Trend Micro XDR-Lösungen entschärfen PwnKit-Lücke

Originalartikel von Sunil Bharti, Nitesh Surana, Threat Researchers

PolKit oder PolicyKit ist eine Komponente, die systemweite Richtlinien und Berechtigungen in Unix und Unix-ähnlichen Betriebssystemen  verwaltet und es nicht privilegierten Prozessen ermöglicht, mit privilegierten zu kommunizieren. PolKits pkexec wird in den meisten Linux-Distributionen mitgeliefert. Es ist ein Tool, das im Allgemeinen zur Ausführung von Befehlen mit erhöhten Rechten (Root-Berechtigungen) verwendet wird. Die Komponente ermöglicht es einem autorisierten Benutzer auch, Programme als ein anderer Nutzer (im Allgemeinen Root) auszuführen. Die Funktion ist gleichbedeutend mit „runas“ in Windows. Leider existiert seit über 12 Jahren in pkexec eine Lücke. Sicherheitsforscher veröffentlichten Memory Corruption Schwachstelle PwnKit. Sie erhielt die ID CVE-2021-4034 (mit 7,8 als hoch eingestuft) Die Lücke ermöglicht es einem Nutzer mit geringen Privilegien, seine Rechte bis zum Root-System des Hosts zu erweitern. Es wurden verschiedene Proofs of Concept in unterschiedlichen Sprachen (z. B. einige in C, Python, Bash und Go) erstellt. Akteure können Umgebungsvariablen in den Kontext des pkexec-Binaries einfügen. Dies ermöglicht eine Ausführung einer vom Angreifer kontrollierten Shared Library sowie das Ausführen von Code mit Root-Rechten. Sicherheitsteams wird empfohlen, dieses Problem so schnell wie möglich zu beheben oder vorübergehende Abhilfemaßnahmen zu ergreifen, während sie ihre jeweiligen Systeme aktualisieren. Wir zeigen, wie Trend Micro™ Vision One™ und Trend Micro™ Cloud One™ verwendet werden können, um den Missbrauch der Sicherheitslücke zu erkennen.

Trend Micro Cloud One™ – Workload Security

Mit der Plattform Trend Micro Cloud One – Workload Security können die folgenden Module für das Erkennen des Missbrauchs von CVE-2021-4034 eingesetzt werden:

  1. Activity Monitoring: Dieses Modul kann Prozess-, Datei- und Netzwerkaktivitäten auf Endpunkten erkennen, auf denen Workload Security läuft. In diesem Fall untersuchen wir die Prozess- und Datei-Aktivitäten, da es bei diesem Angriffsszenario keine Netzwerkkomponente gibt.
  2. Antimalware: bietet in Echtzeit Schutz vor Missbrauch der Schwachstelle und setzt dafür auf Verhaltensüberwachung.

Bild 1. Antimalware-Funktionen können den Missbrauch über einen Exploit erkennen

  1. Log Inspection: Das Modul kann die authentifizierungsbezogenen Ereignisse auf dem Host abgreifen. Bei der Ausführung des Proof of Concept ergeben sich Beobachtungen in /var/log/auth.log, aus denen wir verdächtige Aktivitäten in Bezug auf pkexec ableiten können. Die Regel 1002831 – Unix – Syslog Log Inspection kann potenziell die Ausnutzung von CVE-2021-4034 erkennen.

Trend Micro Vision One

Die Korrelation von Telemetriedaten und Erkennungen von Workload Security liefert einen ersten Sicherheitskontext, so dass Sicherheitsteams und Analysten die Bedrohungen, die CVE-2021-4034 missbrauchen könnten, verfolgen und überwachen können. Trend Micro Vision One bringt in Echtzeit mehr Details in die Wege und Ereignisse.

Observed Attack Techniques (OATs)

Diese beobachteten Angriffstechniken lassen sich aus einzelnen Ereignissen generieren und bieten zusätzlichen Sicherheitsmehrwert. Um die möglichen Missbrauchsversuche dieser Schwachstelle zu untersuchen, können wir nach diesen OAT-IDs in vielen anderen OAT-Triggern suchen, die verdächtige Aktivitäten auf dem buntu-Host anzeigen.

