1.2 CVE-2012-4676
La funzione errorExitIfAttackViaString in Tunnelblick 3.3beta20 e versioni precedenti consente agli utenti locali di eliminare file arbitrari costruendo un (1) collegamento simbolico o (2) un collegamento reale, una vulnerabilità diversa da CVE-2012-3485.
https://nvd.nist.gov/vuln/detail/CVE-2012-4676
Categorie
CWE-59 : Risoluzione del collegamento non corretta prima dell'accesso al file ("Link Following")
Il prodotto tenta di accedere a un file in base al nome del file, ma non impedisce correttamente che il nome del file identifichi un collegamento o una scorciatoia che si risolve in una risorsa non prevista. Alcuni usano l'espressione "file temporaneo insicuro" quando si riferiscono a una debolezza che segue un collegamento, ma altre debolezze possono produrre file temporanei insicuri senza alcun coinvolgimento di symlink. Lo "Zip slip" è un attacco che utilizza archivi di file (ad esempio, ZIP, tar, rar, ecc.) che contengono nomi di file con sequenze di attraversamento del percorso che causano la scrittura dei file al di fuori della directory in cui ci si aspetta che l'archivio venga estratto [REF-1282]. È più comunemente usato per l'attraversamento di percorsi relativi (CWE-23) e per seguire i link (CWE-59). Alcune versioni di Perl seguono i collegamenti simbolici quando vengono eseguite con l'opzione -e, il che consente agli utenti locali di sovrascrivere file arbitrari tramite un attacco symlink. L'editor di testo segue i collegamenti simbolici quando crea una copia di salvataggio durante un'uscita anomala, il che consente agli utenti locali di sovrascrivere i file di altri utenti. L'aggiornamento dell'antivirus consente agli utenti locali di creare o aggiungere file arbitrari tramite un attacco symlink su un file di registro. L'attacco symlink consente agli utenti locali di sovrascrivere i file. Il gestore di finestre non gestisce correttamente il caso in cui alcuni collegamenti simbolici puntino a posizioni "stantie", il che potrebbe consentire agli utenti locali di creare o troncare file arbitrari. Vulnerabilità dei link simbolici di secondo ordine Vulnerabilità dei link simbolici di secondo ordine Symlink nel programma Python Il prodotto Setuid consente la lettura di file sostituendo un file in fase di modifica con un link simbolico al file desiderato, facendo trapelare il risultato nei messaggi di errore quando l'analisi fallisce. Il segnale provoca un dump che segue i link simbolici. Attacco con hard link, sovrascrittura di file; interessante perché il programma controlla i soft link Le vulnerabilità che seguono gli hard link ed eventualmente i link simbolici nel sistema operativo integrato consentono agli utenti locali di sovrascrivere file arbitrari. Il server crea collegamenti rigidi e scollega i file come root, il che consente agli utenti locali di ottenere privilegi cancellando e sovrascrivendo file arbitrari. Il sistema operativo consente agli utenti locali di effettuare un denial of service creando un hard link da un file speciale del dispositivo a un file su un file system NFS. Il gestore dell'hosting Web segue gli hard link, il che consente agli utenti locali di leggere o modificare file arbitrari. Il sistema di elenchi di pacchetti consente agli utenti locali di sovrascrivere file arbitrari tramite un attacco hard link sui file di blocco. Condizione di race link rigido Il client di posta consente agli aggressori remoti di aggirare l'avviso all'utente per gli allegati eseguibili come .exe, .com e .bat utilizzando un file .lnk che fa riferimento all'allegato, noto come "Stealth Attachment.". Il server FTP consente agli aggressori remoti di leggere file e directory arbitrari caricando un file .lnk (link) che punta al file di destinazione. Il server FTP consente agli aggressori remoti di leggere file e directory arbitrari caricando un file .lnk (link) che punta al file di destinazione. Il browser consente ai siti Web dannosi remoti