manque de fonds et de personnel, amenant certains à se demander si Linux a été victime de son propre succès. Linux a-t-il été victime de son propre succès? Linux a-t-il été victime de son propre succès? Pourquoi le directeur de la Linux Foundation, Jim Zemlin, a-t-il récemment déclaré que "l'âge d'or de Linux" pourrait bientôt prendre fin? La mission de "promouvoir, protéger et faire progresser Linux" a-t-elle échoué? Lire la suite .

Vérifier les mises à jour

Au cours des prochains jours, la majorité des distributions Linux émettront des correctifs, tout comme Google pour Android. Nous vous conseillons de vérifier régulièrement les mises à jour de votre gestionnaire de paquets..

Cette vulnérabilité vous a-t-elle amené à vous demander si vous devriez continuer à utiliser Linux? Parlez-moi de cela dans les commentaires ci-dessous.

Crédits photos: Crypte (Christian Ditaputratama), PasswordFile (Christiaan Colen)

En savoir plus sur: Sécurité informatique, Sécurité en ligne, Cheval de Troie.