Una investigación llevada a cabo por SafeBreach Labs avisa sobre la posible utilización de extensiones de terceros para editores de texto con código malicioso que puede ejecutarse tras escalar los privilegios con los que se ejecuta la aplicación.
La utilización de extensiones de terceros para llevar a cabo ataques no es algo precisamente nuevo, de hecho tanto Google como Mozilla han aplicado restricciones en lo que se refiere a su instalación en Chrome/Chromium y Firefox. SafeBreach Labs pone como ejemplo tareas de Cron mal configuradas que pueden habilitar la ejecución con altos privilegios de plugins de terceros con código malicioso en su interior.
SafeBreach Labs ha investigado a algunos de los editores de texto y de código extensibles más utilizados del mercado. Las aplicaciones modernas dentro de este segmento ofrecen la posibilidad de mejorar o añadir funcionalidades mediante extensiones, las cuales muchas veces pueden contener vulnerabilidades o código malicioso que son un riesgo para el usuario y el sistema. Los investigadores han examinado los siguientes editores de texto y de código para entornos Unix y Linux:
Sublime Text.Los investigadores de SafeBreach Labs han encontrado en esos editores una separación inadecuada de los modos regulares y elevados. La integridad de los permisos de la carpeta no es mantenida adecuadamente, abriendo la puerta a que un atacante con permisos de un usuario normal pueda elevarlos para ejecutar código arbitrario.
Vim.
Emacs.
Gedit.
pico/nano.
Básicamente, lo único que tiene que hacer el atacante es colocar en la carpeta de configuración del editor de código un complemento malicioso y esperar a que el usuario abra la aplicación con una elevación de privilegios para así provocar el mayor daño posible. Para mitigar los problemas que pueden provocar los plugins de terceros se pueden seguir los siguientes consejos:
Implementar normas de monitorización OSEC.
Denegar los permisos de escritura a los usuarios sin privilegios.
Cambiar los modelos de permisos sobre ficheros y carpetas para asegurar la separación entre los modos regular y elevados.
Evitar la carga de plugins de terceros cuando el editor es ejecutado sobre privilegios elevados.
Ofrecer un manual de interfaz para aprobar la carga elevada de los plugins.
La información sobre los problemas de seguridad hallados en algunos de los editores de texto y de código más conocidos se puede descargar aquí, mientras que SafeBreach Labs ya ha avisado a los desarrolladores de las aplicaciones afectadas.
No hay comentarios:
Publicar un comentario