Hoewel deze kwetsbaarheid al heel lang bestaat, in ieder geval een decennium in het bijzonder, is nu ontdekt dat het gebruik ervan tot aanzienlijke schade kan leiden. Beveiligingsonderzoekers hebben een exploit onthuld die van invloed kan zijn Unix-gebaseerde besturingssystemen, waaronder macOS Big Sur en eerdere versies. Deze sudo-kwetsbaarheid in macOS kan root-rechten verlenen aan lokale gebruikers.
Kan bevestigen met macOS Big Sur op zowel x86_64 als aarch64. pic.twitter.com/nQqQ8rskv7
- Will Dormann (@wdormann) 2 februari 2021
In januari onthulden beveiligingsonderzoekers een nieuwe kwetsbaarheid die op Unix gebaseerde besturingssystemen kan treffen. De exploit bestaat al minstens 10 jaar, maar dit is de eerste bekende documentatie ervan. Het wordt geïdentificeerd als CVE-2021-3156, Sudo-gebaseerde bufferoverloop. De exploit lijkt op een eerdere bug gepatcht genaamd CVE-2019-18634. Onderzoekers van Qualy's identificeerde de bug in Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) en Fedora 33 (Sudo 1.9.2). Ze zeggen dat het van invloed kan zijn op andere besturingssystemen en distributies waarop de getroffen versie van Sudo draait. Alle oudere versies 1.8.2 tot 1.8.31p2 en alle stabiele versies 1.9.0 tot 1.9.5p1 worden beïnvloed.
Ja. We kunnen een beetje kalm zijn, want volgens de onderzoekers hebben gebruikers toegang tot de computer nodig om de exploit uit te voeren. Beveiligingsonderzoeker Matthew Hickey, medeoprichter van Hacker House heeft gereageerd op ZDNet, onthulde dat woensdag de bug kan ook worden misbruikt op Mac.
Om het te activeren, hoef je alleen maar argv [0] te overschrijven of een symbolische link te maken stelt het besturingssysteem bloot aan dezelfde kwetsbaarheid lokale root die de afgelopen week Linux-gebruikers heeft getroffen.
https://twitter.com/hackerfantastic/status/1356645638151303169?s=20
Apple zou moeten starten een beveiligingsupdate met de patch op elk moment, maar gebruikers kunnen eerder handelen als we dat nodig achten. Uiteraard tegen betaling aan Qualys die een programma aanbiedt waarin wordt uitgelegd hoe de kwetsbaarheid te patchen. Wij geloven niet dat dit nodig is, maar het is ook niet onnodig.