l+f: Sudo mit der Zeitmaschine austricksen
Durch Umstellen der Uhrzeit kann man sudo auf Ubuntu und OS X dazu bringen, einem Root-Rechte zu geben, ohne das Passwort eingeben zu müssen.
- Fabian A. Scherschel
Auf Ubuntu-Systemen kann jeder normale Nutzer die Netzwerkzeit (NTP) abstellen und dann die Uhrzeit nach Belieben verändern. Außerdem kann er /var/log/auth.log auslesen und herausfinden, auf welchem Pseudoterminal (PTY) sich ein Nutzer zuletzt mit sudo Root-Rechte verschafft hat – und wann genau das war. Wenn man jetzt ganz viele Terminals aufmacht und mit tty checkt, welche PTY das Terminal nutzt, kann man dieses Wissen zu einem Angriff kombinieren. Mit der richtigen Terminalnummer und der richtigen Uhrzeit denkt Ubuntu dann nämlich man sei Root.
Der Angriff funktioniert allerdings nur lokal, das heißt man muss schon vor dem Rechner sitzen und Programme starten können. Dafür soll die Lücke auf Mac OS X ebenso existieren wie auf Ubuntu, obwohl ein Patch für sudo schon seit einiger Zeit verfügbar ist. Debian ist nicht angreifbar, denn dort ist der Patch eingespielt. Außerdem können Nutzer ohne Root-Rechte dort die Uhrzeit nicht verstellen.
[Update 30.04.2015 20:50]
Die gegenwärtige Lücke weist einige Ähnlichkeit mit einer sudo-Lücke (CVE-2013-1775) auf, die etwas früher entdeckt wurde, und über die heise Security im März 2013 berichtete. Momentan ist nicht ganz klar, ob es sich um die selbe Lücke handelt, ob eine Regression stattfand oder ob es einfach nur ein sehr ähnlich gelagertes Problem ist. Auf jeden Fall existiert die Lücke in der einen oder anderen Form sowohl auf Ubuntu als auch auf Mac OS seit mindestens zwei Jahren.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(fab)
