jueves, 8 de agosto de 2019

Los escritorios Linux de KDE podrían ser hackeados sin siquiera abrir archivos maliciosos


Si está ejecutando un entorno de escritorio KDE en su sistema operativo Linux, debe tener mucho cuidado y evitar descargar un archivo ".desktop" o ".directory" por un tiempo.

Un investigador de ciberseguridad ha revelado una vulnerabilidad de día cero sin parches en el marco de software de KDE que podría permitir que los archivos .desktop y .directory creados de forma malintencionada ejecuten silenciosamente código arbitrario en la computadora de un usuario, sin siquiera requerir que la víctima realmente lo abra.

KDE Plasma es uno de los entornos de escritorio basados ​​en widgets de código abierto más populares para usuarios de Linux y viene como un entorno de escritorio predeterminado en muchas distribuciones de Linux, como Manjaro, openSUSE, Kubuntu y PCLinuxOS.

El investigador de seguridad Dominik Penner, quien descubrió la vulnerabilidad, contactó a The Hacker News, informando que hay una vulnerabilidad de inyección de comandos en el escritorio KDE 4/5 Plasma debido a la forma en que KDE maneja los archivos .desktop y .directory.

"Cuando se crea una instancia de un archivo .desktop o .directory, evalúa de forma insegura las variables de entorno y las expansiones de shell mediante KConfigPrivate :: expandString () a través de la función KConfigGroup :: readEntry ()", dijo Penner.



Explotar esta falla, que afecta el paquete 5.60.0 de KDE Frameworks y versiones posteriores, es simple e implica algo de ingeniería social ya que un atacante necesitaría engañar al usuario de KDE para que descargue un archivo que contenga un archivo malicioso .desktop o .directory.

"El uso de un archivo .desktop especialmente diseñado para un usuario remoto podría verse comprometido simplemente descargando y visualizando el archivo en su administrador de archivos, o arrastrando y soltando un enlace en sus documentos o escritorio", explicó el investigador.

"Teóricamente, si podemos controlar las entradas de configuración y activar su lectura, podemos lograr la inyección de comandos / RCE".

Como prueba de concepto, Penner también publicó código de explotación para la vulnerabilidad junto con dos videos que demuestran con éxito los escenarios de ataque que explotan la vulnerabilidad de inyección de comandos de KDE KDesktopFile.

Aparentemente, el investigador no informó sobre la vulnerabilidad a los desarrolladores de KDE antes de publicar los detalles y las vulnerabilidades de PoC, dijo KDE Community al tiempo que reconoció la vulnerabilidad y aseguró a los usuarios que una solución está en camino.

"Además, si descubre una vulnerabilidad similar, es mejor enviar un correo electrónico security@kde.org antes de hacerlo público. Esto nos dará tiempo para parchearlo y mantener a los usuarios seguros antes de que los malos intenten explotarlo", KDE Comunidad dijo.

Mientras tanto, los desarrolladores de KDE recomendaron a los usuarios que "eviten descargar archivos .desktop o .directory y extraer archivos de fuentes no confiables" durante un tiempo hasta que se repare la vulnerabilidad.

Actualización: Vulnerabilidad de inyección de comandos en parches de KDE v5.61.0

Los desarrolladores de KDE han parcheado esta vulnerabilidad al eliminar toda la característica de admitir comandos de shell en los archivos KConfig, una característica intencional que KDE proporciona para una configuración flexible.

Según los desarrolladores, KConfig podría ser maltratado por delincuentes para hacer que los usuarios de KDE "instalen dichos archivos y ejecuten el código incluso sin una acción intencional del usuario".

"Un administrador de archivos que intenta encontrar el icono de un archivo o directorio podría terminar ejecutando código, o cualquier aplicación que use KConfig podría terminar ejecutando código malicioso durante su fase de inicio, por ejemplo", dijo KDE en su aviso de seguridad publicado el miércoles.

"Después de una cuidadosa consideración, se ha eliminado toda la función de admitir comandos de shell en las entradas de KConfig, porque no pudimos encontrar un caso de uso real. Si tiene un uso existente para la función, contáctenos para que podamos evaluar si sería posible proporcionar una solución segura ".

Se recomienda a los usuarios actualizar a la versión 5.61.0 de KDE Frameworks 5, mientras que a los usuarios de kdelibs se les recomienda aplicar el parche para kdelibs 4.14 provisto en el aviso de proyecto de KDE.


Fuente: https://thehackernews.com/
No olvides Compartir... 

Siguenos en twitter: @disoftin

No hay comentarios:

Publicar un comentario

Más leídas este mes