GNOME Tabanlı sistemlerde bulunan AccountsService adlı programda bulunan bir güvenlik açığı sistemde programları root olarak kullanabilmenizi sağlıyor.
Açık ise Github güvenlik araştırmacısı Kevin Backhouse tarafından yanlışlıkla bulundu. Backhouse açığı bir başka fakat yine root izni almaya yarayan bir AccoutsService açığı için çalışırken yanlışlıkla buldu.
Ubuntu ise açığı şu şekilde açıkladı:
Backhouse, AccountsService’in bazı dil ayarı işlemleri sırasında belleği yanlış işlediğini tespit etti; bu, yerel saldırganların ayrıcalıkları yükseltmek için kötüye kullanabilecekleri bir kusur.
Bir teselli olaraksa bu hata sadece Ubuntu’nun AccuntsService forkunda çalışmakta. Ubuntu 21.10, Ubuntu 21.04 ve Ubuntu 20.04 LTS de bu hataları içeren sürümler arasında.
Bu ayrıcalık yükseltme hatası, AccountsService’in 0.6.55-0ubuntu12~20.04.5, 0.6.55-0ubuntu13.3, 0.6.55-0ubuntu14.1 sürümleri yayınlandığında Kasım ayında Canonical tarafından düzeltildi. Güncellemeleri uyguladıktan sonra, değişiklikleri uygulamak için bilgisayarı yeniden başlatmanız da gerekecektir.
En Hızlı Yöntem Değil ama Çalışıyor
Saldırının tamamlanması bazen birkaç saati bulabiliyor, bazen de çalışmayabiliyor fakat hatanın tehlikeli olduğu kesin. Hatanın nasıl çalıştığıyla alakalı daha fazla bilgi almak isterseniz buraya bakabilirsiniz
https://securitylab.github.com/research/ubuntu-accountsservice-CVE-2021-3939/
Hatayı oluşturan exploidi edinmek isterseniz de buraya bakabilirsiniz.
https://github.com/github/securitylab/tree/b36e194556f956c3ec63bf9d8af454c8f620f33a/SecurityExploits/Ubuntu/accountsservice_CVE-2021-3939
Burada da hatanın kendisinin canlı uygulanışını görebilirsiniz.
PoC video for Ubuntu accountsservice CVE-2021-3939. It's not quick, but it gets you a root shell eventually. https://t.co/YBQStkalNY pic.twitter.com/RRs2vF3vdH
— Kev (@kevin_backhouse) December 13, 2021
Bu hata hakkında bir sorunuz varsa, teknolojiyle alakalı herhangi bir sorunuz varsa ya da sadece sohbet etmek istiyorsanız Türkiye’nin genç teknoloji forumu Silicone Forum adresine üye olabilir ve bize ulaşabilirsiniz.