Microsoftは、Linuxデスクトップで一般的に使用されているシステムコンポーネントに、root権限への昇格、マルウェアのインストールを可能にする複数の脆弱性があることが分かったとしている。
標的となったLinuxデスクトップで攻撃者がroot権限を取得した場合、root権限で動作するバックドアなどのペイロードをインストールしたり、root権限で動作する任意のコードを実行し、悪質なアクションを実行できるようになる恐れがあるという。Microsoftは、Linuxデスクトップで攻撃者が特権昇格に利用できるこの複数の脆弱性を「Nimbuspwn」と呼んでいる。
Microsoftはブログで、「さらにNimbuspwnは、マルウェアやランサムウェアといったより洗練された攻撃を通じてルート権限を得るためのベクターとして悪用され、脆弱性を抱えた機器に対してより大きな影響を与える可能性もある」と説明している。
Microsoftが発見した2つの脆弱性はnetworkd-dispatcher内に潜んでいた。「CVE-2022-29799」「CVE-2022-29800」とされており、networkd-dispatcherのメンテナーによってフィックスが導入されている。Microsoftは、root権限で動作するサービスのコードレビューと動的解析を実施するために、System Bus上のメッセージをリッスンしていたところ、networkd-dispatcher内に奇妙なパターンが存在していたことが分かり、脆弱性を発見したとしている。
Desktop Bus(D-Bus)を開発しているのはfreedesktop.orgプロジェクトだ。networkd-dispatcherはClayton Craft氏によってメンテナンスされている。Craft氏は、Microsoftが発見した脆弱性に対処するためにコンポーネントをアップデート済みだ。
D-Busのコンポーネントは攻撃者にとって格好の標的といえる。「Linux Mint」といった一般的なデスクトップLinuxディストリビューションに多くのD-Busコンポーネントがデフォルトで搭載されている。このコンポーネントは異なった権限で実行され、メッセージに応答する。例えば、ビデオ会議アプリは通話の開始を示すD-Busシグナルを送信すれば、リッスンしているすべてのアプリが、例えば音声をミュートにするなど、適切に対応できる。
D-Busは、攻撃者にとってさらに望ましい標的へと誘導する恐れもある。それはSystem Busだ。Microsoft 365 Defender Research TeamのJonathan Bar Or氏は、System Bus上のメッセージをリッスンする過程で、networkd-dispatcher内に存在する脆弱性を発見した。
Or氏はブログで、「D-BusにはグローバルなSystem Busとセッション単位のSession Busがある。System Busは一般的に、root権限で動作しているサービスがリッスンしているため、攻撃者の観点で見た場合、より魅力的な標的といえる」と説明している。
networkd-dispatcherで発見された問題には、ディレクトリートラバーサル、シンボリックリンクの競合、time-of-check-time-of-use(TOCTOU)競合条件といったセキュリティの問題があった。攻撃者はこれらの問題を組み合わせてroot権限への昇格を実行し、マルウェアをインストールできるようになる恐れがある。
Microsoftは、「われわれは、Clayton(Craft氏)のプロ意識とこれらの問題の解決に協力してくれたことを感謝したい。networkd-dispatcherのユーザーはこれらのインスタンスをアップデートするよう推奨される」としている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
