AlertesHacking

KDE Plasma : l’environnement de bureau permet l’exécution de code arbitraire à partir d’une clé USB

Les utilisateurs de Linux qui font usage de l’environnement de bureau KDE Plasma doivent appliquer des correctifs contre une vulnérabilité qui permet l’exécution de code arbitraire à partir d’une clé USB. L’équipe KDE Plasma a mis les versions 5.8.9 et 5.12.0 à la disposition du public pour corriger la faille référencée CVE-2018-6791.

Le problème réside dans la façon dont l’environnement de bureau interprète les noms de volume. « Lorsqu’une clé USB (formatée en VFAT) qui contient les caractères «  ou $() au sein de son nom de volume est connectée et montée au travers de l’outil de notification de connexion de périphériques (Device Notifier), il [le nom de volume] est interprété comme une commande shell », écrit l’équipe sécurité de KDE dans sa note d’information. « Un exemple de nom de volume malicieux est « $(touch b) ». Ce dernier provoque la création d’un fichier appelé b au sein du répertoire home », ajoute l’équipe sécurité KDE.

 

 

Dit de façon plus simple pour les non-férus en informatique, un pirate peut insérer du code malicieux dans le nom de volume d’une clé USB et le faire exécuter sur un poste cible. Il suffit que la victime monte le périphérique (formatée pour la circonstance en VFAT par l’attaquant) au travers de KDE pour visualiser son contenu. L’équipe KDE conseille aux utilisateurs qui pour une raison ou pour une autre ne pourront pas effectuer la mise à jour de monter la clé USB via le gestionnaire de fichiers Dolphin. Une autre méthode plus adaptée aux as de l’informatique consisterait aussi à faire usage de la commande mount.

L’exploitation de la faille requiert un accès physique au poste de la victime certes, mais quand on y pense une vulnérabilité de ce type ouvre des portes sans qu’il soit nécessaire que l’attaquant dispose de privilèges particuliers. Un pirate talentueux pourrait s’appuyer sur la véritable vulnérabilité ici qu’est l’homme pour accéder au fameux moteur d’administration Intel présent sur les cartes mères des PC. De plus en plus de fabricants s’attèlent à livrer leurs machines avec ce petit microcontrôleur situé dans le pont sud désactivé. Un accès à ce dernier permettrait alors à l’attaquant de le réactiver. De quoi se frotter les mains ensuite quand on sait que le composant aurait été réservé à des agences gouvernementales américaines pour espionner les possesseurs d’ordinateurs à base de processeurs Intel livrés après 2008.

 

Quels autres cas d’exploitation entrevoyez-vous ?

Comment here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

fr_FRFrench
en_USEnglish fr_FRFrench