Hacker nâng cao đặc quyền thông qua plugin cho text editor

Hacker nâng cao đặc quyền thông qua plugin cho text editor

Hầu hết các text editor (trình soạn thảo văn bản) hiện đại cho phép người dùng mở rộng chức năng của họ bằng cách sử dụng các plugin của bên thứ ba, theo cách này người dùng đang mở rộng bề mặt tấn công của họ. Bởi vì hacker có thể nâng cao đặc quyền thông qua plugin cho text editor.

Tuy nhiên, có một thực tế rằng sử dụng plugin cho text editor luôn tiềm tàng nguy cơ bị hack, cho dù đó là plugin WordPress hay phần mở rộng của Windows dành cho Chrome, Firefox hoặc Photoshop.

Nhà nghiên cứu Dor Azouri của SafeBeach đã phân tích một số text editor mở rộng phổ biến cho các hệ thống Unix và Linux, bao gồm Sublime, Vim, Emacs, Gedit, và pico/nano, và nhận thấy rằng ngoại trừ pico/nano, tất cả chúng đều dễ dàng bị tấn công. Hacker thông qua lỗ hổng thực hiện kĩ thuật leo thang đặc quyền (privilege escalation) để chạy mã độc trên máy tính nạn nhân.
Hacker nâng cao đặc quyền thông qua plugin cho text editor
Tập hợp các text editor đã được đưa vào thử nghiệm bao gồm: Sublime, Vim, Emacs, Gedit, pico/nano

“Phương pháp này thành công đối với cả tập tin đang được mở trong trình soạn thảo. Do đó, ngay cả những hạn chế thường được áp dụng cho các lệnh sudo cũng không trở thành ngoại lệ với phương pháp này.”

“Người sử dụng kỹ thuật đôi khi cần phải chỉnh sửa các tập tin gốc, và vì lý do đó, họ sẽ mở trình soạn thảo của mình với các đặc quyền được nâng lên nhờ sử dụng ‘sudo.’ Có rất nhiều lý do hợp lệ để nâng cao đặc quyền của một trình biên tập.”

Sự cố nằm trong cách mà text editor tải plugin. Theo nhà nghiên cứu, không có sự tách biệt giữa các chế độ thông thường và nâng cao khi tải các plugin cho các trình biên tập này.

Bởi vì tính toàn vẹn quyền truy cập thư mục (folder permissions integrity) của người dùng không được duy trì chính xác nên điều này tạo cơ hội cho những kẻ tấn công với quyền người dùng thông thường có thể nâng cao đặc quyền của họ và thực thi mã tùy ý trên máy của người dùng.

Một chiến dịch malvertising (quảng cáo độc hại) đơn giản có thể cho phép kẻ tấn công lan rộng các chương trình độc hại tới các text editor, thông qua chương trình này hacker có thể chạy mã độc với các đặc quyền nâng cao, cài đặt malware và kiểm soát các máy tính mục tiêu.

Azouri khuyến khích người dùng Unix sử dụng một hệ thống phát hiện xâm nhập mã nguồn mở dựa trên máy chủ lưu trữ gọi là OSSEC để chủ động giám sát hoạt động của hệ thống, sự toàn vẹn các tập tin, bản ghi và tiến trình.

Người dùng nên tránh tải plugin của bên thứ ba khi trình chỉnh sửa được nâng lên và cũng nên từ chối quyền ghi đối với những người dùng không nâng cao đặc quyền.

Azouri khuyên các nhà phát triển text editor thay đổi mô hình truy cập tập tin và thư mục (the folders and file permission models) để hoàn tất quá trình tách biệt giữa các chế độ thông thường và nâng cao. Nếu có thể thì hãy cung cấp một giao diện sử dụng bằng tay để người dùng phê duyệt trình tải nâng cao của các plugin, để từ đó ngăn cản hacker tiếp cận plugin cho text editor.