Zu den Themen in dieser Woche gehören:
- eine Wettlaufsituation im Speichersubsystem des Linux-Kernels;
- eine Pfadüberwindungsschwachstelle in der UnRAR-Software, die zu einem Zero-Day in Zimbra führt; und
- Entdeckung eines Architekturfehlers in den CPUs von Intel.
Sicherheitslücke im Linux-Kernel - CVE-2022-2590
David Hildenbrand von Red Hat hat - unter Mitwirkung von Amit Nadav von VMware - vor kurzem eine Schwachstelle in Linux-Kernel-Versionen 5.16 oder höher entdeckt, die dazu führen kann, dass ein Angreifer den Inhalt von Dateien im gemeinsamen Speicher (shmem/tmpfs) verändert. Die als "Dirty COW vulnerability restricted to tmpfs/shmem" bezeichnete Schwachstelle(CVE-2022-2590) kann es einem lokalen, authentifizierten Benutzer ermöglichen, seine Privilegien auf dem System zu erweitern, indem er eine Race-Condition im Copy-on-Write-Mechanismus im Speicherverwaltungssubsystem von Linux ausnutzt. Die Plattformen x86-64 und aarch64 sind betroffen.
Copy-on-Write ist eine Strategie zur Ressourcenverwaltung, die in verschiedenen Systemen, wie Datenbanken, Dateisystemen und Betriebssystemen, eingesetzt wird. Wenn verschiedene Prozesse auf dieselbe Ressource bzw. dasselbe Objekt im Speicher zugreifen und ein Prozess versucht, in die gemeinsame Ressource zu schreiben, kommt es zu einem Seitenfehler, und der Kernel erstellt eine neue private Kopie der Ressource für den schreibenden Prozess. Dadurch wird verhindert, dass Daten beschädigt und Schreibvorgänge auf die gemeinsame Ressource für andere Prozesse sichtbar werden. Die Auswirkungen dieser Schwachstelle scheinen sich auf das tmpfs-Dateisystem zu beschränken, das am häufigsten zum Einhängen der Verzeichnisse /tmp, /var/lock, /var/run und /dev/shm verwendet wird.
Eine Voraussetzung für die Ausnutzung ist, dass der Kernel mit CONFIG_USERFAULTFD=y kompiliert wurde, was es User-Space-Prozessen erlaubt, Seitenfehler über den Systemaufruf userfaultfd zu behandeln.
Weitere Informationen sind im Upstream-Commit-Patch zu finden.
Path Traversal Schwachstelle in UnRAR
Ende Juni entdeckte Simon Scannell, ein SonarSource-Forscher, eine Sicherheitslücke in den Unix/Linux-Versionen der UnRAR-Software, die eine Pfadumgehung ermöglicht. Die als CVE-2022-30333 verfolgte Schwachstelle kann ausgenutzt werden, wenn ein Benutzer oder ein Dienst versucht, ein in böser Absicht erstelltes RAR-Archiv zu extrahieren, was zur Erstellung von Dateien außerhalb des Extraktionszielordners führt.
Zimbra ist eine beliebte Software für die Zusammenarbeit und eine E-Mail-Plattform, die für Linux verfügbar ist. Sie ist Teil einer laufenden Zero-Day-Angriffskampagne, die ungepatchte UnRAR-Installationen auf dem Server ausnutzt. Dies hat die U.S. Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasst, die Schwachstelle in UnRAR in ihren Known Exploited Vulnerabilities Catalog (Katalog bekannter ausgenutzter Schwachstellen) aufzunehmen.
Laut dem SonarSource-Blog kann ein Bedrohungsakteur eine E-Mail mit einem bösartigen .rar-Anhang an eine Zimbra-Instanz senden. Die E-Mail durchläuft den Amavis-Dienst, der für die Analyse und Überprüfung der eingehenden Nachricht verantwortlich ist. Der Dienst kann auch E-Mail-Anhänge extrahieren, um sie auf Spam oder Malware zu prüfen, ohne dass der Benutzer eingreifen muss. Da Amavis auf UnRAR angewiesen ist, um .rar-Anhänge zu extrahieren, kann ein Angreifer beliebige Dateien auf einem Zielsystem ablegen oder Remotecodeausführung erreichen, indem er die Schwachstelle in UnRAR ausnutzt, um eine Zimbra-Instanz zu kompromittieren.
Die Sicherheitslücke in UnRAR wurde von RarLab in der Quellcode-Version 6.1.7 behoben und ist in der Version 6.12 gepatcht. Zimbra hat die Schwachstelle in den letzten Updates für seine Dienste und Plattform entschärft.
ÆPIC Leak, ein Architekturfehler in Intel CPUs
Ein Architekturfehler, der Intel-CPUs der 10., 11. und 12. Generation betrifft, wurde gemeinsam von Forschern der Sapienza Universität Rom, der Technischen Universität Graz, Amazon Web Services und dem CISPA Helmholtz-Zentrum für Informationssicherheit entdeckt. Die Schwachstelle befindet sich in der CPU-Komponente Advanced Programmable Interrupt Controller (APIC), die für die Annahme, Priorisierung und Weiterleitung von Interrupts an die Prozessorkerne zuständig ist. Eine erfolgreiche Ausnutzung erfordert Administrator- oder Root-Rechte auf APIC MMIO und könnte zur Offenlegung sensibler Informationen des Prozessors führen.
Wie auf der ÆPIC Leak-Website erwähnt, unterscheidet sich dieser Fehler von den Meltdown- und Spectre-Schwachstellen dadurch, dass die sensiblen Daten ohne Seitenkanalangriffe offengelegt werden können. Darüber hinaus wird Cloud-Workloads von den Hypervisoren kein direkter Zugriff auf den Advanced Programmable Interrupt Controller der zugrunde liegenden Hardware gewährt, so dass das Risiko, dass die Schwachstelle von einer Cloud-VM ausgenutzt wird, gemindert wird.
Intel hat einen Sicherheitshinweis für den Fehler und Firmware-Updates zur Behebung dieser Sicherheitslücke veröffentlicht.
Aktuelle Sicherheitslücken in dieser Woche
- CVE-2022-27925: Verzeichnisüberwindung in Zimbra Collaboration
- CVE-2022-37042: Potenzieller Verzeichnisübergriff und Remotecodeausführung in der Zimbra Collaboration Suite
- CVE-2022-32893: Beliebige Codeausführung in Safari
- CVE-2022-28756: Lokale Privilegieneskalation in Zoom Client für Meetings für macOS
- CVE-2022-30190: Microsoft Windows Support Diagnostic Tool (MSDT) Sicherheitsanfälligkeit bei der Ausführung von Remotecode.
Kommentare