Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Script malicieux root, rootkit sur Ubuntu, Linux Mint et Debian

Castor62

Bonjour,

J'ai un ami de fac qui prétend s'être programmé un script lui permettant de récupérer les droits root sur n'importe quelle distribution à jour Ubuntu ou Debian. D'après ses dires, il lui suffit d'y exécuter un script en mode utilisateur par une clé USB, ou en l'exécutant via un navigateur, sur l'ordinateur personnel d'une victime pour arriver, après un certain temps (qu'il ne m'a pas défini), par récupérer les droits root et en prendre le contrôle à distance.

Je n'ai pas de connaissances nécessaires pour mesurer la véracité d'une telle possibilité, aussi je me tourne vers vous pour avoir des avis plus éclairés :

Est-ce un mytho, ou bien est-ce plausible ?

Merci, bonne soirée.

pseudofab

Bonsoir,
On peut toujours créer un scénario trompant l'utilisateur peu prudent afin de lui rentrer son code sur une interface qu'il pense être celle du système ...

Castor62

D'après ce que j'ai compris, son truc serait capable de prendre le contrôle d'ordinateurs d'utilisateurs calés en informatique ou en sécurité informatique.

Après, il n'a pas voulu m'en dire plus. Je sais juste que ce n'est pas l'attaque "evil maid" et qu'il lui suffirait d'avoir accès quelques secondes à l'ordinateur et à Internet.

pseudofab

Un utilisateur prudent ne laisse pas traîner son ordinateur ...
Et si tu veux savoir si ton ami est un mytho , prête lui ton ordi :lol:

Castor62

Ben disons que si personne ne se risque à dire que ce n'est pas possible, je serais obligé de me dire que les utilisateurs de ce forum considère majoritairement que ça reste possible.

Et dans ce cas, je ne verrais pas vraiment de raison de mettre en doute sa parole. C'est plus que j'ai cru que sur un Linux à jour, ça n'était pas possible. Si ça l'est, je ne vois pas trop de raison qu'il m'est bobardé.

bruno

Bonjour,

Ce genre de chose est théoriquement possible. Cela s’appelle une escalade des privilèges.
Un tel script doit exploiter une grosse faille de sécurité pour parvenir à obtenir un shell root. Ce type de faille est rapidement connu et corrigé. Donc sur un système à jour c'est extrêmement improbable.

Si quelqu'un m'affirmait cela et refusait de me montrer son code, j'en conclurait immédiatement que c'est du pipeau.

[supprimé]

Bonjour,

Comme le souligne Bruno, il y a peu de chance.
Mais imaginons que ce soit le cas tout de même, je te recommande de lui demander une démonstration : tu lui allumes un poste Debian que tu a configuré, donc sur lequel tu es le seul à connaître le mdp root (on a souvent un vieux pc qui traîne sur lequel on peut tester ce genre de truc... 😉 ) et tu le laisses faire.
S'il est capable de te sortir le mdp root, alors tu seras fixé ! (et il ne t'auras pas donné le script)

😉

Castor62

Effectivement, je peux lui donner le challenge de prendre les droits root sur un linux récemment installée à jour.

Est-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ? 😃

moko138

SangokuSS a écritje te recommande de lui demander une démonstration

+1
Et il est instructif, si tu ne l'as jamais fait, de regarder le contenu de /var/log/auth.log.

Castor62 a écritEst-ce que quelqu'un peut me donner un coup de main pour pondre un script capable de lui piquer le sien ? 😃

Bien sûr : donne-moi 2 millions d'euros, et je vais te trouver ça 😉

Castor62 a écrit J'ai un ami de fac qui prétend s'être programmé un script lui permettant de récupérer les droits root sur n'importe quelle distribution à jour Ubuntu ou Debian. D'après ses dires, il lui suffit d'y exécuter un script en mode utilisateur
par une clé USB,
ou en l'exécutant via un navigateur, sur l'ordinateur personnel d'une victime pour arriver, après un certain temps (qu'il ne m'a pas défini), par récupérer les droits root et en prendre le contrôle à distance.

