Une faille dans KDE permet de corrompre un ordinateur sans même ouvrir le fichier malicieux
Un correctif doit être mis en place rapidement
Le 2019-08-07 18:08:09, par emixam16, Membre chevronné
Dans un post gist du 27 juillet 2019, Dominik Penner, aussi connu sous le nom de zer0pwn a révélé une faille assez originale visant l’environnement KDE puisqu’elle permet d’injecter une commande arbitraire sans même avoir besoin d’ouvrir le fichier malveillant ! Ainsi, il suffit que le fichier soit affiché, par exemple dans l’explorateur de fichier ou d’archive de KDE pour que la commande soit exécutée. Cette faille touche à la fois KDE 4 et 5 (aussi connu sous le nom de Plasma). Pour rappel, KDE est inclus par défaut dans de plusieurs distributions comme OpenSuse ou Kubuntu et est installable depuis la plupart des autres.
Techniquement, cette faille est due à un problème de conception dans la vérification des entrées utilisateurs. Cette faille concerne les fichiers .desktop et .directory, qui permettent notamment d’afficher une icône personnalisée pour un fichier. Toutefois, si une commande shell arbitraire est passée en paramètre à certaines entrées de ce fichier, elle sera exécutée lors du parsing de ce fichier, pouvant conduire à une compromission du système, comme illustré par l’exemple suivant.
Pour être exécutée, cette faille nécessite tout de même de télécharger un fichier .desktop ou .directory, ce qui est assez inhabituel sous Linux et peut donc éveiller les soupçons d’utilisateurs expérimentés. Il est possible de rendre cette attaque plus discrète en mettant le fichier incriminé dans une archive quelconque. Il semble donc que le principal vecteur d'infection par cette attaque soit le social engineering. Aussi, si vous utilisez KDE, il est conseillé de faire attention à vos téléchargements le temps que cette faille soit corrigée.
Cette faille a été mise en ligne sans avertir préalablement la communauté KDE, ce qui a pu causer des réactions négatives de la part d’une partie de la communauté. Lors d’une interview, Penner a déclaré :
Envoyé par zer0pwn
Ce n’est pas la première fois qu’une vérification incorrecte des entrées utilisateur concernant les fichiers de métadonnées est observée, que ce soit sous Linux ou Windows. Il semble probable que de tels défauts de conception soient retrouvés dans le futur dans les systèmes.
Source : GitHub
Et vous qu’en pensez-vous ?
Cette faille vous semble-t-elle facilement exploitable dans des systèmes réels ?
Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?
Techniquement, cette faille est due à un problème de conception dans la vérification des entrées utilisateurs. Cette faille concerne les fichiers .desktop et .directory, qui permettent notamment d’afficher une icône personnalisée pour un fichier. Toutefois, si une commande shell arbitraire est passée en paramètre à certaines entrées de ce fichier, elle sera exécutée lors du parsing de ce fichier, pouvant conduire à une compromission du système, comme illustré par l’exemple suivant.
Code bash : |
1 2 3 4 | $cat .directory [Desktop Entry] Type=Directory Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&) |
Pour être exécutée, cette faille nécessite tout de même de télécharger un fichier .desktop ou .directory, ce qui est assez inhabituel sous Linux et peut donc éveiller les soupçons d’utilisateurs expérimentés. Il est possible de rendre cette attaque plus discrète en mettant le fichier incriminé dans une archive quelconque. Il semble donc que le principal vecteur d'infection par cette attaque soit le social engineering. Aussi, si vous utilisez KDE, il est conseillé de faire attention à vos téléchargements le temps que cette faille soit corrigée.
Cette faille a été mise en ligne sans avertir préalablement la communauté KDE, ce qui a pu causer des réactions négatives de la part d’une partie de la communauté. Lors d’une interview, Penner a déclaré :
Source : GitHub
Et vous qu’en pensez-vous ?
-
emixam16Membre chevronné
Envoyé par Steinvikel
L'auteur voulait révéler la faille avant la conférence Black Hat (une grosse références pour la cybersécurité). Cette conférence s'est déroulée du 3 Août jusqu'à hier. Il n'est donc pas passé par le chemin classique de publication pour que cette faille puisse être montré lors de cette conférence, rendant les utilisateurs de KDE vulnérables en attendant le patch...le 09/08/2019 à 10:26 -
BufferBobExpert éminenten clair c'est un gamin, plein de chocapicz et de lolz, très compétent, en quête de gloire, et très immature, le genre que les services de renseignement se font un plaisir de recruter à la sortie de l'école.le 10/08/2019 à 14:57
-
JipétéExpert éminent séniorHopopop !
Le fichier est donc ouvert, si ce n'est par l'utilisateur, c'est par le système (ça me semblait un peu trop magique, ce titre).le 11/08/2019 à 8:02 -
SteinvikelMembre expert
Est-il acceptable de publier une faille sans informer d’abord les responsables de la sécurité ?
Non. Maintenant, je me demande bien quel en est la raison.le 09/08/2019 à 10:13 -
pierre++Membre actifPas de panique
En fait non. Si on lit sa description à la toute dernière ligne il est indiqué:
Recomendation:
Disable shell expansion / dynamic entries for [Desktop Entry] configurations.le 11/08/2019 à 15:03