di sovrascrivere file arbitrari inducendo l'utente a scaricare due volte un file .LNK (link), che sovrascrive il file a cui faceva riferimento il primo file .LNK. ".LNK." - .LNK con punto finale I rootkit possono aggirare le restrizioni di accesso ai file delle directory del kernel di Windows utilizzando la funzione NtCreateSymbolicLinkObject per creare un collegamento simbolico Il file system consente agli aggressori locali di nascondere le attività di utilizzo dei file tramite un collegamento diretto al file di destinazione, che fa sì che il collegamento venga registrato nell'audit trail al posto del file di destinazione. Il plugin del server Web consente agli utenti locali di sovrascrivere file arbitrari tramite un attacco symlink su nomi di file temporanei prevedibili. Un Libcontainer utilizzato in Docker Engine consente agli utenti locali di sfuggire alla containerizzazione e di scrivere su un file arbitrario sul sistema host tramite un attacco symlink in un'immagine al momento del respawn di un container. La vulnerabilità "Zip Slip" nel prodotto di registri Open Container Initiative (OCI) basato su Go consente di scrivere file arbitrari al di fuori della directory prevista tramite collegamenti simbolici o hard link in un tarball gzippato. La vulnerabilità "Zip Slip" nel prodotto per la gestione dei container consente di scrivere file arbitrari al di fuori della directory prevista tramite un'immagine del container (formato .tar) con nomi di file che sono collegamenti simbolici che puntano ad altri file all'interno dello stesso file tar; tuttavia, i file a cui si punta possono anche essere collegamenti simbolici a destinazioni al di fuori della directory prevista, aggirando il controllo iniziale.
Riferimenti
CONFIRM
FULLDISC Exploit
_MLIST
CPE
| cpe |
avviare |
fine |
| Configuration 1 |
| cpe:2.3:a:google:tunnelblick:*:*:*:*:*:*:*:* |
|
<= 3.3beta20 |
RIMEDIO
EXPLOITS
Exploit-db.com
| id |
descrizione |
data |
|
| Nessuna impresa nota |
Altro (github, ...)
CAPEC
Common Attack Pattern Enumerations and Classifications
| id |
descrizione |
gravità |
| 132 |
Attacco Symlink
Un avversario posiziona un link simbolico in modo tale che l'utente o l'applicazione mirata acceda all'endpoint del link, assumendo che stia accedendo ad un file con il nome del link. [Identificare il bersaglio] L'avversario identifica l'applicazione bersaglio determinando se c'è un controllo sufficiente prima di scrivere dati su un file e creando collegamenti simbolici a file in diverse directory. [Cercare di creare collegamenti simbolici a diversi file] L'avversario usa poi una varietà di tecniche, come il monitoraggio o l'indovinare per creare collegamenti simbolici ai file a cui accede l'applicazione bersaglio nelle directory che sono state identificate nella fase di esplorazione. [L'applicazione bersaglio opera sui collegamenti simbolici creati ai file sensibili] L'avversario è in grado di creare collegamenti simbolici ai file sensibili mentre l'applicazione bersaglio opera sul file. |
Alto |
| 17 |
Utilizzo di file dannosi
Un attacco di questo tipo sfrutta la configurazione di un sistema che permette ad un avversario di accedere direttamente ad un file eseguibile, per esempio attraverso l'accesso alla shell; o in un possibile caso peggiore permette ad un avversario di caricare un file e poi eseguirlo. I server web, i server ftp e i sistemi middleware orientati ai messaggi che hanno molti punti di integrazione sono particolarmente vulnerabili, perché sia i programmatori che gli amministratori devono essere in sincronia per quanto riguarda le interfacce e i privilegi corretti per ogni interfaccia. [L'avversario cerca file o directory mal configurati su un sistema che potrebbero dare accesso eseguibile a un gruppo troppo ampio di utenti. [Se l'avversario scopre una directory che ha permessi eseguibili, tenterà di caricare un file dannoso da eseguire. [L'avversario esegue il file dannoso caricato, oppure esegue un file esistente che è stato mal configurato per consentire l'accesso eseguibile all'avversario. |
