Because Windows executables haven’t wreaked enough damage on Windows computers, now you can use malformed MSI files to run malicious code on Linux systems.
This scenario is possible because of a vulnerability discovered by German IT expert Nils Dagsson Moskopp, which he named “Bad Taste.”
The vulnerability resides in gnome-exe-thumbnailer, a third-party thumbnailer used by GNOME Files, formerly known as Nautilus, the default file manager/explorer for Linux distros using the GNOME desktop.
Moskopp discovered that he could hide malicious VBScript inside names of MSI files. When the user accesses a folder on his computer where this malicious MSI file is saved, GNOME Files would automatically parse the file to extract an icon from its content and display it in the file explorer window.
The problem is that when parsing the MSI file looking for its icon, the thumbnailer script also reads the filename and executes the code found within.
At the heart of this vulnerability are thumbnailer configuration files located in /usr/share/thumbnailers, which Gnome Files uses to parse files stored on a Linux computer to display icons or generate thumbnails.
To avoid problems caused by the issue he discovered, Moskopp recommends that users delete the all files found in /usr/share/thumbnailers, or stop using GNOME Files for the time being.
La vulnérabilité "Bad Taste" (mauvais goût) affecte les systèmes Linux via des fichiers MSI malveillants...
Parce que les exécutables Windows n'ont pas subi suffisamment de dégâts sur les ordinateurs Windows, vous pouvez maintenant vous retrouver avec des fichiers MSI mal-formés exécutant des codes malveillants sur les systèmes Linux.
Ce scénario est possible en raison d'une vulnérabilité découverte par l'expert en informatique allemand Nils Dagsson Moskopp, qu'il a nommé «Bad Taste».
La vulnérabilité réside dans gnome-exe-thumbnailer, une vignette tierce utilisée par GNOME Files, anciennement Nautilus, le gestionnaire de fichiers / explorateur par défaut pour les distros Linux utilisant le bureau GNOME (mais utilisable dans d'autres environnements).
Moskopp a découvert qu'il pouvait cacher un VBScript malveillant dans les noms des fichiers MSI. Lorsque l'utilisateur accède à un dossier sur son ordinateur où ce fichier MSI malveillant est enregistré à son insu, GNOME Files analyse automatiquement le fichier pour extraire une icône de son contenu et l'afficher dans la fenêtre de l'explorateur de fichiers. Le problème est que lors de l'analyse du fichier MSI à la recherche de son icône, le script thumbnailer lit également le nom de fichier et exécute le code trouvé.
Au cœur de cette vulnérabilité, on trouve les fichiers de configuration de thumbnailer qui sont situés dans /usr/share/thumbnailers, que Gnome Files utilise pour analyser les fichiers stockés sur un ordinateur Linux pour afficher des icônes ou générer des vignettes. Pour éviter les problèmes, Moskopp recommande aux utilisateurs de supprimer tous les fichiers présents dans /usr/share/thumbnailers ou d'arrêter d'utiliser GNOME File (ou Nautilus) pour le moment.
J'ai personnellement effacé ces fichiers de tous mes ordis. Ça ne pose aucun problème. Par ailleurs je n'utilise que très rarement Nautilus alias Gnome Files.
Source: https://www.bleepingcomputer.com/news/security/-bad-taste-vulnerability-affects-linux-systems-via-malicious-windows-msi-files/ via http://fullcirclemagazine.org/
Aucun commentaire:
Enregistrer un commentaire
Ajoutez un commentaire mais en bon Français ou éventuellement en bon Anglais. Les commentaires en langage SMS seront supprimés.