Die folgenden OAT IDs lassen sich bei der Suche nach Bedrohungen nutzen:

  • F2533 – Identified File Permission Change For CVE-2021-4034 Vulnerability Exploitation
  • F4875 – Identified Creation Of GCONV_PATH Directory For CVE-2021-4034 Vulnerability Exploitation
  • F4880 – Identified PkExec Run with Root Privileges
  • F4873 – Potential Exploitation of Polkit Vulnerability CVE-2021-4034
  • F4881 – Potential PwnKit CVE-2021-4034 Exploitation Traces Logged

Root Cause-Analyse (RCA)

Execution Profile ist eine Vision One-Funktion, die Diagramme für Sicherheitsteams erstellt. Sie lassen sich für Felder wie processCmd oder objectCmd aus den Such- oder Bedrohungsverfolgungs-Apps für Aktivitäten erweitern, die innerhalb eines bestimmten Zeitrahmens beobachtet wurden, wie z. B. die Erstellung von Prozessen sowie von Dateien und eingehende und ausgehende Netzwerkaktivitäten. Mithilfe der RCAs können die Ausführungsdetails und die Reihenfolge herausgefunden werden. Die Einzelheiten dazu hat der Originalbeitrag

Trend Micro Vision One Workbench App

Die App unterstützt Analysten dabei, die signifikanten korrelierten Ereignisse intelligent auf der Grundlage der Vorkommnisse in allen Workloads zu erkennen.

Bild 2. Zuordnung von gefährdeten Assets und potenziell betroffenen Arealen.

Die linke Seite des Diagramms zeigt die zusammengefasste Abfolge von Ereignissen. Auf der rechten Seite werden die verschiedenen als wichtig erachteten Bereiche angezeigt, die einen Sicherheitswert darstellen. Die App ermöglicht es den Sicherheitsteams, die kompromittierten Ressourcen zu sehen und diejenigen zu isolieren, die potenziell betroffen sein könnten, während die Patching-Prozeduren im Gange sind.

Fazit

B Basierend auf unseren Tests können Sicherheitsteams einen manuellen Workaround durchführen, indem sie nach den folgenden Zeichenfolgen in der Datei /var/log/auth.log suchen:

  1. „The value for the SHELL variable was not found the /etc/shells file“
  2. „The value for environment variable * contains suspicious content,“ wobei * alles Mögliche wie SHELL oder XAUTHORITY sein kann (in unserem Fall war es XAUTHORITY).

Pfadadministratoren können unterdessen die Schwachstelle vorübergehend entschärfen, indem sie die setuid-Berechtigung aus dem pkexec-Binary entfernen.

Die Wahrscheinlichkeit, dass Angreifer diese Sicherheitslücke missbrauchen und ausnutzen, ist hoch. In Anbetracht der zahlreichen Beweise, die seit deren Aufdeckung aufgetaucht sind, ist es nur eine Frage der Zeit, bis Angreifer einen Exploit dafür in ihre Kampagnen und ihr Angriffsarsenal aufnehmen. Alle großen Linux-Distributoren wie RedHat, Debian, Ubuntu, CentOS und Suse gelten als anfällig.

Diese Schwachstelle kann in jeder Umgebung ausgenutzt werden, in der Angreifer bereits Fuß gefasst haben, von Krypto-Mining über Malware-Infektionen bis hin zu Cyberspionage. Wie die Sicherheitsforscher erklärten, gilt sie als einfach anzugreifen, verschafft dem Angreifer Root-Rechte, kann für laterale Bewegungen genutzt werden und ist selbst dann auszunutzen, wenn der Polkit-Daemon selbst nicht läuft. Doch beim Einsatz dieser Techniken bleiben bei ihrer einfachsten Ausführung Aktivitätsspuren in den Protokollen. Sicherheitsteams wird empfohlen, die erforderlichen Patches so bald wie möglich zu installieren und alle geeigneten Lösungen zur Erkennung und Blockierung von Missbrauch zu aktivieren.

Weitere Details wie eine Übersicht über MITRE ATT&CK-Techniken beinhaltet der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.