Molto alto |
| 35 |
Sfrutta il codice eseguibile in file non eseguibili
Un attacco di questo tipo sfrutta la fiducia del sistema nei file di configurazione e di risorse. Quando l'eseguibile carica la risorsa (come un file di immagine o un file di configurazione), l'autore dell'attacco ha modificato il file per eseguire direttamente codice dannoso o manipolare il processo di destinazione (ad esempio il server delle applicazioni) da eseguire in base ai parametri di configurazione dannosi. Poiché i sistemi sono sempre più interconnessi e combinano risorse da fonti locali e remote, la possibilità che si verifichi questo attacco è elevata. |
Molto alto |
| 76 |
Manipolazione dell'input web alle chiamate al file system
Un attaccante manipola gli input al software di destinazione che il software di destinazione passa alle chiamate al file system nel sistema operativo. L'obiettivo è quello di ottenere l'accesso a, e forse modificare, aree del file system che il software di destinazione non intendeva fossero accessibili. [Per creare un'iniezione di file valida, l'attaccante ha bisogno di sapere qual è il sistema operativo sottostante in modo da utilizzare il separatore di file appropriato. [Esaminare l'applicazione per identificare gli input controllabili dall'utente] L'attaccante esamina l'applicazione di destinazione per identificare tutti gli input controllabili dall'utente, possibilmente come utente valido e autenticato [Variare gli input, cercando risultati dannosi] A seconda che l'applicazione sfruttata sia remota o locale, l'attaccante crea l'input dannoso appropriato contenente il percorso del file mirato o altra sintassi di controllo del file system da passare all'applicazione [Manipolare i file accessibili dall'applicazione] L'attaccante può rubare informazioni o manipolare direttamente i file (eliminare, copiare, cancellare ecc.) |
Molto alto |
MITRE
Tecniche
| id |
descrizione |
| T1027.006 |
File o informazioni offuscate: Contrabbando di HTML |
| T1027.009 |
File o informazioni offuscate: Payload incorporati |
| T1547.009 |
Esecuzione dell'avvio automatico di boot o logon: modifica della scorciatoia |
| T1564.009 |
Nascondere gli artefatti: Biforcazione delle risorse |
| T1574.005 |
Flusso di esecuzione del dirottamento: debolezza dei permessi del file di installazione eseguibile |
| T1574.010 |
Flusso di esecuzione dell'hijack: debolezza dei permessi di ServicesFile |
| © 2022 The MITRE Corporation. Questo lavoro è riprodotto e distribuito con il permesso di The MITRE Corporation. |
Mitigazioni
| id |
descrizione |
| T1027.009 |
Su Windows 10, attivare le regole di riduzione della superficie di attacco (ASR) per impedire l'esecuzione di script potenzialmente offuscati. |
| T1547.009 |
Limitare le autorizzazioni per chi può creare collegamenti simbolici in Windows ai gruppi appropriati, come gli amministratori e i gruppi necessari per la virtualizzazione. Questo può essere fatto tramite GPO: Configurazione computer > [Criteri] > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Assegnazione diritti utente: Crea collegamenti simbolici. |
| T1564.009 |
Configurare le applicazioni in modo che utilizzino la struttura del bundle dell'applicazione che sfrutta la posizione della cartella <code>/Resources</code>. |
| T1574.005 |
|
| T1574.010 |
|
| © 2022 The MITRE Corporation. Questo lavoro è riprodotto e distribuito con il permesso di The MITRE Corporation. |
Sherlock® flash
Fotografate la vostra rete di computer in pochi clic !
La soluzione di audit Sherlock® flash consente di eseguire un audit per rafforzare la sicurezza delle risorse IT. Scansione delle vulnerabilità delle apparecchiature fisiche e virtuali. Pianificazione delle patch in base al livello di priorità e al tempo disponibile. Reporting dettagliato e intuitivo.
Scopri questa offerta
