Атака на Linux-системы через запуск кода при вставке USB-накопителя

Джон Лаример (Jon Larimer) из подразделения IBM X-Force продемонстрировал потенциальную подверженность настольных Linux-систем атакам, связанным с распространением вредоносного кода через организацию автоматического выполнения кода после вставки USB-накопителя.

Спецификации freedesktop.org определяют возможность запуска скриптов autorun.sh и .autorun при подключении нового носителя, но обязательно при этом требуют вывода подтверждения данной операции от пользователя, не выполняя никаких действий автоматически. Тем не менее, во время подключения USB-накопителя в системе выполняется множество действий, таких как выполнение кода драйверов, автоматическое монтирование файловых систем и построение эскизов изображений десктоп-приложениями. При наличии уязвимости в любом из этих компонентов, ее можно использовать для организации автоматического выполнения кода.

В качестве примеров, рассмотрено несколько уязвимостей в USB-драйвере, которые можно эксплуатировать для выполнения своего кода, но для этого необходимо как минимум использование специальных программируемых USB-плат (успешность подобной техники не так давно была продемонстрирована на примере взлома приставок Sony PlayStation 3). Намного проще сформировать на обычном USB Flash специальным образом поврежденный образ файловой системы, направленный на эксплуатацию уязвимостей в коде файловых систем (например, в конце 2009 года в ФС ext4 была исправлена подобная уязвимость, которая при попытке монтирования специально скомпонованной ФС могла привести к выполнению кода злоумышленника с привилегиями ядра).

После выполнения монтирования следующим этапом является запуск специфичных десктоп-приложений. Например, в Ubuntu автоматически запускается файловый менеджер GNOME Nautilus, который сразу начинает процесс построения эскизов для присутствующих на подключенном накопителей PDF-файлов, шрифтов, изображений и видео-роликов. Если обнаружение уявзимости в файловых системах и драйверах является единичным явлением, то проблемы безопасности в коде библиотек для обработки изображений и в парсерах PDF находят более-менее регулярно. Последняя уязвимость в libpng и Evince, которые задействованы при формировании эскизов, была найдена 2 недели назад, уязвимость в libtiff была исправлена прошлым летом, последняя уязвимость в FreeFont была исправлена в ноябре.

В конце выступления была продемонстрирована работающая техника организации выполнения кода при вставке USB Flash в систему с Ubuntu 10.10. Для организации выполнения кода использовалась уязвимость в коде приложения Evince, используемого в Nautilus для формирования эскизов для DVI-документов. При этом используемые в Ubuntu методы защиты AppArrmor, ASLR (рандомизация адресного пространства) и NX (неисполняемые области памяти), а также активный в момент вставки накопителя хранитель-экрана, не смогли помешать проведению атаки.

©  OpenNet