近日名為 Nimbuspwn 的漏洞組合被曝光，可以讓本地攻擊者在 Linux 系統(tǒng)上提升權(quán)限，部署從后門到勒索軟件等惡意軟件。微軟的安全研究人員在今天的一份報告中披露了這些問題，并指出它們可以被串聯(lián)起來，在一個脆弱的系統(tǒng)上獲得 root 權(quán)限。

Nimbuspwn 存在于 networkd-dispatcher 組件，該組件用于在 Linux 設(shè)備上發(fā)送連接狀態(tài)變化，目前已經(jīng)以 CVE-2022-29799和CVE-2022-29800進(jìn)行追蹤。

發(fā)現(xiàn)這些漏洞是從“監(jiān)聽系統(tǒng)總線上的消息”開始的，這促使研究人員審查 networkd-dispatcher 的代碼流。微軟研究員Jonathan Bar Or在報告中解釋說，Nimbuspwn 的安全缺陷是指目錄穿越、符號鏈接競賽和檢查時間-使用時間(TOCTOU)競賽條件問題。

一個引起興趣的觀察結(jié)果是，networkd-dispatcher守護(hù)進(jìn)程在啟動時以系統(tǒng)的根權(quán)限運(yùn)行。研究人員注意到，該守護(hù)進(jìn)程使用了一種名為"_run_hooks_for_state"的方法，根據(jù)檢測到的網(wǎng)絡(luò)狀態(tài)發(fā)現(xiàn)并運(yùn)行腳本。

它使用名為 subprocess.Popen 的進(jìn)程運(yùn)行上述位置的每個腳本，同時提供自定義環(huán)境變量。微軟的報告解釋說，"_run_hooks_for_state"有多個安全問題。

• 目錄遍歷(CVE-2022-29799)：流程中沒有一個函數(shù)對OperationalState或AdministrativeState進(jìn)行消毒。這些狀態(tài)被用來建立腳本路徑，因此一個狀態(tài)可能包含目錄遍歷模式(例如".../.../")，以逃離"/etc/networkd-dispatcher"基本目錄。
• 符號鏈接競賽：腳本發(fā)現(xiàn)和subprocess.Popen都遵循符號鏈接。
• 檢查時間-使用時間(TOCTOU)競賽條件(CVE-2022-29800)：腳本被發(fā)現(xiàn)和它們被運(yùn)行之間有一定時間。攻擊者可以濫用這個漏洞，將networkd-dispatcher認(rèn)為由root擁有的腳本替換成不屬于root的腳本。