Les utilisateurs de Linux qui font usage de l’environnement de bureau KDE Plasma doivent appliquer des correctifs contre une vulnérabilité qui permet l’exécution de code arbitraire à partir d’une clé USB. L’équipe KDE Plasma a mis les versions 5.8.9 et 5.12.0 à la disposition du public pour corriger la faille référencée CVE-2018-6791.
Le problème réside dans la façon dont l’environnement de bureau interprète les noms de volume. « Lorsqu’une clé USB (formatée en VFAT) qui contient les caractères “ ou $() au sein de son nom de volume est connectée et montée au travers de l’outil de notification de connexion de périphériques (Device Notifier), il [le nom de volume] est interprété comme une commande shell », écrit l’équipe sécurité de KDE dans sa note d’information. « Un exemple de nom de volume malicieux est “$(touch b)”. Ce dernier provoque la création d’un fichier appelé b au sein du répertoire home », ajoute l’équipe sécurité KDE.
Dit de façon plus simple pour les non-férus en informatique, un pirate peut insérer du code malicieux dans le nom de volume d’une clé USB et le faire exécuter sur un poste cible. Il suffit que la victime monte le périphérique (formatée pour la circonstance en VFAT par l’attaquant) au travers de KDE pour visualiser son contenu. L’équipe KDE conseille aux utilisateurs qui pour une raison ou pour une autre ne pourront pas effectuer la mise à jour de monter la clé USB via le gestionnaire de fichiers Dolphin. Une autre méthode plus adaptée aux as de l’informatique consisterait aussi à faire usage de la commande mount.
L’exploitation de la faille requiert un accès physique au poste de la victime certes, mais quand on y pense une vulnérabilité de ce type ouvre des portes sans qu’il soit nécessaire que l’attaquant dispose de privilèges particuliers. Un pirate talentueux pourrait s’appuyer sur la véritable vulnérabilité ici qu’est l’homme pour accéder au fameux moteur d’administration Intel présent sur les cartes mères des PC. De plus en plus de fabricants s’attèlent à livrer leurs machines avec ce petit microcontrôleur situé dans le pont sud désactivé. Un accès à ce dernier permettrait alors à l’attaquant de le réactiver. De quoi se frotter les mains ensuite quand on sait que le composant aurait été réservé à des agences gouvernementales américaines pour espionner les possesseurs d’ordinateurs à base de processeurs Intel livrés après 2008.
Quels autres cas d’exploitation entrevoyez-vous ?