1) Avec un accès physique à ta machine,
N'importe quel Linux live (usb ou DVD) permet de lire un autre disque, pourvu que les données ne soient pas chiffrées (et que l'accès au disque ne soit pas subordonné à un mot de passe de disque).

C'est l'une des raisons pour lesquelles on se sert volontiers de sessions live pour la récupération de données.
C'est aussi l'une des raisons pour lesquelles on répète partout (à commencer par notre Doc) qu'un accès physique à une machine suffit à en compromettre la sécurité.

AJOUT :
il y a aussi, sans même utiliser de support live, la procédure ordinaire pour qui a oublié son mot de passe ! FIN d'ajout.
- -

2) Avec un accès filaire à ta machine,
je n'y connais rien mais j'imagine que ce n'est pas très différent (d'avec une clef live).
- -

3) Par la toile,
J'avais essuyé deux attaques, il y a quelques années :
- décembre 2012, l'assaillant pendant la nuit avait essayé des identifiants variés, dont auth.log avait gardé la trace.
- juillet 2013, l'assaillant pendant la nuit avait essayé de se connecter en tant que root. Mais je n'active pas le compte root (dans Ubuntu, il est justement désactivé par défaut).
Et mon mot de passe d'user n'est pas simple, bien sûr.

Le forum m'avait expliqué le point faible : la box n'était pas configurée en routeur.

Mais via un hotspot wifi ?
Eh bien, lis soigneusement les réponses que le forum m'avait données (./viewtopic.php?id=1317431).

LeoMajor

bonjour,

oui c'est possible dès lors qu'il y a une accès physique, et facteur aggravant que le bios/efi ne dispose pas de mot de passe, disque dur non chiffre, grub non sécurisé (sans mot de passe)

systemd prévoit des procédures de dépannage. Il suffit d'invoquer à la volée, systemd.unit=multi-user.target systemd.debug-shell=1 debug

le mode recovery version systemd: root ;

au menu du grub, -> options avancées,
Au 2ième menu du grub, tu sélectionnes par exemple le kernel courant, tu édites (touche E)

Attention, tu seras en qwerty pour éditer
A la ligne "Linux ... /vmlinuz ..." , tu remplaces, plus loin, par exemple, "quiet splash" par "systemd.unit=multi-user.target systemd.debug-shell=1 debug"
Tu n'appuies pas sur return/enter mais directement f10 pour valider.

ensuite tu arrives à une demande de login; toto@machine ?

tu n'entres pas ton mot de passe super-utilisateur, root, ou je ne sas trop quoi, mais directement tu tapes les touches Ctrl +Alt + F9 pour accéder à la tty9 (console root)
Tu accèdes directement sans mot de passe.

Sous root, tu fais ce que tu as à faire; ...

Castor62

Je verrais avec lui ce qu'il me dit de tout ça. Je reviendrais vous dire s'il a réussi sur un ordinateur réinstallé (j'ai pas ça, ais je vais voir avec lui).

bruno

S'il ne veut ni montrer le code, ni faire une démonstration c'est forcément du pipeau.
Ton argumentation sur une soit disant valeur monétaire de cet type de script ne tient pas une seconde. Si quelqu'un est capable d'un tel exploit et veut en tirer profit, il n'en parle pas à ses « amis ».
Tu as une opinion de l’humanité et de ses motivations qui est extrêmement cynique. Si les humains agissaient comme tu le supposent le logiciel libre n'existerai pas.

Castor62

bruno a écritTon argumentation sur une soit disant valeur monétaire de cet type de script ne tient pas une seconde. Si quelqu'un est capable d'un tel exploit et veut en tirer profit, il n'en parle pas à ses « amis ».

C'est pour cela que j'ai adjoint la possibilité d'une valeur intellectuelle. Mais effectivement, ma question de départ était seulement du social engineering.

