公众号关注
  
     
     
     “
  
     
     
     杰哥的IT之旅
  
     
     
     ”，
  
     
     
     
 
    
    
      
     
     
     
   
      
      
      选择“
   
      
      
      星标
   
      
      
      ”，
   
      
      
      重磅干货，第一
   
      
      
      时间送达！
  
     
     
     
  
     
     
     
   
      
      
      
  
     
     
     
 
    
    
    
  
     
     
     
   
      
      
      
    
       
       
        
         
          
           
           来自：量子位 
           
          
         
       
   
      
      
      
  
     
     
     
 
    
    
    

无需系统密码，就能添加新的sudo用户、获取root权限，事后还能删除不留痕迹。

这是GitHub安全研究员Kevin Backhouse发现的一个Ubuntu系统大漏洞。

这种攻击方法非常简单，Backhouse在官方博客中写道：“使用终端中的一些简单命令，并单击几次鼠标，标准用户就可以为自己创建一个管理员帐户。”

目前还在维护的Ubuntu操作系统均受到影响，包括20.10以及20.04、18.04、16.04三个LTS版。

Backhouse是如何操作的？我们接着往下看。

攻击方法

首先打开终端，在你的主目录下创建一个软链接：

ln -s /dev/zero .pam_environment

（注：如果以上命令无法运行，说明已经存在名为.pam_environment的文件，请把这个文件重命名做好备份！）

接下来，在系统设置中打开“区域和语言”，然后尝试更改语言。

该对话框会冻结，只需忽略它，然后返回到终端即可。

此时，一个名为accounts-daemon的程序正在消耗100％的CPU内核，因此你的计算机可能会变慢并开始变热。

在终端中，删除软链接。否则，你可能无法使用自己的帐户！

rm .pam_environment

下一步是将SIGSTOP信号发送到accounts-daemon，阻止它破坏该CPU内核。但是要做到这一点，首先需要知道accounts-daemon的PID。

你可以通过运行top来找到PID。由于accounts-daemon被卡在一个无限循环中，因此它很快进入top列表的顶部。

或者使用pidof命令来查找PID：

$ pidof accounts-daemon597

接着用kill命令杀死SIGSTOP信号：

kill -SIGSTOP 597

然后注销帐户，但首先需要设置一个计时器，保证在注销后重置accounts-daemon。否则，前面的努力都将白费。

nohup bash -c “sleep 30s; kill -SIGSEGV 597; kill -SIGCONT 597”

注销后等待几秒钟，让SIGSEGV起效。如果漏洞利用成功，则会显示一系列对话框，让你创建一个新的用户帐户。这个新帐户具有管理员权限，可以运行sudo命令。

Backhouse将整个过程录成了2分多钟的视频，不明白操作方法的可以前去观看：

攻击原理

该漏洞利用了Ubuntu系统中的两个错误：

该漏洞利用了Ubuntu系统中的两个错误：

• 第一个是accountservice，它是管理计算机上用户帐户的服务。

• 第二个是GNOME显示管理器（gdm3），它可以处理登录屏幕。

accounts-daemon漏洞

accountsservice守护程序（accounts-daemon）是一项系统服务，可以执行诸如创建新用户帐户或更改用户密码的操作，但也可以执行对安全性较不敏感的操作，例如更改用户的图标或首选语言。

Ubuntu使用了经过修改的accountservice服务版本，添加了一个名为is_in_pam_environment的函数，该函数会在用户的主目录中查找一个名为.pam_environment的文件并进行读取。

将.pam_environment链接到/dev/zero可以让accountservice服务被拒绝。

因为/dev/zero实际上是磁盘上不存在的特殊文件。它由操作系统提供，其行为就像一个无限长的文件，其中每个字节均为0。

当is_in_pam_environment尝试读取.pam_environment时，它会通过软链接重定向到/dev/zero，然后由于/dev/zero无限长而陷入无限循环。

如此操作会让accounts-daemon丧失其root权限，转而采用用户的较低特权。然后将SIGSEGV发送给帐户守护程序使其崩溃。

GNOME漏洞

GNOME显示管理器（gdm3）是Ubuntu用户界面的基本组件。它可以处理用户登录和注销时启动和停止用户会话之类的事情，还管理登录屏幕。

当用户进行新系统的初始设置时，会启动一个对话框，它其实是一个单独的应用程序，称为gnome-initial-setup。

当gdm3查询到用户数量为0时，会启动这个程序。那么gdm3如何检查系统上有多少用户？通过询问accounts-daemon！

不幸的是，accounts-daemon已经被我们前面的操作整崩溃了，所以gdm3在检查超时后认为帐户数量为0，并启动gnome-initial-setup。

而初始化设置的用户必须有管理员权限。

官方紧急修复

Backhouse于10月17日向Ubuntu和GNOME维护人员报告了这些错误，官方已经最新代码中提供了修复程序。建议所有Ubuntu用户都尽快安装更新。

不过，该漏洞仅对桌面版Ubuntu有效。如果使用的是命令行界面，或者是GNOME之外的其他桌面环境，则暂时不受影响。

博客地址：
https://securitylab.github.com/research/Ubuntu-gdm3-accountsservice-LPE

网友讨论：
https://news.ycombinator.com/item?id=25053238

---

如果您觉得这篇文章对您有点用的话，麻烦您为本文来个四连：转发分享、点赞、点在看、留言，因为这将是我写作与分享更多优质文章的最强动力！

---

本公众号全部博文已整理成一个目录，请在公众号后台回复「 m」获取！

推荐阅读：

1、 常用的 Git 命令清单
2、 Linux 修改权限命令 chmod 用法示例
3、 Linux 经典的几款收包引擎
4、 最全 VxLAN 知识详解
5、 什么是堡垒机？为什么需要堡垒机？
6、 Linux 系统下对目录扩容的方法
7、 一文吃透 Linux 提权
8、 Linux 日志文件系统原来是这样工作的
9、 Linux 网络状态工具 ss 命令使用详解
10、 一文理解 Linux 平均负载，附排查工具

关注微信公众号「 杰哥的IT之旅」，后台回复「 1024」查看更多内容，回复「 加群」 备注：地区-职业方向-昵称 即可加入读者交流群。

=============================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================================

              点个[在看]，是对杰哥最大的支持！ 
              
            
      
           
           
           
     
          
          
          
    
         
         
         
   
        
        
        
  
       
       
       

     
     
     

本文分享自微信公众号 - 杰哥的IT之旅（Jake_Internet）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。