ClickCease La vulnérabilité de BatBadBut expose les systèmes Windows à des attaques

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

La vulnérabilité de BatBadBut expose les systèmes Windows à des attaques

Wajahat Raja

Le 24 avril 2024 - L'équipe d'experts de TuxCare

Une faille critique a été découverte dans la bibliothèque standard Rust. attaques par injection de commande contre les utilisateurs de Windows. La vulnérabilité vulnérabilité BatBadButrépertoriée sous le nom de CVE-2024-24576, porte le score CVSS le plus élevé possible, à savoir 10,0. CVSS de 10.0ce qui indique la plus grande gravité. Cependant, son impact est limité aux scénarios dans lesquels des fichiers batch sont invoqués sur des systèmes Windows avec des arguments non fiables.

 

Comprendre la vulnérabilité BatBadBut

 

La faille de sécurité faille de sécurité de Windows BatBadBut a été identifiée par un ingénieur en sécurité de Flatt Security connu sous le nom de RyotaK. Ce chercheur a signalé cette vulnérabilité critique dans les systèmes Windows au centre de coordination du CERT (CERT/CC) et a publié une analyse le 9 avril 2024.

Les BatBadBut affecte la façon dont la bibliothèque standard Rust traite les arguments lors de l'invocation de fichiers batch (.bat et .cmd) sous Windows à l'aide de l'API Command. Le groupe de travail Rust Security Response Working Group a publié un avis sur ce problème le même jour.

 

Comment fonctionne BatBadBut, la cybermenace

 

Des rapports récents affirment que BatBadBut permet aux attaquants d'effectuer une injection de commande dans les applications Windows qui dépendent indirectement de la fonction "CreateProcess" dans certaines conditions. La vulnérabilité provient du fait que la fonction CreateProcess lance implicitement cmd.exe lors de l'exécution de fichiers batch, que l'application les spécifie ou non.

Cmd.exe a des règles d'analyse complexes pour les arguments de commande, et les langages de programmation ne parviennent souvent pas à échapper correctement à ces arguments. Un attaquant qui peut contrôler les arguments transmis au processus créé peut potentiellement exécuter des commandes arbitraires de l'interpréteur de commandes en contournant les mécanismes d'échappement.

 

Évaluer la gravité de BatBadBut

 

Bien qu'il ait reçu un score CVSS parfait de 10,0, le risque réel posé par BatBadBut n'est peut-être pas aussi élevé que le suggère le score. Selon RyotaK, l'exploit réel réel ciblant les systèmes Windows dépend de quelques conditions :

 

  • L'application doit exécuter une commande sur Windows.
  • L'application ne spécifie pas l'extension de fichier de la commande ou utilise les extensions .bat ou .cmd.
  • La commande inclut des données contrôlées par l'utilisateur dans les arguments de la commande.
  • Le runtime du langage de programmation n'échappe pas correctement les arguments de commande de cmd.exe.
  • De plus, l'impact de BatBadBut est limité aux versions de Rust antérieures à 1.77.2. Les autres plateformes ou utilisations ne sont pas affectées.

Le score CVSS élevé est en partie dû à la manière dont les scores sont calculés pour les bibliothèques. Selon les lignes directrices CVSS v3.1, le score d'une bibliothèque doit refléter le scénario le plus défavorable, ce qui peut conduire à des scores élevés même lorsque des conditions spécifiques sont requises.

 

Remédier à la faille

 

Compte tenu des exigences spécifiques liées à l'exploitation des risque de cybersécurité BatBadButle risque réel peut être plus faible que ce que l'on pensait au départ. Néanmoins, les organisations et les développeurs doivent prendre des précautions :

 

  1. Veillez à ce que Rust soit mis à jour vers la version 1.77.2 ou une version ultérieure, car les nouvelles versions corrigent la vulnérabilité.
  2. Examiner et modifier le code de l'application pour éviter d'invoquer des fichiers batch avec des arguments non fiables.
  3. Mettre en œuvre des techniques appropriées de validation des entrées et d'échappement afin de réduire le risque d'attaques par injection de commandes.
  4. L'avis de sécurité de Avis de sécurité BatBadBut souligne l'importance de mettre à jour les bibliothèques Rust afin de prévenir les attaques potentielles par injection de commandes sur les systèmes Windows.
  5. Surveillez les mises à jour et les avis du groupe de travail sur la réaction à la rouille.
  6. En plus de ces mesures, RyotaK conseille de recalculer le score CVSS sur la base des directives FIRST (Forum Incident Response and Security Team) pour les bibliothèques de logiciels. Cette approche permet une évaluation plus nuancée de l'impact de la vulnérabilité.


Conclusion

 

La divulgation de la vulnérabilité de sécurité de Windows a révélé une faille critique dans le système d'exploitation qui pourrait permettre à des attaquants d'obtenir un accès non autorisé. Bien que la vulnérabilité BatBadBut représente un risque sérieux pour les systèmes Windows, son exploitation dépend de plusieurs conditions spécifiques.

Les organisations doivent rester vigilantes en mettant à jour les bibliothèques Rust et en mettant en œuvre mesures de sécurité robustesy compris un correctif Windows pour BatBadBut. Bien que le score CVSS parfait souligne la sévérité de la faille, recalculer le score sur la base des recommandations du FIRST peut fournir une évaluation plus précise du risque en termes pratiques.

Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.

 

Résumé
La vulnérabilité de BatBadBut expose les systèmes Windows à des attaques
Nom de l'article
La vulnérabilité de BatBadBut expose les systèmes Windows à des attaques
Description
Découvrez la vulnérabilité BatBadBut qui affecte les systèmes Windows et apprenez à protéger vos données et vos applications contre les menaces potentielles.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information