Castor62

Bon, un double compromis. Il va faire la démo sur une VM installé sur mon ordinateur. J'ai le choix de la version à installer parmi les dernières Ubuntu LTS ou Mint.

Le deuxième compromis, c'est qu'il va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges) dans peu de temps. Vous n'aurez de prochaines nouvelles que si le test est concluant.

[supprimé]

Castor62 a écritBon, un double compromis. Il va faire la démo sur une VM installé sur mon ordinateur. J'ai le choix de la version à installer parmi les dernières Ubuntu LTS ou Mint.

Le deuxième compromis, c'est qu'il va mettre en ligne un de ses scripts (celui pour l'escalade de privilèges) dans peu de temps. Vous n'aurez de prochaines nouvelles que si le test est concluant.

Cool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu 😉 ce qui ne m'étonne pas vraiment).

bruno

On est impatients de voir cela 😉

moko138

Il faut préciser les conditions opératoires :
Tu ne lui donnes aucun identifiant ni mot de passe ni adresse IP.
De plus,

1) Avec un accès physique à ta machine,
Aucun intérêt, la méthode est dans la Doc et ne requiert aucun script ni clef usb.
- -

2) Avec un accès filaire à ta machine,
Intérêt modéré.
- -

3) Par la toile,
Là, ce serait significatif.

Castor62

SangokuSS a écritCool, nous en saurons alors davantage (mais à priori, sa technique ne fonctionnerait qu'avec "sudo" si je comprends bien le sous-entendu 😉 ce qui ne m'étonne pas vraiment).

Sous-entendu que je n'ai ni entendu ni compris.

moko138 a écritIl faut préciser les conditions opératoires :
Tu ne lui donnes aucun identifiant ni mot de passe ni adresse IP.
De plus,

1) Avec un accès physique à ta machine,
Aucun intérêt, la méthode est dans la Doc et ne requiert aucun script ni clef usb.
- -

2) Avec un accès filaire à ta machine,
Intérêt modéré.
- -

3) Par la toile,
Là, ce serait significatif.

Par la toile, ça ne fait pas une mais deux vulnérabilités à exploiter. C'est le truc à 100000 euros ça. Par contre, effectivement pas de mot de passe. Il aurait besoin de l’accès à la session ouverte que quelques secondes). Donc bios ou grub protégé, c'est effectivement pas ça.

moko138

Castor62 a écritD'après ce que j'ai compris, son truc serait capable de prendre le contrôle d'ordinateurs d'utilisateurs calés en informatique ou en sécurité informatique.

Après, il n'a pas voulu m'en dire plus. Je sais juste que ce n'est pas l'attaque "evil maid" et qu'il lui suffirait d'avoir accès quelques secondes à l'ordinateur et à Internet.

Ce que je crois comprendre :
Depuis ta machine, il s'envoie ton adresse IP et ton fichier /etc/shadow.
Lequel contient une ligne plus longue que les autres :
ton login (en clair) et le hash de ton mot de passe.

La suite est là : ./viewtopic.php?pid=16944961#p16944961, où

tiramiseb a écrit avoir accès à un hash de mot de passe permet de prendre tout le temps qu'on veut pour le casser par brute-force sans faire une seule tentative de connexion sur la machine en question

Encore une fois, l'accès physique à ta machine est LE gros point faible.

[supprimé]

moko138 a écrit Ce que je crois comprendre :
Depuis ta machine, il s'envoie ton adresse IP et ton fichier /etc/shadow.
Lequel contient une ligne plus longue que les autres :
ton login (en clair) et le hash de ton mot de passe.

Sauf que sur une Debian, on ne peut pas faire un "cp /etc/shadow /cible" puisque les permissions ne sont pas accordées par défaut 😉
D'où ma remarque sur le fait que cela ne fonctionne que sur Ubuntu et Mint (point que je soulevais mais que personne n'avait compris dans mon message précédent).

Page suivante »