Vai al contenuto

I plugin per gli editor di testo più diffusi possono aiutare gli hacker a ottenere privilegi di livello elevato

Che tu sia uno sviluppatore, un designer o uno scrittore, un buon editor di testo ti aiuta sempre a risparmiare tempo e a lavorare in modo più efficiente.

Per esempio, io uso molto Sublime durante la programmazione perché include alcuni strumenti utili come 'l'evidenziazione della sintassi' e 'l'autocompletamento', funzionalità che a parer mio ogni editor di testo avanzato dovrebbe avere.

Inoltre, questi editor di testo avanzati offrono espandibilità agli utenti, consentendo loro di installare ed eseguire plugin di terze parti per estendere le funzionalità dell'editor e, soprattutto, il suo campo di applicazione.

Tuttavia, si sa che i plugin di terze parti presentano sempre un rischio considerevole di poter essere oggetto di hacking, sia che si tratti dei plugin WordPress o delle estensioni di Windows per Chrome, Firefox o Photoshop.

Dor Azouri, ricercatore di SafeBreach, ha analizzato diversi editor di testo espandibili, popolari per i sistemi Unix e Linux, tra cui Sublime, Vim, Emacs, Gedit e pico/nano, e ha scoperto che, ad eccezione di pico/nano, tutti gli altri sono vulnerabili a un difetto critico di escalation dei privilegi che potrebbe essere sfruttato dagli aggressori per eseguire codice dannoso sulle macchine delle vittime.

"Questo metodo ha successo indipendentemente dal file che viene aperto nell'editor, quindi anche le limitazioni comunemente applicate ai comandi sudo potrebbero non proteggere da esso", si legge nel documento [pdf].

"Gli utenti tecnici hanno occasionalmente bisogno di modificare i file di proprietà di root, e a tal fine devono aprire il loro editor con privilegi elevati, usando 'sudo'. Ci sono molte valide ragioni per elevare i privilegi di un editore".

Il problema risiede nel modo in cui questi editor di testo caricano i plugin. Secondo il ricercatore, c'è una separazione inadeguata tra le modalità regolari e quelle elevate al momento di caricare i plugin per questi editor.

L'integrità dei permessi delle loro cartelle non è mantenuta correttamente, il che apre la porta agli aggressori, con permessi utente regolari, per aumentare i loro privilegi ed eseguire codice a piacimento sulla macchina dell'utente.

Una semplice campagna di "malvertising" potrebbe consentire agli aggressori di diffondere estensioni dannose per gli editor di testo vulnerabili, consentendo loro di eseguire codice dannoso con privilegi elevati, installare malware e prendere il pieno controllo in remoto dei computer mirati.

Azouri suggerisce agli utenti Unix di utilizzare un sistema di rilevamento delle intrusioni open source basato su host, chiamato OSSEC, per monitorare attivamente l'attività del sistema, l'integrità dei file, i registri e i processi.

Gli utenti dovrebbero evitare di caricare plugin di terze parti quando l'editor possiede troppi permessi e anche negare i permessi di scrittura per gli utenti non esperti.

Azouri ha consigliato agli sviluppatori di editor di testo di modificare le cartelle e i modelli di autorizzazione dei file per completare la separazione tra modalità normale e modalità amministratore e, se possibile, fornire un'interfaccia manuale per gli utenti in modo da approvare il caricamento a livello amministratore di plugin.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *