TECHTARGET

Editor di testo: attenzione ai plug-in rischiosi per la security

Per svolgere il proprio lavoro, gli amministratori di sistema e gli sviluppatori software spesso usano editor di testo integrabili con plug-in di terze parti, che però possono contenere vulnerabilità sfruttabili da un attaccante. Ecco come funziona il meccanismo

Pubblicato il 18 Set 2018

I rischi legati all'utilizzo di plug-in negli editor di testo per programmare

Nei sistemi Linux e Unix, ma non solo, usare un editor di testo per modificare con comodità delicati file di configurazione del sistema o dell’applicazione è un’operazione comune per molti amministratori IT e sviluppatori software. Il fatto è però che questi editor di testo per programmare, per estendere le funzionalità, spesso consentono l’installazione di plug-in di terze parti, e questi ultimi a loro volta sono sfruttabili da un attaccante locale per prendere il controllo della macchina di un vittima, tramite l’elevazione dei privilegi.

Ma in che modo? Lo spiega Dor Azouri, un ricercatore nel campo della security che lavora per la società SafeBreach, entrando nel dettaglio ed esaminando come i plug-in dei più diffusi editor di testo (Emacs, Vim, Sublime, gedit, pico, nano) possano nascondere vulnerabilità sfruttabili da un hacker per attuare la cosiddetta ‘privilege escalation’, ossia una tipologia di attacco che, avvantaggiandosi di una vulnerabilità o di un errore di programmazione, consente di elevare i privilegi di accesso al sistema ed eseguire codice in modo arbitrario, mettendo in pericolo la sicurezza del codice.

Spesso gli amministratori IT hanno la necessità di editare file per i quali sono richiesti i permessi, o i privilegi, di root (amministratore). Può trattarsi, ad esempio, dei file di configurazione del sistema: per questi utilizzi, gli editor di testo per programmare possono essere lanciati anche nella modalità con permessi elevati (root), solitamente attraverso il comando Unix ‘sudo’. Tuttavia, quando il test editor viene aperto nella modalità con permessi elevati, anche il plug-in di terze parti viene ricaricato, ed è a questo punto che un attaccante può elevare i propri privilegi, guadagnando l’accesso di amministratore, ed eseguendo codice malevolo.

Un caso possibile può essere quello in cui il sistema-‘vittima’ viene lasciato incustodito e senza protezione password dall’amministratore di sistema, aprendo all’attaccante la possibilità di installare un plug-in malevolo, che verrà poi ricaricato la prossima volta che il sysadmin riaccederà con privilegi elevati all’editor di testo. Gli attacchi descritti da Azouri hanno comunque successo solo dopo che il plug-in malevolo viene installato, e che la vittima usa il text editor nella modalità con permessi di root.

Tra l’altro, puntualizza Azouri, le modalità normale ed elevata in Linux e Unix non risultano separate in maniera adeguata, quando i plug-in si caricano in text editor vulnerabili; inoltre, aggiunge, alcuni file di configurazione degli editor di testo per programmare si possono editare senza disporre dell’accesso root.

Tra i metodi di mitigazione raccomandati per ovviare al problema vengono indicati il monitoraggio delle modificazioni dei file e delle cartelle identificati come vulnerabili, ma anche l’applicazione di livelli di permessi più rigorosi per l’accesso alle risorse del sistema colpito, nonché l’adozione di sudoedit, un comando integrato in Unix/Linux che non supporta l’integrazione di plug-in.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4