Editores: aumentan el nivel de exposición a los cibercriminales

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Si Usted es un desarrollador, diseñador o tiene que documentar, un buen editor de texto siempre le ayuda a ahorrar tiempo y hacerte trabajar más eficientemente.

Por ejemplo, utilizo Sublime mucho durante la programación porque incluye algunas herramientas útiles como ‘resaltado de sintaxis’ y ‘autocompletar’ que todo editor de texto avanzado debería tener.

Además, estos editores de texto avanzados también ofrecen a los usuarios extensibilidad, lo que permite a los usuarios instalar y ejecutar complementos de terceros para ampliar la funcionalidad del editor y, lo que es más importante, su alcance.

Sin embargo, es un hecho conocido que los complementos de terceros siempre representan un riesgo significativo de pirateo, ya sea sobre los complementos de WordPress o las extensiones de Windows para Chrome, Firefox o Photoshop.

El investigador de SafeBreach Dor Azouri analizó varios editores de texto extensibles populares para sistemas Unix y Linux, incluidos Sublime, Vim, Emacs, Gedit y pico / nano, y descubrió que, a excepción de pico / nano, todos ellos son vulnerables a un error crítico de escalamiento de privilegios que podrían ser explotados por los atacantes para ejecutar código malicioso en las máquinas de las víctimas.

Este método tiene éxito independientemente del archivo que se abre en el editor, por lo que incluso las limitaciones comúnmente aplicadas en los comandos sudo podrían no protegerse de él.

Los usuarios técnicos ocasionalmente necesitarán editar archivos propiedad de la raíz, y para ese fin, abrirán su editor con privilegios elevados, usando ‘sudo’. Hay muchas razones válidas para elevar los privilegios de un editor.

El problema radica en la forma en que estos editores de texto cargan complementos. Según el investigador, hay una separación inadecuada de los modos regulares y elevados al cargar complementos para estos editores.

Su integridad de permisos de carpeta no se mantiene correctamente, lo que abre la puerta a atacantes con permisos de usuario regulares para elevar sus privilegios y ejecutar código arbitrario en la máquina del usuario.

Una campaña simple de publicidad maliciosa podría permitir a los atacantes extender extensión maliciosa para editores de texto vulnerables, permitiéndoles ejecutar código malicioso con privilegios elevados, instalar malware y tomar el control total de las computadoras atacadas.

Lo más aconsejable para los usuarios de Unix pueden usar un sistema de detección de intrusión basado en host de código abierto, llamado OSSEC, para monitorear activamente la actividad del sistema, la integridad de los archivos, los registros y los procesos.

Los usuarios deben evitar cargar complementos de terceros cuando el editor está elevado y también denegar permisos de escritura para usuarios no elevados.

Los desarrolladores de editores de texto que cambien las carpetas y los modelos de permisos de archivos para completar la separación entre modos regulares y elevados y, de ser posible, proporcionen una interfaz manual para que los usuarios aprueben la carga elevada de complementos.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris