Scoperto alla fine del 2016, il Dirty COW è una vulnerabilità di sicurezza informatica che colpisce tutti i sistemi basati su Linux. La cosa sorprendente è che questa imperfezione a livello di kernel è esistita nel kernel Linux dal 2007, ma è stata scoperta e sfruttata solo nel 2016.
Oggi vedremo cos'è esattamente questa vulnerabilità, i sistemi che influenza e come puoi proteggerti.
Qual è la vulnerabilità della mucca sporca?
La vulnerabilità di Dirty COW è un tipo di exploit di escalation di privilegi, che essenzialmente significa che può essere utilizzato per ottenere l'accesso come utente root. Che cos'è SU & Perché è importante usare Linux in modo efficace? Cos'è SU & Perché è importante usare Linux in modo efficace? L'account utente Linux SU o root è uno strumento potente che può essere utile se usato correttamente o devastante se usato imprudentemente. Diamo un'occhiata al motivo per cui dovresti essere responsabile quando usi SU. Leggi di più su qualsiasi sistema basato su Linux. Mentre gli esperti di sicurezza affermano che questo tipo di exploit non sono rari, la sua natura facile da sfruttare e il fatto che sia in circolazione da più di 11 anni è piuttosto preoccupante.
In realtà, Linus Torvalds ha riconosciuto di averlo scoperto nel 2007, ma lo ha trascurato considerandolo un "exploit teorico".
Dirty COW prende il nome dal meccanismo copy-on-write (COW) nel sistema di gestione della memoria del kernel. I programmi dannosi possono potenzialmente impostare una condizione di competizione per trasformare una mappatura di sola lettura di un file in una mappatura scrivibile. Pertanto, un utente non privilegiato potrebbe utilizzare questo difetto per elevare i propri privilegi sul sistema.
Ottenendo privilegi di root, i programmi maligni ottengono accesso illimitato al sistema. Da lì in poi, può modificare i file di sistema, implementare keylogger, accedere ai dati personali memorizzati sul dispositivo, ecc.
Quali sistemi sono interessati?
La vulnerabilità di Dirty COW interessa tutte le versioni del kernel Linux dalla versione 2.6.22, che è stata rilasciata nel 2007. Secondo Wikipedia, la vulnerabilità è stata patchata nelle versioni del kernel 4.8.3, 4.7.9, 4.4.26 e successive. Una patch è stata rilasciata inizialmente nel 2016, ma non ha risolto completamente il problema, quindi una patch successiva è stata rilasciata a novembre 2017.
Per verificare il numero di versione del kernel corrente, puoi utilizzare il seguente comando sul tuo sistema basato su Linux:
uname - r Le principali distribuzioni Linux come Ubuntu, Debian, ArchLinux hanno rilasciato tutte le correzioni appropriate. Quindi, se non lo hai già fatto, assicurati di aggiornare il tuo kernel Linux 5 Ragioni per le quali dovresti aggiornare il tuo kernel spesso [Linux] 5 motivi per cui dovresti aggiornare il tuo kernel spesso [Linux] Se stai usando una distribuzione Linux come Ubuntu o Fedora, stai anche usando il kernel Linux, il nucleo che rende la tua distribuzione una distribuzione Linux. La tua distribuzione ti chiede costantemente di aggiornare il tuo kernel .... Ulteriori informazioni.
Dal momento che la maggior parte dei sistemi è stata riparata, il rischio è mitigato, giusto? Bene, non esattamente.
Mentre la maggior parte dei sistemi mainstream è stata patchata, ci sono molti altri dispositivi embedded basati su Linux. Linux è ovunque: 10 cose che non sapevi se il Linux pinguino fosse ovunque: 10 cose che non sapevi erano alimentate con pinguini pensi che il mondo riposi su Windows, ripensateci. Linux gioca un ruolo cruciale nel mantenere il nostro mondo in movimento. Leggi di più che sono ancora vulnerabili. La maggior parte di questi dispositivi embedded, specialmente quelli economici, non riceve mai un aggiornamento dai produttori. Sfortunatamente, non c'è molto che tu possa fare al riguardo.
