info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

هک شدن بدون اجرای بدافزار‍!

خلاصه: وجود آسیب‌پذیری در محیط دسکتاپ KDE لینوکس امکان هک سیستم را بدون اجرای بدافزار فراهم می‌نماید. این آسیب‌پذیری وصله شده و نیاز است به‌روز‌رسانی هرچه زودتر انجام شود.

 

اگر محیط دسکتاپ KDE را روی سیستم عامل لینوکس خود اجرا می‌کنید ، باید بسیار مراقب باشید و از دانلود هر نوع فایل با پسوند ".desktop" یا ".directory" برای مدتی خودداری کنید.

یک محقق امنیت سایبری، یک آسیب‌پذیری در فریم‌ورک نرم‌افزار KDE را فاش کرده است که اجازه می‌دهد تا فایل‌هایی با پسوند های ".desktop" یا ".directory"  بدون اجرا شدن آن‌ها توسط کاربر، خیلی آرام و بدون اختلال کد‌های دلخواهی روی کامپیوتر هدف  اجرا کنند. این آسیب‌پذیری که در قسمت تزریق فرمانKDE 4/5 Plasma desktop وجود دارد و علت آن شیوه اداره فایل‌هایی با پسوند".desktop" یا ".directory"  در KDE desktop است. بدین شکل که فایل‌هایی با پسوند .desktop و .directory که از دستورات پوسته پشتیبانی می‌کنند ایجاد شده‌اند تا به صورت پویا یک مقدار را به ورودی‌های مختلف KConfig اختصاص دهند. در ادامه مهاجمین این امکان را می‌یابند که پوشه‌ها یا دایرکتوری مخربی را ایجاد کنند و نهایتا در هنگام باز کردن یک پوشه از سوی کاربر، کد مخرب اجرا شود.

به این ترتیب هنگامی که فایل هایی با پسوند‌های ".desktop"  یا ".directory" دانلود می‌شوند، با استفاده از KConfigPrivate::expandString()‎ و بکار‌گیری تابع  KConfigGroup :: readEntry ()‎ "متغیرهای محیطی" و "گسترش پوسته" به شکلی نا‌امن ارزیابی می‌شوند.

بهره‌برداری از این نقص، ساده است و با کمک مهندسی اجتماعی انجام می‌شود؛ زیرا یک مهاجم نیاز به فریب کاربر KDE در دانلود یک فایل مخرب با پسوند ".desktop" یا ".directory"  دارد.

طبق گفته توسعه دهندگان، KConfig می‌تواند توسط افراد متخلف مورد سوءاستفاده قرار بگیرد تا کاربران KDE چنین فایل‌هایی را بدون اینکه خود اقدامی بکنند نصب کرده و نهایتا کد مخرب اجرا شود.

در ابتدا، توسعه‌دهندگان KDE به کاربران توصیه می‌کردند که برای جلوگیری از آسیب‌پذیری یاد شده ، از هر نوع فایل با پسوند ".desktop" یا  ".directory"و استخراج پوشه‌های بایگانی از منابع غیر‌قابل‌اعتماد بپرهیزند.

آسیب‌پذیری اجرای کد در KDE desktop manager با حذف پشتیبانی از دستورات پوسته در پیکربندی سیستم KConfig  برطرف شده است. این تصمیم از سوی KDE برای رفع این آسیب‌پذیری گرفته شده است تا پشتیبانی از دستورات پوسته را در ورودی‌های KConfig حذف کند؛ اما همچنان به پشتیبانی از گسترش متغیرهای محیطی ادامه می دهد.

کاربران KDE می توانند با به‌روزرسانی kconfig به نسخه ۵.۶۱.۰ یا بالاتر این آسیب‌پذیری را برطرف کنند یا وصله‌های مربوطه را اعمال کنند.  به کاربران KDE 4 هم  توصیه می‌شود این وصله را اعمال کنند.

    

مطالب مرتبط