Microsoft 365 Defender 钻研团队在 Linux 操作系统中发现了两个破绽,别离被跟踪为 CVE-2022-29799 和 CVE-2022-29800(统称为 Nimbuspwn),可容许攻击者晋升权限以获取 root 权限并装置恶意软件。依据介绍,这些破绽能够链接在一起以取得 Linux 零碎的 root 权限,从而容许攻击者部署无效负载,如 root 后门,并通过执行任意 root 代码来执行其余歹意操作。
此外,Nimbuspwn 破绽可能会被更简单的威逼(例如恶意软件或勒索软件)用作获取 root 权限的载体,从而对易受攻击的设施产生更大的影响。微软方面示意,其在对以 root 身份运行的服务进行代码审查和动态分析时,通过监听系统总线(System Bus)上的音讯发现了这些破绽,并留神到了一个名为 networkd-dispatcher 的 systemd 单元中的一个奇怪的模式。审查 networkd-dispatcher 的代码流发现了多个平安问题,能够被用来晋升权限,部署恶意软件或进行其余歹意流动。networkd-dispatcher 由 Clayton Craft 保护,目前已更新以解决微软发现的破绽,倡议受影响的用户尽快进行更新。微软在博客中分享了一些无关受影响组件的信息,其中 D-Bus(Desktop-Bus)组件就是攻击者的偏好指标。它是一个由 freedesktop.org 我的项目开发的过程间通信通道(IPC)机制;是一个软件总线,容许同一终端上的过程通过传输音讯和响应音讯进行通信。起因在于许多 D-Bus 组件默认装置在风行的桌面 Linux 发行版上,例如 Linux Mint。因为这些组件以不同的权限运行并响应音讯,因而 D-Bus 组件对攻击者来说是一个有吸引力的指标。事实上,过来就曾呈现过一些与有缺点的 D-Bus 服务相干的破绽,包含 USBCreator Elevation of Privilege、Blueman Elevation of Privilege by command injection 以及其余相似状况。“D-Bus 裸露了一个全局 System Bus 和一个 per-session Session Bus。从攻击者的角度来看,系统总线更有吸引力,因为它通常会有以 root 身份运行的服务来监听它。”