Pertanto, è molto importante acquistare dispositivi Internet of Things (IoT) 10 I migliori gadget di Internet of Things che devi provare nel 2017 10 Migliori gadget di Internet of Things che devi provare nel 2017 Solo una decina di anni fa, gadget come questi erano l'immaginazione. Ma ora, giocattoli, cuffie, bagagli e altro ancora connessi a Internet sono ampiamente disponibili. Ecco alcuni prodotti incredibili da provare assolutamente! Leggi di più da fonti affidabili che forniscono un affidabile supporto post-vendita.
Poiché Android è basato sul kernel di Linux, anche la maggior parte dei dispositivi Android è interessata.
Come Dirty COW influenza i dispositivi Android
ZNIU è il primo malware per Android basato sulla vulnerabilità di Dirty COW. Può essere utilizzato per il root di qualsiasi dispositivo Android fino ad Android 7.0 Nougat. Mentre la stessa vulnerabilità interessa tutte le versioni di Android, ZNIU colpisce in modo specifico i dispositivi Android con l'architettura ARM / X86 a 64 bit.
Secondo un rapporto di Trend Micro, oltre 300.000 app dannose che trasportano ZNIU sono state avvistate in natura, a partire da settembre 2017. Gli utenti di 50 paesi tra cui Cina, India, Giappone, ecc. Ne sono interessati. La maggior parte di queste applicazioni si travestono da app e giochi per adulti.
Come funziona il malware ZNIU Android
L'app interessata da ZNIU appare spesso come app soft-porn su siti Web dannosi, in cui gli utenti sono indotti a scaricarlo. 5 modi per visitare siti per adulti fa male alla sicurezza e alla privacy 5 modi per visitare siti per adulti fa male alla sicurezza e alla privacy durante la pornografia è spesso discusso nel contesto della moralità, c'è un enorme angolo di sicurezza e privacy che viene spesso trascurato. Se sai cosa cercare, più sicuro sarai. Leggi di più . Poiché Android semplifica il sideload delle app, molti utenti inesperti cadono in questa trappola e la scaricano.
Una volta avviata l'app infetta, comunica con il suo server di comando e controllo (C & C). Quindi, sfrutta la vulnerabilità di Dirty COW per garantirsi le autorizzazioni per superutente. Sebbene la vulnerabilità non possa essere sfruttata da remoto, l'app dannosa può ancora installare una backdoor ed eseguire attacchi di controllo remoto in futuro.
Dopo che l'app ha ottenuto l'accesso come root, raccoglie e invia le informazioni del corriere ai loro server. Quindi esegue transazioni con il corriere tramite un servizio di pagamento basato su SMS. Quindi, raccoglie i soldi tramite il servizio di pagamento del corriere. I ricercatori di Trend Micro sostengono che i pagamenti sono diretti a una società fittizia con sede in Cina.
Se l'obiettivo è basato al di fuori della Cina, non sarà in grado di eseguire queste micro-transazioni con il corriere, ma continuerà a installare una backdoor per installare altre app dannose.
Una cosa interessante del malware è che esegue micro-transazioni, circa $ 3 al mese per rimanere inosservato. È anche abbastanza intelligente da cancellare tutti i messaggi dopo che la transazione è stata completata, rendendo così più difficile da rilevare.
Come proteggersi da ZNIU
Google ha risolto rapidamente il problema e ha rilasciato una patch a dicembre 2016 per risolvere questo problema. Tuttavia, questa patch funzionava su dispositivi con Android 4.4 KitKat o versioni successive.
A partire da gennaio 2018, circa il 6% dei dispositivi utilizza ancora una versione Android inferiore a 4.4 KitKat.
Anche se questo potrebbe non sembrare molto, mette comunque a rischio un buon numero di persone.
Se sul tuo dispositivo è installato Android 4.4 KitKat e versioni successive, assicurati di aver installato la patch di sicurezza più recente. Per verificare ciò, apri Impostazioni> Informazioni sul telefono . Scorri fino in fondo e controlla il livello di patch di sicurezza Android .
Se la patch di sicurezza installata è più recente di dicembre 2016, si dovrebbe essere protetti da questa vulnerabilità.
