This is not a bug, this is a feature!
Quante volte, scherzando, abbiamo sentito dire o detto questa frase? Questi due elementi, i bug e le feature, sono comunque legati indissolubilmente, volente o nolente: se c’è un bug, questo è introdotto da una data feature.
Nel caso in questione il bug era all’interno del KDE Framework e, nel caso specifico, permetteva l’esecuzione di codice malevolo semplicemente guardando un file .desktop.
Assolutamente preoccupante.
Il problema è saltato fuori all’inizio di questa settimana, in cui il ricercatore Domink Penner ha pubblicato un PoC (Proof of Concept – ovvero una dimostrazione pratica in questo contesto) che mostrava come creare un file ad-hoc che, se letto da KDE (le versioni impattate sono la 4 e la 5), permette di eseguire codice arbitrario sul computer. La cosa estremamente critica è che KDE ha la tendenza ad interpretare questi file costantemente quindi anche la semplice operazione di apertura in Dolphin (il file manager di KDE) della cartella contenente il file .desktop in questione, portava all’esecuzione del codice.
Cosa ancora più incredibile è che l’intera spiegazione su come eseguire questa operazione, oltre che un breve video che la dimostra in pratica, sta tranquillamente all’interno di un Tweet:
KDE 4/5 KDesktopFile (.desktop) Command Injection.
— Dominik (@zer0pwn) August 5, 2019
Fits in a tweet.
[Desktop Entry]
Icon[$e]=$(echo${IFS}0>~/Desktop/zero.lol&)https://t.co/Iy3UPrSuhE#redteam #0day #security #bugbounty #bugbountytip #bugbountytips #kde #rce #zerodotlol #zerolol pic.twitter.com/QRtX9Kwd1w
Inoltre, questa vulnerabilità è stata resa pubblica senza avvisare preventivamente gli sviluppatori di KDE, costringendoli a ricorrere ai ripari nel più breve tempo possibile. Motivo per cui l’operazione è stata quella di rimuovere il supporto ai comandi shell come valori nei file KConfig (.desktop e .directory, appunto), feature implementata intenzionalmente per rendere più flessibile il desktop.
A file manager trying to find out the icon for a file or directory could end up executing code, or any application using KConfig could end up executing malicious code during its startup phase for instance […] After careful consideration, the entire feature of supporting shell commands in KConfig entries has been removed, because we couldn’t find an actual use case for it
Un file manger, tendando di trovare l’icona corretta per un file o una directory, si ritrova ad eseguire il codice o, ad esempio, una qualsiasi applicazione che utilizzi KConfig potrebbe eseguire il codice malevolo durante la sua fase di avvio […] Dopo un’attenta valutazione, l’intera funzionalità di supportare i comandi shell nelle voci KConfig è stata rimossa, perchè non ne troviamo un reale uso pratico.
Questo è quanto viene detto nel KDE Security Advisor relativo a questa vulnerabilità, in cui però si esorta chiunque usi quella feature a contattare KDE per determinare una nuova soluzione sicura al problema.
Quindi, in preparazione alla grigliata di Ferragosto, come sempre, aggiornate, aggiornate, aggiornate!
Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Lascia un commento