Tecnologia

Brecha que existe há sete anos no Linux permite que hackers tenham acesso root

By - Luiz Nogueira, 11 junho 2021 às 16:00

Uma vulnerabilidade, que estava presente em distribuições Linux há sete anos, foi corrigida na última semana. O problema é uma falha de segurança de escalonamento de privilégios que, quando explorada, poderia permitir que criminosos tivessem acesso root ao sistema para realizar diversas ações.

A descoberta do problema foi feita por um pesquisador de segurança chamado Kevin Backhouse. Ele revelou que o bug (conhecido como CVE-2021-3560) está presente no chamado polkit (componente ligado ao controle dos privilégios do sistema) associado ao systemd.

Introduzido originalmente no commit bfa5036 há sete anos e inicialmente distribuído no polkit versão 0.113, o bug estava presente em muitas distribuições Linux diferentes. Em um exemplo, o problema não estava no Debian 10, mas chegou à versão instável do Debian, em que outros distros, como o Ubuntu, são baseados.

Backhouse disse que a falha é surpreendentemente fácil de explorar. Ele cita que o uso do comando dbus-send, adotado para comunicação entre processos é o mais comum.

Quando executado e anulado no meio da solicitação, um erro é gerado. No entanto, em vez de rejeitar a solicitação, o polkit a trata como se viesse de um processo legítimo. “A maior ameaça dessa vulnerabilidade é a confidencialidade e integridade dos dados, bem como a disponibilidade do sistema”, alerta Backhouse.

Problema de anos no Linux

O especialista ainda afirma que, o motivo que deve ter feito o problema não ser detectado por tanto tempo é sua natureza intermitente. Isso porque, para acionar a vulnerabilidade, a desconexão deve acontecer no momento certo para que o privilégio seja elevado.

Como há muitos processos acontecendo ao mesmo tempo no Linux, o momento correto varia para cada execução do sistema. Por conta disso, podem ser necessárias muitas tentativas para que funcione.

De qualquer forma, o problema já possui solução. Basta verificar qual versão do polkit o sistema Linux possui e, se estiver disponível, fazer a atualização para evitar que esse problema afete o dispositivo.

Via: The Register

destaque Destaques falha de segurança Linux segurança sistema Tecnologia vulnerabilidade

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscribe
Notify of
0 Comentários
Inline Feedbacks
View all comments

Matérias relacionadas

Google agora admite que poderia coletar dados de navegação anônima dos usuários

Microsoft lança versão paga do Copilot

Microsoft testa novo padrão USB4 2.0 de até 80 Gbps no Windows 11

Veja Também

Google Chrome
Tecnologia

Google agora admite que poderia coletar dados de navegação anônima dos usuários
Microsoft Copilot
Tecnologia

Microsoft lança versão paga do Copilot
Microsoft testa novo padrão USB4 2.0 de até 80 Gbps no Windows 11
Tecnologia

Microsoft testa novo padrão USB4 2.0 de até 80 Gbps no Windows 11
Tecnologia

Sem anúncio, OpenAI altera política de uso para permitir ‘clientes militares’