Google ha anche confermato che Google Play Protect Come Google Play Protect rende il tuo dispositivo Android più sicuro Come Google Play Protect sta rendendo il tuo dispositivo Android più sicuro Potresti aver visto "Google Play Protect" spuntare, ma che cos'è esattamente? E come ti aiuta? Ulteriori informazioni possono eseguire la scansione delle app interessate e aiutarti a rimanere al sicuro. Ma ricorda che Google Play Protect richiede che il tuo dispositivo sia certificato per funzionare correttamente con le app di Google. I produttori possono includere app proprietarie come Google Play Protect solo dopo aver superato i test di compatibilità. La buona notizia è che i principali produttori sono certificati da Google. Quindi, a meno che tu non abbia un dispositivo Android davvero economico, non c'è molto di cui preoccuparsi.
Mentre le app antivirus Android 6 App per la sicurezza Android che dovresti installare oggi 6 App per la sicurezza Android che dovresti installare oggi Le app di sicurezza per Android - in grado di bloccare i tentativi di malware e phishing - sono necessarie se desideri eseguire uno smartphone sicuro e protetto. Diamo un'occhiata ad alcune delle migliori app per la sicurezza Android al momento ... Leggi di più in grado di rilevare tali attacchi con privilegi elevati, che non possono impedirlo. Le app anti-virus possono essere utili per altre funzionalità come antifurto 4 Soluzioni anti-furto Android Confronto: qual è il migliore? 4 soluzioni antifurto Android Confronto: qual è il migliore? Assicurati di installare una di queste app antifurto prima che il tuo dispositivo venga rubato. Potrebbe succedere a qualcuno di noi. Per saperne di più, ma in questo caso non sono molto utili.
Come ultima precauzione, dovresti essere consapevole quando si tratta di installare app da fonti sconosciute. Android 8.0 Oreo 9 motivi di sicurezza che dovresti aggiornare ad Android 8.0 Oreo 9 motivi di sicurezza che dovresti aggiornare ad Android 8.0 Oreo Android 8.0 Oreo ha migliorato la sicurezza del sistema operativo a passi da gigante - e questo significa che devi aggiornare. Leggi di più rende l'installazione di app da fonti sconosciute un po 'più sicura, ma dovresti comunque procedere con cautela.
Stare al sicuro: la chiave da asporto
Non è un segreto che la vulnerabilità di Dirty COW interessa un gran numero di sistemi. Per fortuna, le aziende sono rapidamente intervenute per danneggiare la situazione. La maggior parte dei sistemi basati su Linux come Ubuntu, Debian e Arch-Linux sono stati riparati. Google ha distribuito Play Protect per eseguire la scansione delle app interessate su Android.
Sfortunatamente, un discreto numero di utenti che eseguono sistemi embedded con il kernel Linux interessato probabilmente non riceverà mai aggiornamenti di sicurezza, mettendoli a rischio. I produttori che vendono dispositivi Android knock-off economici Il tuo smartphone cinese potrebbe avere un serio problema di sicurezza Il tuo smartphone cinese potrebbe avere un serio problema di sicurezza Una vulnerabilità scoperta di recente in molti portatili cinesi, che potrebbe consentire a un utente malintenzionato di ottenere l'accesso come root, è attualmente un La minaccia ai possessori di dispositivi Android 4.4 KitKat Read More non sono certificati da Google, mettendo così a rischio i loro acquirenti. Tali acquirenti non ricevono aggiornamenti di sicurezza, per non parlare degli aggiornamenti delle versioni di Android.
Pertanto, è estremamente importante saltare i dispositivi acquistati da tali produttori. Se ne possiedi uno, è il momento di ignorarlo immediatamente. Ecco alcuni dei migliori telefoni Android I 5 migliori telefoni Android economici nel 2017 I 5 migliori telefoni Android economici nel 2017 Alla ricerca di un telefono Android economico? Sei arrivato nel posto giusto. Per saperne di più che non bruciano un buco in tasca. Il resto di noi dovrebbe assicurarsi di installare gli aggiornamenti in modo tempestivo e usare il buon senso per rimanere al sicuro su Internet Capire come rimanere sicuri online nel 2016 Capire come rimanere sicuri online nel 2016 Perché alcuni utenti vagano alla cieca su Internet con il minimo indispensabile del software di sicurezza online installato? Esaminiamo alcune dichiarazioni di sicurezza comunemente errate e prendiamo le giuste decisioni sulla sicurezza. Leggi di più .
Il tuo sistema Linux è mai stato interessato dalla vulnerabilità di Dirty COW o dal malware ZNIU? Installa tempestivamente gli aggiornamenti di sicurezza? Condividi i tuoi pensieri con noi nei commenti qui sotto.