E安全7月21日讯 IT专家尼尔斯·丹格森·莫斯卡普发现了一个漏洞,并将其命名为“Bad Taste”,者可以使用恶意MSI文件在Linux系统上运意代码。
Windows Installer的数据包,它实际上是一个数据库,包含安装一种产品所需要的信息以及在很多安装情形下安装(和卸载)程序所需的指令和数据。MSI文件将程序的组成文件与功能关联起来。此外,它还包含有关安装过程本身的信息:如安装序列、目标文件夹径、系统依赖项、安装选项和控制安装过程的属性。(来源于百度)
Gnome先前被称为Nautilus,是Linux发行版(使用Gnome桌面)默认的文件管理器。
莫斯卡普发现,他能在MSI文件名内隐藏恶意VB(轻量级的解释型脚本语言)。当用户访问恶意MSI文件所在计算机的文件夹时,Gnome会自动解析文件,从内容中提取图标并将图标显示在文件管理器窗口中。
问题是,当解析MSI文件寻找图标时,该Thumbnailer脚本还会读取文件名,并执行其中发现的代码。
为了避免受该漏洞影响,莫斯卡普推荐用户删除/usr/share/thumbnailers的所有文件,或暂时停止使用Gnome文件。
莫斯卡普在博客上发布了演示Bad Taste漏洞的PoC代码。他发布的演示代码只丢下用户电脑上带有badtaste.txt的空文件,但者可能会造成更严重的影响。
莫斯卡普表示他将此问题报告给了Debian项目组,漏洞于三个小时后得以修复。该漏洞在Gnome-Exe-Thumbnailer(负责在Gnome应用内解析MSI和EXE文件)中也已被修复。
虽然这需要一些聪明的社会工程学手段,但莫斯卡普则表示,者能通过过式下载(不希望用户知晓的前提成的下载行为)以及不询问用户是否保存文件的Web浏览器利用Thumbnailer漏洞。
例如,Chrome就是为用户提供自动下载设置的浏览器之一。安全研究人员过去曾提醒Google这项功能存在风险,因为此功能已被融合到各种链中,例如使用SCF文件窃取Windows凭证。
虽然莫斯卡普未通过过式下载测试Bad Taste漏洞,但他推测,诸如这类简单的Web媒介能被用来强制将MSI文件传送给运行Linux发行版的用户。即使用户注意到强制下载的情况,大多数用户会访问下载文件夹检查可疑文件,但这可能会导致漏洞代码执行。
Bad Taste的严重程度目前取决于者将其它漏洞利用代码添加到MSI文件名的能力。这是因为Bad Taste漏洞利用代码要借助者的权限加以执行。为了造成更严重的力,者需要将访问权限提升到Root级别,这通常要求将Root漏洞利用与Bad Taste,从而将初始访问权限提升至无访问本地资源的权限。
推荐:
网友评论 ()条 查看