摘要
Microsoft 365 Defender团队发布了一篇博文,详细介绍了几个已识别的漏洞。这些漏洞允许恶意组织轻松提升Linux系统的权限,从而部署有效载荷、勒索软件或其他恶意行为。这些漏洞统称为Nimbuspwn,包括networkd-dispatcher中的一系列安全问题,具体包括目录遍历、符号链接竞争以及TOCTU竞争条件。
详细信息在其详细博文中有所介绍,更多信息将包含在两个请求的CVE中:CVE-2022-29799 和 CVE-2022-29800。在发布时,这些CVE ID 仍处于保留状态。
虽然此类漏洞需要本地shell访问权限才能利用,但对于在其Linux工作负载环境中使用networkd-dispatcher的用户而言,应将其视为重要问题。创建者已在Microsoft的指导下实施了补丁以解决此问题,受此漏洞影响的系统应立即实施。
在Elastic中检测Nimbuspwn活动
我们在Elastic的研究团队专注于构建一系列利用Elastic Security和OSquery的初始检测。
首先,希望了解其环境中哪些系统可能受到影响的用户需要确定已安装networkd-dispatcher的系统。
编写一个返回Networkd-Dispatcher已安装版本的OSquery搜索相对简单,一眼就能了解可能存在风险的系统。在上图截图中,我们可以看到一个示例主机,其版本号为2.1-2,特定于Ubuntu。根据发行版,您环境中安装的版本可能略有不同。下面提供了一个示例查询。
Select version from deb_packages rpm_packages where name=’networkd-dispatcher’;我们利用Microsoft的初始研究论文,确定了攻击者可能用来利用此漏洞的特定恶意模式。
Elastic Security团队编写了一个EQL检测规则来检测Networkd-Dispatcher的可疑子进程。鉴于情况,此规则检测到的任何子进程都应视为高度可疑,并应进行调查。随着我们的安全社区为该漏洞构建更多POC,可能会提供进一步的分析。下面显示了一个示例查询。
process where event.type == "start" and process.parent.name : "networkd-dispatcher" and not process.name in ("networkctl", "networkd-dispatcher")鉴于此漏洞的性质,我们预计未来几周POC的多样性将大大提高。您可以期待以更多签名或规则的形式进行更新。
防御建议
受Microsoft团队发现的漏洞影响的组织应遵循Microsoft在其初始博文中提供的指导,并更新其networkd-dispatcher实例。Elastic建议使用上述检测方法调查发现运行易受攻击版本的network-dispatcher的主机,查找任何被入侵迹象。
尚未使用Elastic Security?您可以随时开始免费试用Elastic Cloud 14天。